Transfert plus facile des données personnelles vers les États-Unis

Transfert plus facile des données personnelles vers les États-Unis
Peter Nordbeck, avocat, cabinet Delphi.

Au milieu de l’été, la Commission européenne a décidé que les données personnelles pouvaient être transférées vers les États-Unis sans qu’il soit nécessaire de recourir à des clauses contractuelles types ou à d’autres mesures de protection correspondantes.

Dans ce commentaire d’expert, j’explique la décision et les conséquences pratiques pour les autorités utilisant des services qui impliquent le transfert de données personnelles vers des pays en dehors de l’UE/EEE (appelés pays tiers).

Que signifie pour les États-Unis la décision de la Commission européenne sur un niveau de protection adéquat ?
La décision signifie que les données personnelles de l’UE seront transférées aux organisations membres Cadre de protection des données entre l’Union européenne et les États-Unis sans qu’il soit nécessaire de recourir à des clauses contractuelles types ou à d’autres garanties appropriées conformément à l’article 46 du RGPD. Le fonctionnement du cadre doit être réexaminé régulièrement, le premier dans l’année suivant l’entrée en vigueur de la décision.

Une liste des organisations qui ont rejoint le cadre est disponible, entre autres, sur le site Web de l’Autorité suédoise de protection des données (IMY). Plusieurs fournisseurs majeurs figurent sur la liste et la conclusion raisonnable est que tous les principaux fournisseurs participeront.

Pour les fournisseurs ne participant pas au cadre, une évaluation de l’impact du transfert (TIA) doit être réalisée de la même manière qu’auparavant, même si les évaluations réalisées par la Commission européenne dans sa décision d’adéquation peuvent être utilisées et devenir un facteur important si un TIA doit être créé.

Une limitation importante est que la décision d’adéquation ne s’applique qu’aux transferts de données personnelles de l’UE vers les États-Unis. Si des données personnelles sont transférées vers d’autres pays en dehors de l’UE/EEE qui ne sont pas soumis à une décision d’adéquation, un TIA doit quand même être établi.

Défis pratiques liés à la prise de décisions d’adéquation
La décision d’adéquation permet aux autorités de conclure plus facilement des accords avec des fournisseurs informatiques américains. Cependant, un défi réside dans le fait qu’une partie des services des fournisseurs informatiques peut être fournie depuis des pays tiers autres que les États-Unis.

Cela s’applique souvent aux services d’assistance. Il est courant que les données soient stockées en Suède ou ailleurs au sein de l’UE, mais que les services d’assistance soient fournis par les employés ou sous-traitants du fournisseur aux États-Unis et dans d’autres pays en dehors de l’UE/EEE. La décision d’adéquation s’applique aux services d’assistance aux États-Unis (si le prestataire d’assistance y a adhéré).

Mais comment l’autorité doit-elle juger le soutien et les services similaires fournis par des entreprises d’autres pays tiers ? La question n’est pas nouvelle, mais elle est mise en avant par la décision d’adéquation.

Une première question est de savoir qui est chargé de garantir que le prestataire de soutien dans l’autre pays tiers traite les données personnelles conformément au cadre et au RGPD. Est-ce la responsabilité de l’autorité ou du fournisseur informatique ?

Par conséquent Recommandations 01/2020 du Comité européen de la protection des données (EDPB) sur des mesures complémentaires sur les outils de transfert pour garantir le respect des niveaux de protection des données personnelles de l’UE réside la responsabilité l’exécuteur de tâchesqui peut être le responsable du traitement des données personnelles ou l’assistant des données personnelles.

Lors de l’utilisation des clauses contractuelles types Assistant de données personnelles – ​​Assistant de données personnelles, cela signifie que la responsabilité incombe à l’Assistant de données personnelles. Cependant, il résulte de l’article 44 du RGPD que le responsable est responsable du traitement des données personnelles. Et L’Assistant Données Personnelles est responsable du respect des conditions énoncées au chapitre V du RGPD. D’autres dispositions du RGPD soutiennent également la responsabilité de la personne responsable, comme les exigences de l’article 28.

Une approche sensée consisterait à ce que l’autorité soit responsable en toutes circonstances de garantir que le prestataire de soutien dans l’autre pays tiers traite les données personnelles conformément au cadre et au RGPD.

Pour commencer, l’autorité devrait procéder à un TIA pour le transfert vers le pays tiers afin de garantir qu’un transfert puisse avoir lieu. Cependant, un défi réside dans le fait que les contrats des fournisseurs informatiques contiennent souvent une liste de sous-traitants qui peuvent être utilisés à un moment donné, mais il n’est pas clair quels sous-traitants seront utilisés dans un cas spécifique. En outre, il n’est pas suffisamment clair dans quelle mesure les sous-traitants traiteront les données personnelles dans le cadre du support.

Cela signifie que le travail de création d’un TIA est beaucoup plus difficile. La question que l’autorité doit se poser est de savoir s’il est judicieux de consacrer des ressources à la création d’un TIA s’il n’est pas clair vers quels pays tiers les données personnelles peuvent être transférées et si les données personnelles seront effectivement transférées vers le pays tiers.

Bien entendu, une façon de résoudre le problème est de vérifier auprès du fournisseur. Cependant, l’expérience montre qu’il est difficile d’obtenir des réponses pouvant servir de base à une évaluation. Il serait souhaitable que les conditions des fournisseurs informatiques dans cette partie importante soient formulées beaucoup plus clairement. D’ici là, l’autorité peut procéder à une évaluation dans le cadre de son analyse des risques et de la vulnérabilité, qui dépend entre autres du type de données personnelles et des mesures de sécurité en place.

L’éléphant dans la pièce – Schrems III
Étant donné que les cadres Safe Harbor et Privacy Shield ont tous deux été rejetés après avoir été soumis à un examen par la Cour de justice européenne, la question reste de savoir si le cadre sera maintenu. Cadre de protection des données entre l’Union européenne et les États-Unis passer un contrôle judiciaire ?

L’organisation NOYB a déjà déclaré qu’elle contesterait la décision d’adéquation et il a récemment été rapporté qu’un membre du Parlement français avait contesté la décision. Nous pouvons donc nous attendre avec une forte probabilité à un réexamen de la décision d’adéquation par la Cour de justice de l’UE.

Bien entendu, il n’est actuellement pas possible de commenter le résultat. Mais un rejet de la décision d’adéquation – un Schrems III – porterait un coup sérieux à la capacité de transférer des données personnelles vers les États-Unis.

Comment les autorités devraient-elles penser maintenant ?

Je considère qu’il est raisonnable de supposer qu’avec le soutien de la décision d’adéquation, un transfert de données personnelles vers les États-Unis est possible. Toutefois, l’autorité devrait suivre l’évolution de la situation et mettre en place un plan d’urgence en cas d’échec de la décision d’adéquation. Dans la mesure du possible, l’autorité devrait également tenir compte des modifications des conditions dans l’accord.

Peter Nordbeck
Avocat, Cabinet d’avocats Delphi

Stéphanie Reyer

"Écrivain. Érudit total du café. Amoureux des voyages. Penseur. Troublemaker. Praticien du bacon hardcore."

Related Posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *