Fil d'Ariane
Pouvons-nous à nouveau utiliser les outils américains ? - Protection appropriée pour les transferts de données vers les États-Unis en vertu du Data Privacy Framework
Le 20 septembre 2023, le Journal officiel de l'Union européenne a publié la décision du 10 juillet 2023 adoptant une nouvelle décision d'adéquation pour les entreprises des États-Unis d'Amérique certifiées en vertu le Data Privacy Framework (DPF). Cela permet à nouveau de partager des données avec des organisations américaines sans trop d'inquiétude. Pour l'instant, en tout cas.
Était-il encore possible d’utiliser les outils américains ?
Les organisations qui se posent cette question sont passées à travers les mailles du filet ces dernières années. Depuis juillet 2020, les exportations de données vers les États-Unis étaient devenues quasiment impossibles à la suite de l'arrêt Schrems-II de la Cour de justice. Cet arrêt a invalidé le bouclier de protection des données UE-États-Unis de l'époque et a imposé des obligations d’une portée considérable aux entreprises souhaitant utiliser des outils américains (voir notre précédent newsflash). La raison résidait dans l'absence d'un niveau adéquat de protection des données personnelles aux États-Unis.
De nombreuses entreprises américaines avaient été certifiées en vertu du bouclier de protection des données, ce qui a facilité l'échange de données. L’échange de données en dehors de l'Espace économique européen (Union européenne, Islande, Norvège et Liechtenstein) nécessite un mécanisme de transfert. Ainsi, la décision d'adéquation est un mécanisme par lequel la Commission européenne indique qu'un pays déterminé offre des garanties suffisantes pour la protection des données à caractère personnel. Pour les États-Unis, cette décision était subordonnée à la certification de l'entreprise américaine en vertu du bouclier de protection des données.
En raison de l'invalidité du bouclier de protection des données, les entreprises ont dû chercher un autre mécanisme de transfert pour transférer des données à caractère personnel vers les États-Unis. La plupart des entreprises ont trouvé ce mécanisme dans les Clauses Contractuelles Types (CCT) révisées, de la Commission européenne. Toutefois, selon la Cour de justice, ces CCT n'étaient pas suffisantes : les entreprises devaient examiner si des mesures supplémentaires étaient appropriées en fonction d'une analyse approfondie (appelée « évaluation de l'impact du transfert de données »). Il s'agit notamment de mesures telles que le cryptage, l'anonymisation et la pseudonymisation. Ce n'est que lorsque des mesures suffisantes ont été prises pour garantir le niveau de protection qu'une entreprise est finalement autorisée à utiliser des outils américains tels que Google Analytics et Mailchimp. Dans la pratique, ces mesures étaient souvent très inefficaces ou beaucoup trop coûteuses, ce qui a conduit à choisir plus rapidement des alternatives européennes.
Il est temps de revenir à un échange de données en toute sérénité avec les États-Unis
Deux ans après l'arrêt Schrems-II, le président des États-Unis, Joe Biden, et la présidente de la Commission européenne, Ursula von der Leyen, sont soudainement parvenus à un accord. Cet accord a été scellé par un décret présidentiel. Le bouclier de protection des données a ensuite été remplacé par le Data Privacy Framework. Les entreprises américaines peuvent s'y conformer et entrer ainsi dans le champ d'application de la décision d'adéquation. D'ailleurs, pour les entreprises déjà certifiées en vertu du bouclier de protection des données dans le passé, la transition a été extrêmement facile.
La principale conséquence de cette décision d'adéquation est qu'il est désormais beaucoup plus facile d'utiliser à nouveau les outils américains. En effet, pour les organisations certifiées en vertu du DPF, il n'est plus nécessaire de recourir aux CCT et de prendre des mesures supplémentaires. La situation est également beaucoup plus simple pour les entreprises qui ne sont pas certifiées en vertu du DPF. Elles devront toujours conclure des CCT ou utiliser un autre mécanisme de transfert, mais elles n’auront plus à prendre des mesures supplémentaires de grande envergure dans de nombreux cas. La Commission européenne précise dans un question-réponse que les mesures prises par les États-Unis couvrent tous les transferts vers les États-Unis, et ce quel que soit le mécanisme de transfert.
Pas de solution stable
Étant donné qu'il n'y a pas eu, en soi, de changements substantiels concluants dans le droit américain depuis l'arrêt Schrems-II, il était inévitable que le célèbre défenseur de la vie privée Max Schrems conteste le nouveau DPF. Il s'attend à ce que l'affaire soit renvoyée devant la Cour de justice d'ici la fin de l'année 2023 ou le début de l'année 2024. La Cour de justice aura alors la possibilité de suspendre le DPF pendant la durée de la procédure. La décision finale de la Cour de justice devrait être rendue en 2024 ou en 2025.
Début septembre, il a été annoncé qu'une affaire contre le DPF était déjà pendante devant le Tribunal (de l'Union européenne). Il convient toutefois de noter d'emblée que les chances de succès sont considérées comme faibles.
L'avenir nous dira si le DPF tient bon. Compte tenu des victoires précédentes de Schrems et du fait qu'aucun changement significatif n'a été apporté, il n'est pas improbable qu'il obtienne un nouveau succès. Il est donc préférable d'explorer les alternatives européennes, ou de prendre des mesures de protection supplémentaires suffisantes lors de l'utilisation des outils américains.
A la recherche d'alternatives
En attendant le résultat final, vous pouvez déjà préparer l’avenir à l'aide des étapes suivantes :
- Cartographier tous les outils au sein de l'entreprise (vendor due diligence).
- Rechercher des alternatives équivalentes en Europe.
- Mettre en œuvre des mesures supplémentaires pour vos outils américains.