📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Transferts de données UE – USA :  vers l’annulation de la décision d’adéquation sous Trump ?

Actualités RGPD

Sommaire

Les TPE et PME ont souvent des relations commerciales avec des entreprises américaines. Ainsi, les transferts de données personnelles entre l’Union Européenne et les États-Unis sont très fréquents. Ceux-ci sont actuellement encadrés par le Data Privacy Framework (DPF). Or, l’élection récente du président Trump risque d’affecter le cadre instauré par cette décision d’adéquation. 

Quels seraient les impacts concrets pour les entreprises qui transfèrent des données vers les Etats-Unis en cas d’annulation de la décision d’adéquation ? Quelles sont les solutions ? On vous explique tout ! 

Le contexte 

Le Réglement général sur la protection des données (RGPD) prévoit que les entreprises peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) uniquement si ce pays garantit un niveau de protection des données suffisant et approprié

Les Etats-Unis n’ont pas de réglementation fédérale sur la protection des données. C’est la raison pour laquelle plusieurs décisions d’adéquation ont été adoptées au fil des années afin de faciliter ces échanges (Safe Harbor et Privacy Shield). Le mécanisme de la décision d’adéquation permet d’échanger des données avec un certain pays sans qu’il soit nécessaire d’appliquer des mesures supplémentaires (comme des clauses contractuelles types, des Binding Corporate Rules etc.) pour encadrer le traitement. La dernière décision d’adéquation en date est le Data Privacy Framework. Il est donc actuellement possible d’échanger des données avec des entreprises américaines ayant adhéré au DPF sans mettre en place des garanties supplémentaires. 

Cette décision instaure un cadre de protection précis : 

  • un système d’auto-certification des entités américaines
  • des possibilités de recours pour les citoyens européens
  • des obligations de transparence et de sécurité pour les entreprises américaines qui y adhérent 
  • une cour de contrôle de la protection des données (Privacy and Civil Liberties Oversight Board) qui garantit l’exercice des recours et le respect des droits des européens 

Cet article pourrait vous intéresser : RGPD et Transferts de Données pour les TPE/PME : Tout ce que vous devez savoir

Pourquoi la décision d’adéquation pourrait être annulée sous Trump 

Donald Trump a récemment mis fin au mandat de tous les membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB). Il ne reste ainsi actuellement qu’un seul membre. Le président de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) a ainsi souligné que la cour ne présentait plus le quorum nécessaire pour pouvoir fonctionnner correctement et a invité la Commission européenne à réévaluer le Data Privacy Framework

Conséquences concrètes pour les entreprises européennes

Si vous réalisez des transferts de données avec les Etats-Unis, ceux-ci pourraient être compromis si vous n’avez pas prévu de garanties supplémentaires. 

C’est la raison pour laquelle l’autorité de protection des données norvégienne a récemment publié un communiqué dans lequel elle conseille aux entreprises européennes qui réalisent de tels transferts d’anticiper une éventuelle annulation et de préparer dès maintenant une stratégie car elles risquent de ne plus pouvoir transférer des données vers les Etats-Unis de la même façon qu’aujourd’hui. 

Il existe plusieurs solutions pour continuer à transférer des données vers les Etats-Unis même si la décision d’adéquation était abrogée. 

Solutions pour les entreprises en cas d’annulation 

En cas d’annulation du Data Privacy Framework, les entreprises devront mettre en place des garanties appropriées afin de pouvoir continuer à transférer les données vers les Etats-Unis. 

Divers mécanismes existent : 

  • des clauses contractuelles types (CCT) 
  • des clauses contractuelles spécifiques (si elles sont considérées comme conformes aux modèles de clauses de la Commission européenne) 
  • des règles d’entreprise contraignantes (BCR)
  • un code de conduite approuvé incluant l’engagement des destinataires hors UE de mettre en oeuvre des garanties appropriées 
  • un mécanisme de certification approuvé incluant l’engagement des destinataires hors UE de mettre en oeuvre des garanties appropriées 

Concrètement les clauses contractuelles types et les règles d’entreprise contraignantes sont les mécanismes les plus fréquemment utilisés. 

Des analyses d’impact des transferts des données (AITD) pourront également être réalisées. 

Cet article pourrait vous intéresser : Sanctions CNIL 2024 : les TPE/PME de plus en plus contrôlées

Conclusion 

La décision d’adéquation qui encadrait les transferts entre les Etats-Unis et l’Union européenne risque donc d’être abrogée. Il est donc primordial pour toutes les entreprises d’anticiper et de mettre en place des mécanismes de protection adéquats afin de pouvoir continuer à transférer des données vers les Etats-Unis. 

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Joséphine Iachino
Joséphine Iachino
Juriste en protection des données / Master 2 Droit Algorithmique et Gouvernance des Données.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.

Recevez gratuitement

notre guide RGPD

Découvrez les clés de la conformité RGPD.

Vos données sont en sécurité 🔒. En entrant votre nom et e-mail, vous acceptez de recevoir notre guide RGPD et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.