Le 25 mars 2022 a eu lieu la publication d'un nouvel accord sur la protection des données entre l'UE et les États-Unis. Il s'agit déjà du troisième accord concernant le transfert transatlantique de données. Découvrez ici ce qui a été convenu et comment cela se répercute actuellement sur la pratique.
Pourquoi un nouvel accord sur la protection des données ?
Le site Traitement des données dans les pays tiers est un problème bien connu de la législation sur la protection des données.
En principe, il faut pour cela que le pays tiers (pays hors de l'UE, donc hors du champ d'application du RGPD) garantisse un niveau de protection des données à caractère personnel comparable à celui du RGPD. Pour ce faire, la Commission européenne délivre des "décisions d'adéquation". La dernière décision d'adéquation en date était l'accord "Privacy Shield" jusqu'en juillet 2020. Après que la CJUE a constaté que cet accord n'offrait toutefois pas un niveau de protection équivalent à celui du droit de l'Union (RGPD) (arrêt Schrems II), l'accord a été annulé. Les raisons de cette décision étaient notamment les possibilités étendues d'accès des services secrets aux données aux États-Unis et l'impossibilité de faire valoir les droits des personnes concernées face aux autorités américaines. Il en résulte une grande incertitude quant au transfert de données vers les États-Unis.
Contenu du nouvel accord sur la protection des données
Le nouvel accord de protection des données appelé "Trans-Atlantic Data Privacy Framework" doit succéder au "Privacy Shield". Il devrait permettre un échange de données libre et sûr entre l'UE et les États-Unis (ou les entreprises participantes). Il doit contenir un nouvel ensemble de règles avec des mesures de protection contraignantes. Il devrait également permettre de limiter l'accès des services secrets américains. Celui-ci ne serait alors possible que s'il est nécessaire et proportionné à la protection de la sécurité nationale.
En outre, un système de recours à deux niveaux sera mis en place pour permettre aux citoyens de l'UE d'introduire des plaintes efficaces.
Les entreprises américaines qui souhaitent traiter des données provenant de l'UE doivent en outre être soumises à des obligations plus strictes. Le respect de celles-ci doit être confirmé par une auto-certification.
Le nouvel accord sur la protection des données dans la pratique
La Maison Blanche parle d'"engagements sans précédent" pour la protection des données, mais cela ne signifie pas que tout transfert de données vers les États-Unis est désormais sans problème. Le nouvel accord de protection des données "Trans-Atlantic Data Privacy Framework" n'est pour l'instant qu'une annonce faite par le gouvernement américain et la Commission européenne. Quelques étapes intermédiaires sont nécessaires avant que celui-ci ne déploie pleinement ses effets juridiques. Un transfert de données vers les États-Unis doit donc pour l'instant continuer à être examiné au cas par cas. Reste à savoir si et quand le nouvel accord de protection des données entrera en vigueur. L'évolution jusqu'à cette annonce peut toutefois être considérée comme réjouissante. Et selon la devise "toutes les bonnes choses vont par trois", cette troisième tentative d'accord sur la protection des données pourrait être un accord facilitant la pratique, malgré la critique existante selon laquelle il ne tient pas compte de tous les points critiques de Schrems-II.
Vous souhaitez obtenir des conseils et de l'aide pour mettre en place des processus conformes à la protection des données dans votre entreprise ? Notre équipe d'experts se fera un plaisir de vous aider !