Le Privacy Shield : définition et explications

Retrouvez dans cet article l’actualité au sujet de l’accord « Privacy Shield », sa définition et les explications simples et efficaces pour comprendre quelles sont les conséquences en général mais plus précisément pour les entreprises.

Cela n’a échappé à personne, le 16 juillet dernier, la Cour de Justice de l’Union européenne (CJUE) a chamboulé nos relations avec les Etats-Unis au sujet de la protection des données à caractère personnel (RGPD). La CJUE a ainsi mis un terme à l’existence du Privacy Shield suite à l’accord prononcé « la primauté́ des exigences relatives à la sécurité́ nationale, à l’intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays (…) »

Le Privacy Shield: définition ?

Il s’agissait d’un accord conclu entre les Etats-Unis et l’Union européenne. Par cet accord, l’Union européenne reconnaissait que les Etats-Unis apportaient un niveau de sécurité équivalent à l’UE concernant la protection des données personnelles. Concrètement, c’était un mécanisme d’auto-certification des entreprises américaines sur la base d’un catalogue d’exigence.

Explications : qu’est ce l’invalidation du Privacy Shield?

La conséquence directe est l’appréciation des USA quant au RGPD. Aujourd’hui, les USA n’apportent pas le niveau de sécurité de protection des données personnelles équivalent à celui de l’Union européenne. Autrement dit, si les données passent par un serveur, un hébergement du site web ou du CRM situé sur le sol américain, l’entreprise n’est donc pas conforme RGPD. Il n’est plus possible pour une entreprise européenne de faire appel à une entreprise américaine sur la base de cet accord sans risquer une non-conformité majeure au regard des autorités de contrôles.

Quelles sont les actions à mener ?

  1. Rapprochez-vous de vos sous-traitants situés aux Etats-Unis ou de vos sous-traitants qui pourraient eux-mêmes faire transiter des données par le sol américain. Répondez à la question suivante « Comment sont encadrés les relations avec vos sous-traitants ? »
    Depuis l’entrée en vigueur du RGPD, vos clauses contractuelles auraient dû normalement toutes être revues. Cependant, aujourd’hui, il est demandé au Responsable de traitement d’évaluer très précisément les circonstances des transferts, et des mesures supplémentaires qui pourraient être mises en place.
  2. Mettez en pause le transfert des données avec les sous-traitants situés aux USA lorsque cela est possible. Il faut garder à l’esprit qu’aujourd’hui, les autorités de contrôles se veulent très attentives puisqu’il est nécessaire d’informer l’autorité de contrôle française (la CNIL) si jamais le transfert est maintenu.
  3. Et bien entendu, si ce n’est pas déjà fait, prévoyez la mise en place de Clauses Contractuelles Types (CCT) ou de Building Corporate Rules (BCR), comme cela est attendu pour toutes les entreprises situées dans un pays ne garantissant pas le niveau adéquat de protection.

Vous avez parlé de mesures supplémentaires, de quoi parle-t-on ?

La question reste en suspens. Actuellement, nous attendons le retour du contrôleur européen de la protection des données. Il étudie la décision de la CJUE afin d’apporter des réponses. Une chose est certaine, aujourd’hui, les CCT ou les BCR ne suffiront pas. Il apparait compliqué de garantir une protection équivalente à celle du RGPD face à la législation américaine. En effet, celle-ci fait prévaloir la sécurité nationale et les renseignements américains (Foreign Intelligence Security Acte, Cloud Act, Patriot Acte) par rapport au respect et à la protection des données personnelles.

Récapitulatif du Privacy Shield en date du 1 octobre 2020

Le Privacy Shield était un accord conclu entre les Etats-Unis et l’Union européenne. Il s’agit ni plus ni moins qu’une check-list que les entreprises américaines devaient respecter pour pouvoir travailler avec les entreprises européennes soumises au RGPD.

Dans leurs process, les USA n’apportent pas le (même) niveau de sécurité adéquate pour les données personnelles des européens. Le Privacy Shield permettait aux entreprises européennes et américaines de collaborer ensemble si et seulement si les entreprises américaines respectaient cette fameuse check list. L’accord « Privacy Shield » a donc été invalidé (rompu) en raison de manques ou multiples imprécisions des textes US (moins contraignants que RGPD européen). Conséquences :

  • Les entreprises américaines ne sont plus considérées comme conformes RGPD, même si elles remplissent la check list.
  • Les européens qui souhaitent travailler avec des entreprises américaines qui n’apportent pas un respect du RGPD, entravent la règlementation et sont sous risque de non-conformité.
  • Les entreprises européennes doivent impérativement revoir leur liste de leurs sous-traitants pour maintenir leur niveau de conformité RGPD.

En annulant cet accord « Privacy Shield », la collaboration entre entreprises européennes et américaines devient ainsi plus difficile lorsque les données passent par un serveur, un hébergement du site web ou du CRM situé(s) sur le sol américain.

Article rédigé par Amélie SZCZEPANSKI

Voir d’autres articles :