People Intouch a toujours prévenu les organisations que le traitement de données d’entreprise sensibles aux États-Unis rendra ses données disponibles pour les des autorités américaines comme par exemple le département de la Justice des États-Unis (DOJ), l’Agence nationale de la sécurité américaine (NSA) ou le département de la Sécurité intérieure des États-Unis (DHS). La décision de ce mois concernant l’arrêt Schrems II prise par la Cour de justice de l’Union européenne confirme nos préoccupations sur ce point et souligne l’importance de réfléchir aux emplacements sur lesquels traiter les données sensibles de votre entreprise concernant les fautes professionnelles.
Le 16 juillet, la Cour de justice de l’Union européenne a invalidé le Cadre du Bouclier de protection des données UE-États-Unis dans sa décision Schrems II. Le Bouclier de protection des données était le socle juridique sur lequel plus de 5 000 entreprises se basaient pour transférer en toute conformité leurs données personnelles depuis l’Europe vers les États-Unis. De plus, les entreprises ne se reposant pas sur le Bouclier de protection des données pour la conformité du traitement, l’invalidation aura un impact considérable puisque la décision souligne les difficultés qui accompagnent le transfert de vos données vers les États-Unis et une protection adaptée.
Le Règlement général sur la protection des données crée un pied d’égalité au niveau européen pour la protection des données personnelles au sein de l’Union européenne. Le transfert des données personnelles en dehors de l’Union européenne devrait adhérer à un niveau (élevé) équivalent de protection. Pour faciliter le transfert entre les pays en dehors de l’Union européenne, la Commission européenne offre des décisions qui s’adaptent aux spécificités des pays. Une décision d’adéquation consiste en une loi d’implémentation et une procédure d’examen, y compris des critères tels que le respect de l’État de droit, l’accès à la justice et des normes internationales relatives aux droits de l’homme. Une décision adéquate pour un pays spécifique protège le transfert international de données de ce pays en question. Après les décisions d’adéquation, les transferts de données peuvent aussi être réalisés en conformité avec le Règlement général sur la protection des données, par exemple en concluant des clauses contractuelles types (adoptées par la Commission européenne, mais toujours sous examen actuellement) ou des règles d’entreprise contraignantes.
Le Bouclier de protection des données n’a pas été le premier accord conçu par la Commission européenne pour proposer une protection équivalente pour le transfert de données personnelles vers les États-Unis. Le prédécesseur était le Cadre de la Sphère de sécurité (Safe Harbor Framework), approuvé il y a 20 ans. La Sphère de sécurité a été invalidée par la Cour de justice de l’Union européenne en 2015, dans Schrems I, car la protection des droits fondamentaux équivalents à ceux de l’Union européenne n’était pas suffisante. Les États-Unis ont placé la sécurité nationale, l’intérêt public et le respect des lois au-dessus des principes de la Sphère de sécurité en matière de protection des données personnelles.
La Commission européenne a officiellement approuvé le Bouclier de protection des données UE-États-Unis en 2016 en tant que successeur amélioré de la Sphère de sécurité. Le Bouclier de protection des données proposait un programme de certification volontaire auquel les entreprises pouvaient s’inscrire. Les entreprises postulant au programme de certification devaient remplir les conditions requises et s’engager aux principes du Bouclier de protection des données. Ces principes incluaient par exemple la responsabilité pour le transfert ultérieur ainsi que l’intégrité, l’accès et la responsabilité des données. Cependant, le 16 juillet, la Cour de justice de l’Union européenne a aussi acté que le Bouclier de protection des données n’offrait pas suffisamment de mesures de protection. Précisément, le Bouclier de protection des données n’offre pas assez de garanties pour assurer la protection des données personnelles des programmes de surveillance américains. Par ailleurs, le Bouclier de protection des données n’octroie pas aux sujets européens transférant des données des droits exécutoires suffisants ni des recours judiciaires efficaces aux États-Unis.
Le jugement de la Cour de justice de l’Union européenne souligne une nouvelle fois les difficultés qui accompagnent le transfert de données sensibles d’entreprise vers les États-Unis. Puisque le Bouclier de protection des données ne forme plus un socle juridique valide pour le transfert international de données, les organisations se reposant sur lui doivent prendre de nouvelles dispositions pour assurer leur conformité avec les exigeantes normes européennes en matière de protection des données. Une analyse au cas par cas devra être réalisée pour protéger leurs données si elles veulent continuer à transférer leurs données en dehors de l’Europe.
Plus de détails sur le jugement Schrems II de la Cour de justice de l’Union européenne est disponible ici.
Échangez avec nos experts
Möchten Sie mehr erfahren, Ideen austauschen oder Meinungen teilen?