Il est très fréquent dans le cadre de l’activité d’une TPE ou PME d’utiliser des solutions américaines telles qu’un navigateur web (Google Chrome, Safari ou encore Microsoft Edge), un système d’exploitation (iOs ou Windows), un logiciel ou SaaS (Payfit ou Google Analytics) ou encore un hébergeur (AWS). Si tel est le cas, vous réalisez ainsi des transferts vers les Etats-Unis. Plusieurs règles doivent alors être respectées afin d’être conforme au Règlement général sur la protection des données (RGPD).
Voici ce qu’il faut savoir pour effectuer des transferts vers les Etats-Unis tout en respectant le RGPD.
Le cadre juridique actuel
Selon le RGPD, les entreprises peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition que ce pays garantisse un niveau de protection des données suffisant et approprié.
L’un des principaux mécanismes permettant ce type de transfert est la décision d’adéquation. Celle-ci permet d’échanger des données avec un certain pays sans qu’il soit nécessaire d’appliquer des mesures supplémentaires pour encadrer le traitement.
Pour faciliter les échanges de données avec les Etats-Unis, deux décisions d’adéquation ont successivement vu le jour : le Safe Harbor et le Privacy Shield. Ces deux décisions ont toutefois été invalidées en 2015 et en 2020 car le niveau de protection n’était pas suffisant. En effet, les autorités américaines, en vertu du Cloud Act et du Foreign Intelligence Surveillance Act (Fisa), peuvent avoir accès aux données des entreprises américaines.
En octobre 2022, le président Biden a adopté un décret présidentiel afin de renforcer les garanties en matière de protection des données et de limiter l’accès aux données des européens par les services de renseignement américains. Suite à cela, la Commission européenne a décidé d’adopter une décision d’adéquation en juillet 2023 : c’est le Data Privacy Framework (DPF).
Le DPF instaure un cadre de protection précis :
- un système d’auto-certification des entités américaines. Les entreprises américaines qui le souhaitent doivent donc s’auto-certifier conforme auprès du Département du commerce des Etats-Unis et s’engager à respecter les règles, obligations et principes en matière de protection des données.
- des possibilités de recours pour les citoyens européens.
- des obligations de transparence et de sécurité pour les entreprises américaines qui y adhèrent
- une cour de contrôle de la protection des données (Privacy and Civil Liberties Oversight Board) qui garantit l’exercice des recours et le respect des droits des européens
Cet article pourrait aussi vous intéresser : Sanctions CNIL 2024 : les TPE/PME de plus en plus contrôlées.
Comment effectuer des transferts avec des partenaires américains de manière conforme ?
Concrètement, il y a 2 étapes essentielles s’agissant des transferts UE – USA :
S’assurer que votre partenaire figure sur la liste du DPF
Si votre partenaire figure sur la liste des entreprises ayant adhéré au Data Privacy Framework, vous n’avez pas besoin de mettre en œuvre des garanties supplémentaires.
La liste des entreprises est disponible sur ce lien.
Les mécanismes juridiques
Dans l’hypothèse où votre partenaire ne figurerait pas sur la liste, vous pouvez toujours collaborer avec lui. Il faudra toutefois mettre en oeuvre certains mécanismes, parmi lesquels :
- les clauses contractuelles types (CCT) : celles-ci sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne
- des règles d’entreprise contraignantes (BCR) : celles-ci s’adressent principalement aux groupes d’entreprise. C’est un outil permettant d’encadrer les transferts de données personnelles en dehors de l’Union européenne, au sein du même groupe.
- des codes de conduite : ceux-ci sont élaborés par des fédérations ou des organisations professionnelles. Ils doivent être respectés par ceux qui y adhèrent.
Une analyse d’impact des transferts de données (AITD) pourra également être réalisée.
De plus, si vous transférez des données vers un partenaire situé aux Etats-Unis, celui-ci est très probablement considéré comme un sous-traitant au sens du RGPD, c’est-à-dire qu’il traite des données pour votre compte. Il doit donc exister un contrat de sous-traitance (aussi appelé « Data Processing Agreement » ou « DPA ») pour encadrer ces transferts. Celui-ci doit notamment contenir :
- une description du ou des traitement(s) réalisé(s)
- les droits et les obligations de chaque partie
- les responsabilités de chaque partie
- les durées de conservation des données
- des dispositions relatives aux mesures de sécurité
Le DPA est parfois même disponible sur le site de votre partenaire.
Cet article pourrait aussi vous intéresser : Applications mobiles : 5 règles à suivre pour rester conforme au RGPD
L’avenir du Data Privacy Framework
Le président américain a récemment mis fin au mandat de tous les membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB). Il ne reste ainsi actuellement qu’un seul membre. Le président de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) a ainsi souligné que la cour ne présentait plus le quorum nécessaire pour pouvoir fonctionner correctement et a invité la Commission européenne à réévaluer le Data Privacy Framework.
De ce fait, la décision d’adéquation pourrait ainsi être annulée. C’est la raison pour laquelle il est fortement conseillé de prévoir dès maintenant des garanties supplémentaires.
Conclusion
Plusieurs règles doivent donc être respectées pour effectuer des transferts avec des partenaires américains conformément au RGPD. Si votre entreprise partenaire ne figure pas sur la liste des entreprises ayant adhéré au DPF, il faudra en effet mettre en place des mécanismes supplémentaires. Ceci est d’autant plus vrai que le DPF risque d’être invalidé. Il est donc primordial d’anticiper afin de pouvoir continuer à collaborer avec vos partenaires américains tout en respectant le RGPD.
à 
