Le 10 juillet 2023, la Commission européenne a annoncé qu'elle avait adopté une décision d'adéquation au titre du cadre UE-États-Unis de protection des données (DPF).
Vous pouvez désormais effectuer des transferts légaux de données de l'UE vers les États-Unis, à condition que votre entreprise s'autocertifie en ce qui concerne les mesures de protection des données définies par le programme.
Toutefois, une certaine incertitude subsiste quant à l'avenir à long terme et à la viabilité du programme DPF UE-États-Unis.
Dans ce guide, je vous apprendrai tout ce que vous devez savoir sur le programme DPF, je vous guiderai dans le processus de mise en conformité et je vous expliquerai l'histoire intéressante des transferts internationaux de données entre les États-Unis et l'Union européenne.
- Qu'est-ce que le programme du cadre de protection des données (DPF) ?
- Qui est concerné par le programme-cadre de protection des données ?
- Que doivent savoir les entreprises sur le DPF ?
- Quelles sont les principales exigences du cadre de protection des données ?
- Qui fait respecter le programme du cadre de protection des données ?
- Bref historique du cadre UE-États-Unis sur la protection des données personnelles
- Comment Termly aide à la mise en conformité de la confidentialité des données
- Résumé
Qu'est-ce que le programme du cadre de protection des données (DPF) ?
Le programme du cadre de protection des données (DPF) est une décision d'adéquation élaborée pour faciliter le commerce transatlantique et fournir un mécanisme fiable pour le transfert de données à caractère personnel de l'UE, de l'Espace économique européen (EEE), du Royaume-Uni, de Gibraltar et de la Suisse vers les États-Unis.
Elle garantit que les entreprises américaines de traitement des données se conforment de manière adéquate aux lois sur la protection des données de l'UE, du Royaume-Uni et de la Suisse, telles que le RGPD, le RGPD britannique et la loi fédérale sur la protection des données (Federal Data Protection Act, FDPA).
Il se compose techniquement des trois cadres clés suivants pour rendre compte de chaque lieu :
- Le cadre UE-États-Unis de protection des données (EU-U.S. DPF)
- L'extension britannique du cadre UE-États-Unis sur la protection des données (extension britannique du DPF UE-États-Unis)
- Le cadre suisse-américain de protection des données (Swiss-U.S. DPF)
Qu'est-ce qu'une décision d'adéquation ?
Une décision d'adéquation est une procédure formelle de la Commission européenne indiquant qu'un pays tiers ou une organisation internationale peut protéger de manière adéquate les informations personnelles des individus dans l'UE, l'EEE, le Royaume-Uni et la Suisse.
Le règlement général sur la protection des données (RGPD) exige une décision d'adéquation pour que les transferts internationaux puissent avoir lieu sans autre approbation d'une autorité dirigeante.
Il a été adopté par les législateurs de l'UE en 2023 et un site web a été créé pour le cadre du DPF, qui répertorie toutes les entreprises participant au programme.
Qui est concerné par le programme-cadre de protection des données ?
Le programme DPF concerne les entités situées aux États-Unis qui souhaitent transférer des données à caractère personnel de personnes situées dans l'UE, l'EEE, le Royaume-Uni, Gibraltar et la Suisse vers des serveurs basés aux États-Unis.
Dans la section suivante, j'aborderai brièvement quelques détails supplémentaires sur les personnes concernées par les trois cadres de protection de la vie privée créés par ce programme.
UE-ÉTATS-UNIS DPF
Le cadre UE-États-Unis de protection des données à caractère personnel s'applique au transfert de données à caractère personnel de personnes de l'UE et de l'EEE vers des organisations participantes aux États-Unis qui ont des pratiques de traitement des données conformes à la législation de l'UE - en l'occurrence, le RGPD.
Les principes du DPF UE-États-Unis sont entrés en vigueur le 10 juillet 2023.
Extension au Royaume-Uni du DPF UE-États-Unis
L'extension britannique du cadre UE-États-Unis sur la protection des données à caractère personnel concerne les entités américaines qui souhaitent transférer les données à caractère personnel d'individus du Royaume-Uni ou de Gibraltar vers des serveurs situés aux États-Unis. Elle permet à ces organisations américaines de certifier elles-mêmes leur conformité au RGPD.
L'extension britannique du DPF UE-États-Unis a été adoptée le 17 juillet 2023 et est entrée en vigueur le 12 octobre de la même année.
DPF Suisse-États-Unis
Le cadre de protection des données Suisse-États-Unis s'applique aux entités américaines qui souhaitent transférer les informations personnelles de personnes en Suisse vers des serveurs basés aux États-Unis.
Les principes DPF Suisse-États-Unis ont été adoptés le 14 août 2024 et sont entrés en vigueur le 15 septembre de la même année.
"Les entreprises américaines opérant sur le marché de l'UE tireront de grands avantages du cadre de protection des données. Le DPF permettra aux entreprises américaines d'accéder aux données de l'UE et de les traiter sans avoir à procéder à des évaluations de l'impact des transferts, à incorporer des CSC ou à prendre des mesures supplémentaires." - Ali Talip Pınarbaşı, CIPP/E, & LLM
Que doivent savoir les entreprises sur le DPF ?
Plusieurs éléments essentiels doivent être pris en compte par les entreprises dans le cadre de ce nouveau programme-cadre sur la protection de la vie privée.
Programme DPF UE-États-Unis et participation
Dans le cadre du programme DPF, les organisations américaines peuvent choisir d'autocertifier leur conformité à des cadres spécifiques.
Mais il est important de noter que la participation à l'extension britannique du DPF UE-États-Unis nécessite une participation préalable au DPF UE-États-Unis.
Conformité au programme DFP UE-États-Unis
Les organisations qui ont précédemment auto-certifié leur conformité au bouclier de protection de la vie privée UE-États-Unis ou au bouclier de protection de la vie privée Suisse-États-Unis doivent désormais se conformer aux principes pertinents du DPF pour continuer à bénéficier des avantages de ces cadres respectifs.
Liste des cadres de protection des données
Pour s'appuyer sur les principes du DPF pour les cadres de données, les organisations doivent figurer sur la liste des cadres de protection des données.
L'administration du commerce international(ITA) met à jour cette liste sur la base des demandes annuelles de recertification et peut retirer les organisations non conformes.
Ressources pour le cadre DPF UE-États-Unis
L'ITA fournit des ressources et des FAQ pour aider les organisations intéressées à auto-certifier leur conformité avec les cadres du DPF.
"Les entreprises doivent inclure dans leur politique de protection de la vie privée une déclaration publique de leur engagement à respecter les principes du cadre de protection de la vie privée et informer les personnes des droits que leur confère le cadre. Il est également important que les entreprises ne traitent que les données personnelles pertinentes au regard de la finalité du traitement et qu'elles respectent les dispositions relatives à la conservation des données". - Teodor Stanciu, CIPP/E, CIPM
Quelles sont les principales exigences du cadre de protection des données ?
Pour autocertifier la conformité au programme DPF UE-États-Unis, vous devez satisfaire à des exigences spécifiques, que nous allons donc passer en revue ensemble.
Information des personnes sur le traitement des données
Dans le cadre du programme DPF UE-États-Unis, vous devez informer les personnes de vos activités de traitement des données par le biais d'une politique de confidentialité complète.
Votre politique de protection de la vie privée doit déclarer l'engagement de votre organisation à se conformer aux principes du DPF et doit être applicable en vertu de la législation américaine.
Vous devez également inclure des liens vers le site web du programme DPF et des mécanismes de recours indépendants permettant aux personnes de soumettre des plaintes pour enquête.
En outre, le contenu de votre politique de protection de la vie privée doit informer les utilisateurs individuels de leurs droits d'accès aux données, des exigences en matière de divulgation aux autorités publiques, de la compétence en matière d'application et de la responsabilité en matière de transfert ultérieur de données.
Fournir un règlement des litiges gratuit et accessible
Vous devez fournir des services gratuits de résolution des litiges et répondre aux plaintes individuelles des utilisateurs dans un délai de 45 jours pour vous auto-certifier auprès du programme DPF UE-États-Unis.
Vous devez prévoir un mécanisme de recours indépendant pour résoudre gratuitement les plaintes et les litiges.
L'ITA facilite le processus de résolution des plaintes déposées auprès des autorités de protection des données dans un délai de 90 jours.
Vous devez également proposer un arbitrage obligatoire si les plaintes ne sont pas résolues par d'autres mécanismes.
Coopération avec le ministère américain du commerce
Une autre exigence du programme DPF UE-États-Unis est de coopérer avec le ministère américain du commerce en ce qui concerne les demandes de renseignements ou les requêtes adressées à l'ITA.
En particulier, vous devez répondre rapidement à toutes les demandes relatives au programme DPF.
Maintien de l'intégrité des données et limitation des finalités
Conformément au programme DPF UE-États-Unis, vous devez limiter votre collecte d'informations personnelles à ce qui est pertinent par rapport aux objectifs que vous avez décrits pour le traitement des données.
En vertu du RGPD, il s'agit également de votre base juridique.
En outre, vous devez également vous conformer à toutes les dispositions RGPD relatives à la conservation des données. Cela signifie que vous ne pouvez conserver les données que le temps nécessaire pour atteindre les objectifs que vous avez décrits pour le traitement des informations.
Assurer la responsabilité des données transférées à des tiers
Pour transférer des données à un contrôleur tiers, les organisations doivent se conformer à ce que l'on appelle les principes de notification et de choix et conclure un contrat garantissant des finalités et des niveaux de protection limités et spécifiés.
Les "principes de notification et de choix" consistent essentiellement à informer les personnes de la nature des informations personnelles que vous collectez et à leur permettre de choisir la manière dont ces informations sont traitées ou utilisées.
Les organisations doivent veiller à limiter les finalités et la protection de la vie privée lorsqu'elles transfèrent des données à un agent tiers et prendre des mesures pour assurer un traitement adéquat.
Transparence relative aux mesures d'exécution
Une autre exigence clé du programme-cadre UE-États-Unis sur la protection des données à caractère personnel concerne la transparence des rapports de conformité.
Les organisations doivent rendre publiques les sections de leurs rapports de conformité relatives au DPF si elles font l'objet d'ordonnances de la Federal Trade Commission(FTC) ou de tribunaux pour non-respect de la réglementation sur la protection des données.
Garantir le respect des engagements tant que les données sont conservées
Les entités sont soumises à certains engagements en matière de protection de la vie privée si elles quittent le programme DPF mais souhaitent conserver les données à caractère personnel collectées.
Notamment, après leur départ, les organisations doivent affirmer chaque année leur engagement à appliquer tous les principes du DPF aux données conservées ou à fournir une protection adéquate par d'autres moyens autorisés.
Qui fait respecter le programme du cadre de protection des données ?
L'administration du commerce international (International Trade Administration ou ITA), qui fait partie du ministère américain du commerce, gère le programme DPF.
Les organisations éligibles basées aux États-Unis peuvent auto-certifier leur conformité au DPF UE-États-Unis, à l'extension britannique du DPF UE-États-Unis ou au DPF Suisse-États-Unis sur le site web du programme Data Privacy Framework (DPF) de l'ITA.
Une fois qu'une organisation a auto-certifié sa conformité, elle doit adhérer aux principes du DPF, qui sont applicables en vertu de la législation américaine.
Bref historique du cadre UE-États-Unis sur la protection des données personnelles
Comme promis, je vais retracer l'histoire des transferts de données à caractère personnel entre les États-Unis et l'Europe pour vous aider à comprendre comment nous en sommes arrivés au programme-cadre UE-États-Unis sur la protection des données à caractère personnel - et vous expliquer pourquoi les gens discutent déjà d'une éventuelle affaire Schrems III.
Le cadre de la sphère de sécurité et Schrems I
En 2000, le Safe Harbor Framework a régi les transferts internationaux de données entre les États-Unis et l'Europe. Cet accord, en vigueur depuis plus de dix ans, permettait aux données de franchir les frontières sans s'appuyer sur des clauses contractuelles types (CCN).
Il énonce sept principes clés, dont les suivants
- Avis
- Choix
- Transfert vers l'étranger
- Sécurité
- Intégrité des données
- Accès
- Application de la loi
Mais le 6 octobre 2015, la Cour de justice de l'Union européenne (CJUE) a rendu un arrêt invalidant l'accord Safe Harbor.
Leur raisonnement ?
Max Schrems, un militant autrichien de la protection de la vie privée et un avocat qui était étudiant en droit à l'époque, a déposé une plainte auprès du commissaire irlandais aux données, affirmant que Facebook Ireland avait illégalement partagé ses informations personnelles avec le gouvernement américain.
Connue sous le nom de Schrems I, cette affaire est survenue après que les révélations d'Edward Snowden ont mis au jour le programme de surveillance de l'Agence nationale de sécurité (NSA).
Parce que le RGPD n'autorise l'accès aux données personnelles qu'en cas de stricte nécessité, et que les lois américaines permettent aux agences gouvernementales d'avoir un accès plus large à ces informations, la CJUE a annulé le programme de la sphère de sécurité.
Le bouclier de protection de la vie privée UE-États-Unis et Schrems II
Le 12 juillet 2016, la Commission européenne a remplacé le cadre de la sphère de sécurité par le bouclier de protection de la vie privée UE-États-Unis.
Conçu en collaboration entre le ministère américain du commerce et la Commission européenne, le Privacy Shield UE-États-Unis a été annulé par la CJUE le 16 juillet 2020, au motif que les lois américaines ne protégeaient pas les données personnelles provenant de l'UE à la suite du RGPD.
Là encore, cela résulte d'une affaire opposant Schrems à Facebook Ireland, connue sous le nom de Schrems II.
M. Schrems a mis à jour sa plainte initiale, affirmant que Facebook continuait à transférer illégalement ses données personnelles aux États-Unis.
Cette affaire a confirmé l'utilisation de clauses contractuelles types (CCN) pour assurer des niveaux de protection adéquats.
Il a fallu trois ans de débats, de rédaction et de reformulation pour que la Commission européenne et le gouvernement américain se mettent d'accord sur l'actuel programme-cadre UE-États-Unis relatif à la protection des données personnelles.
L'avenir du programme DPF
Quel est donc l'avenir du programme-cadre pour la protection de la vie privée ?
À ce stade, la situation semble incertaine.
Le DPF UE-États-Unis est très prometteur pour la protection des données des consommateurs européens, car il permet le transfert d'informations personnelles de l'EEE vers les États-Unis.
Cependant, des défis potentiels se profilent à l'horizon, et il est donc essentiel que les entreprises restent informées et prudentes en matière de transfert de données à caractère personnel.
Un éventuel Schrems III à l'horizon ?
À mon avis, le DPF est une évolution bienvenue, qui vise à trouver un équilibre entre la protection des droits à la vie privée et la facilitation des transferts de données nécessaires.
Bien que les experts jugent le nouveau mécanisme de recours solide, il convient de mentionner que Max Schrems (et son groupe NOYB) ont l'intention de contester le cadre juridiquement.
En tant que consommateurs soucieux de leur vie privée, nous devons comprendre que le DPF fera l'objet de révisions annuelles.
Les évaluations périodiques montrent l'engagement inébranlable des autorités à traiter de manière proactive les menaces potentielles pour la vie privée des consommateurs.
Pour protéger efficacement nos données, nous devrions envisager de compléter nos transferts de données vers les États-Unis par des mesures supplémentaires. Il est essentiel d'être prudent lors des transferts qui ne figurent pas sur laliste officielledu"cadre de protection des données".
Dans de tels cas, le recours à des mesures supplémentaires, telles que des clauses types de protection des données ou des règles d'entreprise contraignantes, peut constituer un niveau de sécurité supplémentaire.
Si un consommateur estime que ses droits en matière de vie privée ont été violés, il a la possibilité de déposer une plainte auprès de l'autorité nationale de protection des données et de profiter du mécanisme de recours récemment mis en place.
La possibilité d'une collaboration au niveau de l'État aux États-Unis, en particulier avec les cadres de protection de la vie privée de la Californie, ouvre la voie à des mesures de protection des données encore plus solides, montrant que les autorités explorent activement les moyens d'améliorer la protection de la vie privée des consommateurs, mais elle met également en évidence la nature complexe de la protection transfrontalière des données.
En conclusion, le cadre UE-États-Unis de protection des données constitue une avancée significative dans la protection des données à caractère personnel lors des transferts transfrontaliers.
Compléter les transferts de données par des garanties supplémentaires, en particulier pour ceux qui ne sont pas couverts par le cadre, est une mesure intelligente pour protéger votre entreprise.
N'oubliez pas que votre vie privée est entre vos mains.
"Le cadre de protection des données a apporté aux entreprises des deux côtés de l'Atlantique la clarté qu'elles attendaient depuis longtemps et simplifie considérablement les procédures nécessaires aux transferts entre l'UE et les États-Unis. Toutefois, il est peu probable qu'il s'agisse du dernier rebondissement de l'histoire, et la perspective de nouveaux défis juridiques se profile à l'horizon. Compte tenu des similitudes entre le cadre et le précédent "bouclier de protection de la vie privée", il est essentiel que les nouveaux mécanismes de contrôle et d'application établis dans le cadre se révèlent efficaces pour garantir sa viabilité à long terme. - James Ó Nuanáin, CIPP/E, CIPM, CIPT
Comment Termly aide à la mise en conformité de la confidentialité des données
Si vous devez vous conformer à des lois telles que le RGPD, Termly est votre guichet unique.
Avec le soutien de notre équipe juridique et de nos experts en matière de confidentialité des données, nous avons tout ce qu'il vous faut, de la mise en place d'une politique de confidentialité conforme à la loi à la mise en place d'une politique de protection des données. Générateur de politique de confidentialité à une plateforme de gestion du consentement (CMP ) personnalisable que vous pouvez configurer pour répondre aux exigences en matière d'opt-in et d'opt-out.
Nous proposons également d'autres sites web et politiques juridiques nécessaires pour aider les entreprises de toutes sortes à rationaliser leurs services à la clientèle et à mieux se protéger et protéger leurs consommateurs en ligne, comme notre Générateur de termes et conditions et notre Générateur de retours et politique de remboursement .
Nous offrons des options gratuites et payantes. Les utilisateurs de Termly Pro+ ont accès à tout ce que nous offrons.
Résumé
Le programme du cadre UE-États-Unis de protection des données a un impact sur les entreprises et les consommateurs du monde entier qui souhaitent transférer des données en toute sécurité entre l'UE/l'EEE et les États-Unis.
Mais le débat sur les transferts internationaux de données de l'Europe vers les États-Unis ne s'arrêtera probablement pas là.
Vous pouvez compter sur Termly pour vous tenir au courant de cette décision d'adéquation et de tout changement potentiel en cas de mise à jour ultérieure.
