Recevez chaque jour toute l'actualité du numérique

x

Bruxelles révise ses règles pour les transferts de données personnelles vers les USA

La Commission européenne a adopté de nouvelles clauses contractuelles types. Ces modèles de contrats encadrent les transferts de données personnelles de l'Europe vers un pays étranger avec lequel aucun accord global n'est en vigueur, comme les Etats-Unis depuis l'invalidation du Privacy Shield en juillet dernier.
Twitter Facebook Linkedin Flipboard Email
×

Bruxelles révise ses règles pour les transferts de données personnelles vers les USA
Bruxelles révise ses règles pour les transferts de données personnelles vers les USA © Christian Lue/Unsplash

Quelles sont les conditions à respecter pour qu'un transfert de données vers les Etats-Unis soit légal ? Voici la question à laquelle la Commission européenne a répondu le 4 juin en publiant deux nouveaux ensembles de clauses contractuelles types (CCT).

Ces modèles de contrats permettent d'encadrer les transferts de données personnelles hors de l'Union européenne pour sécuriser ces flux. Elles ont pour objectif de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert.

Une alternative au Privacy Shield
Les nouvelles clauses adoptées par la Commission reflètent les nouvelles exigences du Règlement général sur la protection des données (RGDP). Elles tiennent également compte de l'arrêt Schrems II qui a invalidé le Privacy Shield, ce texte qui facilitait le transfert de données entre l'UE et les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le RGPD.

En l'absence d'accord international, tous les flux de données personnelles transitant en dehors de l'Union européenne doivent respecter les garanties imposées dans les clauses. A défaut, ces transferts sont illégaux et les acteurs concernés engagent leurs responsabilités.

A noter que ces nouvelles clauses contractuelles types s'appliquent à tous les transferts internationaux mais l'enjeu le plus important reste ceux effectués vers les Etats-Unis, pays où siègent la grande majorité des grandes entreprises technologiques.

Nouvelles garanties pour protéger les données
Dans les grandes lignes, ces nouvelles clauses contractuelles types intègrent de nouvelles garanties afin de prendre en compte la conclusion de la Cour de justice de l'Union européenne sur la législation américaine. Pour rappel, c'est la possibilité pour les autorités américaines de mettre la main sur les données personnelles des Européens sous certaines conditions qui a notamment motivé cette décision.

Ainsi, la Commission a ajouté un certain nombre de dispositions ayant pour objectif de renforcer la capacité des parties au contrat de vérifier dans quelle mesure les agences gouvernementales en dehors de l'Union européenne peuvent accéder aux données personnelles. Par exemple, les clauses créent des obligations plus fortes dans l'évaluation de l'impact potentiel de la législation nationale sur les données personnelles transitant vers le pays concerné.

Sur certains points, Bruxelles est allé à l'encontre des recommandations formulées par le Comité européen de la protection des données et le Contrôleur européen de la protection des données. Dans un avis conjoint rendu en janvier dernier, ils estimaient que "la référence à l’absence de demandes de communication émanant d’autorités publiques reçues par l’importateur de données ou à l’expérience pratique pertinente" sont "source d'ambiguïté" pour justifier que le cadre juridique est suffisamment protecteur.

En effet, "ces éléments pourraient donner l’impression que, même lorsque l’évaluation préalable du cadre juridique du pays tiers de l’importateur a conduit à la conclusion que la législation du pays tiers n’est pas conforme aux exigences de l’Union (…) que des transferts pourraient quand même avoir lieu", concluaient les deux organismes.

Or, dans ses nouvelles clauses, la Commission a conservé une approche fondée sur les risques. Les importateurs de données peuvent invoquer "l'expérience pratique pertinente" à ceci près qu'ils doivent apporter "d'autres éléments pertinents et objectifs".

Une période transitoire de 18 mois
A noter que les responsables du traitement et les sous-traitants, qui utilisent actuellement les anciennes clauses contractuelles types, bénéficient d'une période de 18 mois pour se conformer aux nouvelles à compter de la date d'entrée en vigueur de la décision de la Commission.

Le militant Max Schrems, président de l'association Noyb et à l'origine de contentieux contre Facebook, s'est montré très critique envers l'approche de la Commission. Ces clauses entraîneront "simplement plus de paperasse et de responsabilité de la part des entreprises", a-t-il écrit dans un tweet

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.