Un nouveau cadre de protection des données entre les États-Unis et l'Union européenne pour permettre la libre circulation des données
La mauvaise gestion des transferts de données entre l'UE et les États-Unis est un sujet de discussion depuis la condamnation du propriétaire de Facebook, Meta, à une amende de 1,2 milliard d'euros pour infraction à l'article 46, paragraphe 1, du Règlement général sur la protection des données (« RGPD »). Dans cette affaire, la Data Protection Commission, équivalent irlandais de la Commission nationale de l’informatique et des libertés (« CNIL ») en France, a découvert que les clauses contractuelles (connues sous le nom de clauses contractuelles types), préparées par la Commission européenne et contenant des garanties, n'étaient pas utilisées de manière adéquate. Les droits et libertés fondamentaux des utilisateurs ont ainsi été compromis lors des transferts de données.
Depuis, un nouvel accord a été conclu entre l'UE et les États-Unis pour protéger les données lors de leur transfert entre les deux territoires, afin de renforcer la protection des données des utilisateurs selon des normes comparables à celles du RGPD de l'Union européenne.
Comment les données seront-elles mieux protégées lors de leur transfert entre l'UE et les États-Unis ?
L’accord de protection des données a été conclu conformément à l'article 45, paragraphe 3, du RGPD, qui donne à la Commission européenne le pouvoir de décider qu'un pays non membre de l'UE peut fournir « un niveau de protection adéquat » équivalent au niveau de protection de l'UE. Les décisions d'adéquation de ce type ont pour effet que les données à caractère personnel peuvent circuler plus librement vers les États-Unis sans obstacles supplémentaires et sans avoir à mettre en œuvre des garanties supplémentaires en matière de protection des données.
La Commission s'inquiétait de la surveillance des données à caractère personnel de l'UE par le gouvernement américain, mais l'un des principaux moyens par lesquels le nouvel accord maintiendra la protection de la vie privée est l'introduction de nouvelles garanties contraignantes qui répondront aux préoccupations de la Cour européenne de justice en matière de protection des données.
Selon le nouveau cadre, les services de renseignement américains n'auront qu'un accès limité aux données de l'UE. Ils ne pourront accéder aux données que si cela est nécessaire et proportionné à la sécurité nationale. Une nouvelle cour de justice, la Data Protection Review Court (« DPRC »), sera mise en place. Elle sera chargée d'examiner les cas graves de violation des données et de résoudre les plaintes. Cela signifie que les citoyens de l'UE dont les données personnelles ont été traitées de manière inappropriée par des entreprises américaines disposeront de mécanismes indépendants et gratuits de résolution des litiges et d'un groupe d'arbitrage si leurs données ont été utilisées d'une manière qui va à l'encontre du nouveau cadre UE-États-Unis de protection des données.
Quel sera l'impact du nouvel accord sur les entreprises américaines ?
Les entreprises américaines pourront adhérer au cadre UE-États-Unis de protection des données à caractère personnel à condition de s'engager à respecter des obligations strictes en matière de protection des données, telles que la suppression des données au moment où elles ne sont plus nécessaires pour l'objectif initial pour lequel elles ont été collectées et la garantie de la protection des données lors de la transmission d'informations à des tiers. En cas de non-respect des nouvelles mesures plus strictes, les entreprises américaines pourront être tenues de rendre des comptes par des entités nouvellement créées, telles que la Data Protection Review Court, (« DPRC »). Les utilisateurs disposeront de davantage de moyens pour répondre à leurs préoccupations lorsqu'ils estimeront que leurs données ont été violées.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal