Nous ne cessons de vous mettre en garde concernant l’utilisation de prestataires non-européens, dont les services impliquent le traitement de données à caractère personnel.
Comme nous le rappelions dans un webinaire, le transfert de données à caractère personnel vers un pays non-membre de l’Union est interdit s’il ne repose sur aucun mécanisme de transfert reconnu par le RGPD.
Concernant les prestataires états-uniens (on pense ici notamment à Microsoft, Google, Amazone, MailChimp, Salesforce, etc.), la Cour de Justice de l’Union européenne, dans son arrêt « Schrems II », avait déclaré que les législations américaines étaient si permissives dans l’accès aux données qu’elles octroient aux agences gouvernementales américaines, qu’elles empêchaient tout transfert sécurisé de données vers les USA.
Le recours à leurs services était alors, dans les faits, interdit.
En d’autres termes, aucun mécanisme de transfert proposés par le RGPD ne permettait de protéger suffisamment les données qui étaient transférées sur le territoire américain ou rendues accessibles aux sociétés américaines. Par conséquent, la majorité des utilisations d’outils proposés par ces prestataires américains impliquaient un transfert illégal de données au regard du RGPD.
Feu vert aux transferts, mais à quelles conditions ?
Le 10 juillet 2023, les accords de protection de données conclus entre l’Union européenne et les États unis ont permis à la Commission européenne de déclarer que les organisations américaines qui adhèrent au « Data Privacy Framework program » assurent désormais un niveau de protection des données à caractère personnel adéquat.
Par conséquent, les transferts de données à caractère personnel à des entreprises américaines qui adhèrent à ce programme peuvent avoir lieu sans mesures de sécurité supplémentaires pour encadrer le transfert.
Qui a adhéré au « Data Privacy Framework » ?
Vous trouverez la liste de ces entreprises sur le site : https://www.dataprivacyframework.gov/s/participant-search.
Nous vous invitons dès lors à vérifier que les entreprises américaines auxquelles vous faites appel/envisagez de faire appel soient bien référencées sur cette liste.
Problème réglé ? Pour l’instant …
L’organisation dirigée par Max Schrems, qui a obtenu les arrêts Schrems I et II, a déjà fait part de son intention de contester la décision de la Commission. Un député européen l’a devancé le 6 septembre 2023. Après le Safe Harbour et le Privacy Shield, la justice européenne devra donc également examiner cette troisième version de la décision d’adéquation.
Si la Cour de Justice de l’Union européenne venait (à nouveau) à l’annuler, les transferts de données entre l’Union européenne et les États-Unis redeviendraient, par la force des choses, illégaux.
Notre conseil :
- Vérifiez la localisation de vos prestataires IT.
- Pour chaque transfert de données en dehors de l’Union européenne, veillez à ce que le transfert repose sur l’un des mécanismes de transfert reconnu par le RGPD.
- Pour les transferts vers les USA, vérifiez que le prestataire a bien adhéré au « Data Privacy Framework » et conservez-en la preuve. Si ce n’est pas le cas, il faut à tout le moins conclure avec ce prestataire des clauses contractuelles types et mettre en place des mesures supplémentaires, mais cela reste très fragile…
Notre équipe peut vous assister dans votre analyse et vos négociations. N’hésitez pas à nous contacter !
Victoria Ruelle
Jean-François Henrotte