Le Privacy shield

24 mai 2017

Depuis 1er août 2016, le « Privacy shield » est entré en vigueur. Il est désormais possible de s’y référer pour transférer des données personnelles vers les USA, à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine. Au-delà de cette obligation formelle, les entreprises américaines devront  respecter les obligations et les garanties de fond prévues par le « Privacy shield ».

Qu’est-ce que le Bouclier de Protection des Données UE – États - Unis?

Le Bouclier de Protection des Données, mieux connu sous le nom de « Privacy Shield »[1], est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers  des entreprises établies aux États-Unis.  Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données.

Vous trouverez ci-dessous quelques liens pour plus d’informations :

 Quelles entreprises américaines peuvent bénéficier du Bouclier de Protection des Données UE – États-Unis ?

Afin de pouvoir s’auto-certifier au Bouclier de Protection des Données, une entreprise établie aux États-Unis doit être soumise aux pouvoirs de contrôle et d’exécution de la Commission Fédérale du Commerce (« FTC ») ou du  Département des Transports américain (« DoT »). D’autres autorités habilitées par la loi pourraient également rejoindre le dispositif à l’avenir.

Cela signifie par exemple, que les organismes à but non lucratif, les banques, les sociétés d’assurances et les fournisseurs de services de télécommunication (s’agissant des  services fournis au public) ne relèvent pas de la compétence de la FTC ou du DoT et ne peuvent donc pas adhérer au Bouclier de Protection des Données.

Le Bouclier de Protection des Données s’applique à tout type de données à caractère personnel transférées par une entité depuis l’UE aux États-Unis, notamment des données commerciales, de santé ou de ressources humaines à condition que la société destinataire au États-Unis ait adhéré au dispositif.

Vous trouverez des informations complémentaires sur le site : https://www.privacyshield.gov/

Quelles actions convient-il d’entreprendre avant de transférer des données à caractère personnel vers une société établie aux États-Unis qui a adhéré ou déclare avoir adhéré au Bouclier de Protection des Données ?

Avant de transférer des données à caractère personnel auprès d’une entreprise établie aux États-Unis qui déclare être certifiée au Bouclier de Protection des Données, les entreprises européennes doivent s’assurer que la société américaine dispose d’une certification active (les certifications doivent être renouvelées tous les ans)  et que la certification couvre les données en question (plus particulièrement : les données RH, les données non-RH respectivement). 

Afin de vérifier si une certification est active et applicable, les sociétés européennes doivent consulter la Liste du Bouclier de Protection de Données qui est publiée sur le site du Département du Commerce américain (https://www.privacyshield.gov/welcome).

Toutes les sociétés américaines ayant accompli avec succès le processus d’auto-certification sont répertoriées sur la Liste. La Liste du Bouclier de Protection des Données précise en outre le type de données à caractère personnel pour lequel une société américaine a procédé à l’auto-certification (données RH ou non-RH) et fournit également des informations sur les services qu’elle propose.

Le Département du Commerce américain répertorie par ailleurs les sociétés qui ne font plus partie du dispositif du Bouclier de Protection des Données.  Ces sociétés ne sont plus autorisées à compter de la fin de leur adhésion, à recevoir des données à caractère personnel relatives à des personnes de l’UE au titre du Bouclier de Protection des Données.  Ces sociétés doivent néanmoins continuer à appliquer les principes du Bouclier de Protection des Données aux données transférées lorsque leur participation au dispositif était active.

Pour le transfert de données à caractère personnel vers des sociétés qui ne sont pas ou ne sont plus membres du dispositif du Bouclier de Protection des Données, d’autres mécanismes de transferts approuvés par l’UE peuvent être utilisés, tels que les Règles d’entreprises contraignantes ou encore les Clauses contractuelles type pour procéder au transfert de données à caractère personnel relatives à des personnes de l’UE vers des sociétés établies aux Etats-Unis.

Le fait que la société destinataire aux Etats-Unis adhère au Bouclier de Protection des Données UE – États – Unis, permettra aux sociétés européennes de se conformer aux législations nationales qui transposent l’Article 25 de la Directive 95/46. Cependant, toutes les autres obligations telles que prévues par la législation nationale en matière de protection de données à caractère personnel restent applicables:

  • S’agissant des transferts vers une société établie aux Etats-Unis agissant en qualité de responsable de traitement

Avant de procéder  au transfert de données à caractère personnel, les entreprises européennes agissant en qualité de responsable de traitement doivent veiller à ce que le transfert soit conforme au droit applicable en matière de protection de données à caractère personnel. En premier lieu, les entreprises européennes peuvent uniquement communiquer des données à caractère personnel  à une société  établie aux Etats-Unis  si le transfert bénéficie d’une base légale (c’est-à-dire si le transfert est conforme aux dispositions de la loi nationale transposant les articles 7 et 8 de la Directive 95/45/CE). En outre, l’ensemble des autres obligations générales prévues par la législation européenne en matière de protection de données à caractère personnel, pour le(s) transfert(s) doivent être respectées (notamment, les principes de finalité, de proportionnalité, de  qualité des données, les obligations d’information envers les personnes concernées). Si les données ont vocation à être transférées à une société établie aux Etats-Unis, l’entreprise européenne qui transfère les données doit également informer les personnes concernées de l’identité des destinataires de leurs données et du fait que les données bénéficient de la protection accordée par le Bouclier de Protection des Données.

Les sociétés européennes doivent noter que les dispositions des contrats commerciaux (par exemple avec leurs partenaires commerciaux) peuvent limiter leur possibilité de transférer des données à caractère personnel à des sociétés en dehors de l’UE ou de l’EEE.

  • S’agissant des transferts vers une société établie aux Etats-Unis agissant en qualité de sous-traitant

Lorsqu’une société établie en Europe agissant en qualité de responsable de traitement transfère des données à un sous-traitant établi aux États-Unis, agissant pour son compte, à des fins d’opérations de sous-traitance uniquement (stockage, maintenance informatique, helpdesk, etc.), conformément à l’article 17 de la Directive 95/46/CE, les deux sociétés sont tenues de conclure un contrat de sous-traitance de données, indépendamment du fait que le sous-traitant ait adhéré ou non au Bouclier de Protection des Données.

La conclusion d’un contrat est nécessaire afin de s’assurer que le sous-traitant établi aux États-Unis s’engage à :

  • agir uniquement sur les instructions qui sont données par le responsable de traitement ;
  • mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés et déterminer si un transfert ultérieur est autorisé[2]. Compte tenu de l’état de l’art et des coûts  liés à leur mise en œuvre, de telles mesures de sécurité doivent garantir un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ; et
  • en tenant compte de la nature du traitement, assister le responsable de traitement à répondre aux personnes qui exercent leur droit d’accès à leurs données à caractère personnel.

Il convient de noter qu’en vertu de la Directive européenne sur la protection des données à caractère personnel, la législation nationale en matière de protection des données à caractère personnel peut imposer des obligations additionnelles, comme par exemple exiger que les sociétés européennes incluent  des dispositions  supplémentaires dans leurs contrats de sous-traitance des données. Votre autorité nationale chargée de la protection des données peut vous fournir plus  de précisions à ce sujet.

Il est par exemple recommandé que la société européenne indique si elle accepte que le sous-traitant américain sous-traite à son tour le traitement des données à caractère personnel auprès d’un sous-traitant tiers ainsi que les conditions applicables (en termes de transparence et de responsabilité). En outre, il pourrait également être utile pour les sociétés européennes d’obtenir une assurance sur la notification des failles de sécurité ainsi que sur les engagements relatifs à la suppression des données une fois le contrat de prestation de service est résilié.

Où puis-je trouver des précisions concernant l’adhésion des filiales américaines des sociétés européennes ?

Pour plus d’informations quant à l’adhésion des filiales américaines des sociétés européennes au Bouclier de Protection des Données, veuillez consulter le site internet du Département du Commerce américain: https://www.privacyshield.gov/article?id=U-S-Subsidiaries-of-European-Businesses-Participation-in-Privacy-Shield.

L’adhésion au Bouclier de Protection des Données, peut être faite sur le site internet du Département du Commerce américain (https://www.privacyshield.gov/welcome).

Un guide relatif à la procédure d’auto-certification est également disponible via le lien suivant : (https://www.privacyshield.gov/article?id=How-to-Join-Privacy-Shield-part-1).

Dans tous les cas, les principes de la protection des données qui s’appliquent dans le cadre du Bouclier de Protection des Données devront être respectés par l’entité qui a adhéré à ce dispositif.

 

[1] La décision sur l’adéquation du Dispositif du Bouclier de Protection des Données UE – États-Unis (« Bouclier de Protection des Données ») ou (« Dispositif),  a été adoptée par la Commission européenne le 12 juillet 2016. Ce dispositif  a été élaboré par la Commission européenne et le Département du Commerce américain pour remplacer la Décision Safe Harbor 2000/520/EC qui a été déclarée invalide par la Cour européenne de Justice le 6 octobre 2015.

[2] Pour plus d’informations sur les transferts ultérieurs par les sous-traitants établis aux Etats Unis, veuillez consulter la section « Obligatory Contracts for Onward Transfers » du Bouclier de Protection des Données et vous référer à la Question 4.

 

Les mots clés associés à cet article