Les décisions d’adéquation
Le Règlement Général sur la Protection des Données impose de nombreuses règles à respecter afin de préserver la sécurité des données personnelles. L’un des principes fondamentaux est, en conséquence, de ne pas autoriser de transfert de données dans des pays qui n’apportent pas les garanties requises.
Pas de souci au sein de l’Union Européenne, il n’en est pas de même dans le reste du monde. Des décisions d’adéquation sont prises au cas par cas et ne couvrent parfois que certains types de données. Il est donc nécessaire de s’assurer que le cadre juridique soit conforme.
Le cas particulier des Etats-Unis
Les Etats-Unis n’ont obtenu une décision d’adéquation que le 10 juillet 2023, encore faut-il s’assurer que les sociétés auprès desquelles vous souhaitez transférer des données personnelles européennes soient bien enregistrées auprès du Ministère américain du commerce.
Pourquoi donc une décision si tardive ?
L’histoire est en fait longue et mouvementé, depuis 1998 le Safe Harbor permet de transférer des données vers un nombre limité d’entreprises américaines. Il est annulé en 2015, puis remplacé par le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy shield) validé le 12 juillet 2016, après quelques actions du président Obama engageant les Etats-Unis dans une démarche de conciliation avec les demandes européennes.
Les décisions de dérégulation prises sous sa présidence « Trump I » ont conduit la Cour de justice de l’Union européenne (CJUE), le 16 juillet 2020 à prendre un arrêt dit « Schrems II », invalidant le Privacy shield.. Cet accord avait d’ailleurs été contesté depuis le début de par l’utilisation commerciale des données personnelles par les entreprises américaines et le déséquilibre maintenu des droits entre les sociétés européennes et les sociétés américaines.
Etape suivante, l’administration Biden prend de nouvelles dispositions pour revenir à une situation plus conforme aux attentes européennes, ce qui aboutit à la décision d’adéquation du 10 juillet 2023.
Quelle est l’espérance de vie de cette décision sous l’administration « Trump II » ? Le pessimisme prévaut.
Prévoyez un plan B si vos données sont concernées.
Les pays tiers
Les pays où vous pouvez transférer vos données européennes sans réserve, à ce jour :
- Andorre
- Argentine
- Canada
- Iles Féroé
- Guernesey
- Israël
- Ile de Man
- Japon
- Jersey
- Nouvelle Zélande
- Suisse
- Uruguay
- Royaume-Uni
- Corée du Sud
- et …
- les Etats-Unis
Les décisions d’adéquation ne sont pas permanentes. La Commission européenne surveille l’évolution des lois et des pratiques de protection des données dans les pays tiers et peut donc révoquer ou suspendre une décision d’adéquation si le niveau de protection adéquat n’est plus assuré.
L’année à venir va être intéressante.
Laisser un commentaire