Le président Biden a signé un décret exécutif pour renforcer les protections juridiques destinées au service de renseignement (United States Signals Intelligence Activities) pour répondre aux obligations établies par le cadre juridique entre les deux continents, appelé EU-U.S. Data Privacy Framework.
Ce décret pourrait offrir une solution permettant de renforcer la protection des données personnelles échangées entre les les États-Unis et l’UE. Il donnera également à la Commission européenne une base pour adopter une nouvelle décision d’adéquation qui rétablira un mécanisme de transfert valide. Continuez votre lecture pour découvrir les dernières actualités sur le cadre de protection des données USA-UE.
En bref :
Les transferts de données transfrontaliers sont indispensables pour les entreprises américaines et européennes de toute taille afin de participer à l’économie numérique.
Comme décrit dans la dernière fiche récapitulative, l’économie entre l’UE et États-Unis s’élève à 7,1 billions de dollars et s’appuie grandement sur les transferts de données transatlantiques. Le nouveau cadre juridique permettra de rétablir une base juridique solide pour encadrer ces transferts.
🚀 Le cadre relatif à la protection des données entre l’UE et les États-Unis symbolise la force d’un partenariat de longue durée entre les deux continents, s’appuyant sur des valeurs partagées permettant de rétablir confiance et stabilité aux transferts de données transfrontaliers. Consultez notre article sur le même sujet ici pour plus d’informations sur la confidentialité des données échangées lors de transferts transatlantiques.
Le décret exécutif est destiné à renforcer un ensemble rigoureux de droits et de protections de la confidentialité s’appliquant aux activités américaines de renseignement, et à répondre aux inquiétudes en mettant en lumière des éléments importants du cadre juridique, y compris :
👉 des garanties supplémentaires, notamment la nécessité que les activités de renseignement des États-Unis ne soient menées qu’à des fins de sécurité nationale clairement spécifiées ;
👉 des directives concernant la gestion des données personnelles collectées lors de ces activités de renseignement et la nomination de personnel juridique dont l’objectif est d’assurer la conformité ;
👉 revoir la difficulté d’accès des personnes concernées à un accompagnement juridique lorsque leurs données personnelles sont interceptées par les services américains ;
👉 établir une procédure complète pour les résidents des régions concernées et les organisations leur permettant d’obtenir un examen juridique et indépendant de leurs réclamations relatives à la collecte ou gestion de leurs données personnelles par les États-Unis, y compris les garanties renforcées prévues dans le décret.
👉 assurer que les politiques et pratiques de la communauté de renseignement (Intelligence Community) sont alignées sur le cadre juridique de protection des données.
💡 Pour plus d’infos sur l’impact du nouveau cadre, consultez la fiche récapitulative du gouvernement (en anglais).
Pour la première fois depuis l’annulation du bouclier de protection des données (ou Privacy Shield), les entreprises pourront s’appuyer sur un cadre juridique solide pour les transferts entre l’UE et les États-Unis. En facilitant ce type de transfert extraterritorial, les entreprises n’auront plus à perdre de temps à se pencher sur diverses normes ambiguës. Aussi, les entreprises qui utilisent des clauses contractuelles types et des règles d’entreprise contraignantes bénéficieront d’une sécurité juridique stable.
Les États-Unis ayant maintenant publié leur décret, la Commission européenne sera en mesure d’émettre une « décision d’adéquation », qui pourra légitimer les transferts de données entre l’UE et les États-Unis. La procédure décisionnelle pourrait prendre jusqu’à 6 mois.
💡 Les entreprises doivent garder à l’esprit que les transferts de l’UE vers d’autres pays tiers nécessiteront toujours une Analyse d’impact du transfert. Il est essentiel de tenir à jour les registres de données afin de se conformer au RGPD.
💡 Pour le moment, votre entreprise peut s’appuyer sur les éléments suivants :
Clauses contractuelles types (ou SCCs)
Analyse d’impact du transfert (TIA), essentielle conformément au RGPD.
Le cas échéant, déclaration des transferts de données transfrontaliers dans votre politique de confidentialité.
N’oubliez pas, même si vous avez un accord relatif aux données en place, vous devez quand même mentionner les transferts de données. Par ici pour en savoir plus !
