FR EN DE

Transférer des données personnelles aux Etats-Unis : vers une solution impossible à mettre en œuvre ?

- Philippe Gilliéron
Partager sur Linkedin Partager sur Whatsapp Partager par email Imprimer cet article Télécharger le PDF

Depuis le 16 juillet 2020, le transfert des données personnelles vers un pays ne présentant pas un niveau de protection adéquat, dont les Etats-Unis, est sujet à caution et nécessite de procéder à un examen des risques liés à un tel transfert. Ne pas le faire peut ainsi être considéré comme une violation tant du RGPD que de la Loi fédérale sur la protection des données. Comment convient-il de procéder à un tel examen ?

Pour aider les entreprises à agir en conformité de ces nouvelles exigence, la Commission Européenne a proposé le 12 novembre 2020 une nouvelle version des Clauses Modèles. Actuellement soumise à une période de commentaires publics jusqu’au 10 décembre 2020, cette nouvelle version devrait être la seule acceptable un an après avoir été publiée au Journal Officiel, soit selon toute vraisemblance durant le premier trimestre 2022.

Nouvelle version des Clauses Modèles

Cette nouvelle version prévoit en particulier que les parties signant la Clause Modèle doivent garantir que la législation du pays vers lequel les données sont transférées respecte les droits fondamentaux des citoyens. Le résultat de cette appréciation doit être documenté. Elle repose en particulier sur les critères suivants :

  • Les lois applicables dans le pays vers lequel les données sont transférées permettent-elles de garantir le respect des droits fondamentaux des citoyens, notamment en ce qui a trait à la législation applicable en matière de surveillance ?
  • Quels sont les types de données transférées ? S’agit-il uniquement de données de connexions ou des données de consommateurs sont-elles également concernées ?
  • Ces transferts sont-ils épisodiques ou sont-ils fréquents et réguliers ?
  • Quel est l’objet du traitement ?
  • La société amenée à traiter ces données a-t-elle fait l’objet de demandes de la part des autorités exigeant la divulgation de ces données ? Si oui, à combien de reprises ?
  • La prise en compte de toute mesure de sauvegarde prise en sus de la Clause Modèle, notamment sur le plan technique et organisationnel, que ce soit en cours de transfert ou au moment du traitement par l’entité vers laquelle ces données ont été transférées.

Cette évaluation n’est pas à prendre à la légère, puisqu’elle est susceptible de devoir être remise aux autorités en cas de requête de leur part.

Recommandations

A supposer que cette approche prônée par la nouvelle version de la Clause Modèle demeure dans le texte final, les sociétés devront ainsi mener un travail considérable de mise en conformité. Ce travail peut être décomposé en les étapes suivantes :

  • Procéder tout d’abord à un inventaire des transferts de données personnelles ayant lieu (que ce soit du reste à des sociétés affiliées ou des entités tierces).
  • Vérifier ensuite la base sur laquelle repose ces différents transferts. Lorsque ces données sont exportées vers un pays bénéficiant d’un niveau adéquat de protection ou à destination d’une entité soumise au RGPD, de plus amples démarches ne devraient pas être nécessaires. A supposer que tel ne soit pas le cas, et quelle que soit la base légale envisagée, il conviendra alors de procéder aux démarches suivantes :
  • Procéder à une appréciation documentée des risques liés au transfert de ces données, de manière conforme à ce qu’exige la Clause Modèle précitée. La Recommandation 01/2020 publiée au mois de novembre 2020 pourra également fournir une base utile de travail en la matière.
  • Si cet examen aboutit à la conclusion que certains risques existent bel et bien, documenter les mesures additionnelles envisagées pour y remédier.
  • Enfin, procéder de manière périodique à une réévaluation des risques pour s’assurer que l’appréciation initialement faite demeure adéquate.

Conclusion

Que faut-il penser du nouveau système proposé qui, en soi, apparaît conforme aux nouvelles exigences posées par la Cour de Justice ?

  • Ce processus est particulièrement lourd, puisqu’il exige de toute société opérant un transfert vers un pays ne bénéficiant pas d’un niveau adéquat de protection – et Dieu sait s’ils sont nombreux – de procéder à une appréciation des risques liés à un tel transfert.
  • Ce processus doit être suivi pour chaque transfert et chaque fournisseur. Si certains outils se mettent en place pour aider les sociétés à apprécier la réglementation applicable en matière de surveillance au sein des différents pays, ils ne suffisent pas à procéder à une telle évaluation, qui doit avoir lieu au regard de nombreux autres critères nécessitant une approche propre à chaque cas de figure.
  • Le travail de mise en conformité pour documenter ces appréciations de risques va être considérable en 2021, au point que l’on peut se demander s’il apparaît réaliste, en particulier, mais pas uniquement, pour les PME, qui se verront dans l’obligation de bénéficier d’un soutien externe pour ce faire et de dégager des budgets dans une situation économique d’ores et déjà particulièrement difficile.
  • Toute absence de mise en conformité sera susceptible d’être sanctionnée par les autorités compétentes.

Wilhelm Gilliéron Avocats SA se tient à votre entière disposition pour vous aider à assurer votre mise en conformité de la manière la plus efficiente possible.

 Philippe Gilliéron

À propos de l'auteur

Philippe Gilliéron

Article publié le dans Protection des données

Vous avez des questions par rapport à la problématique abordée dans cet article ?

Contactez-nous