Le , par Harmonie Peynot - RGPD
Temps de lecture estimé : 3 minutes.
Vous avez sûrement déjà entendu un délégué à la protection des données (DPO) vous demander où seront hébergées les données du nouveau traitement que vous souhaitez mettre en place ? Ou quelle est la nationalité de l’entreprise qui va traiter les données ?
Si ce n’est pas le cas, posez-vous la question. Identifier en amont la localisation des données et la nationalité des organismes impliqués est indispensable.
Récapitulatif des épisodes précédents
En résumé, vous pouvez sans problème transférer des données dans toute l’Union Européenne (UE) ou dans un pays identifié comme adéquat par l’Union Européenne, comme le Japon par exemple. La Commission Nationale de l’Informatique et des Libertés (CNIL) met d’ailleurs à disposition une cartographie récapitulative des accords.
Si le pays visé n’est pas reconnu comme adéquat, alors il faudra employer des outils pour encadrer le transfert (clauses contractuelles, règles d’entreprises contraignantes,…). Concrètement il faudra encadrer juridiquement et organisationnellement le transfert pour garantir un niveau de protection des données équivalent à celui visé par l’Union Européenne. Ce n’est pas le plus simple, comme vous vous en doutez.
Mais concentrons-nous sur le cas qui nous intéresse ici, les États-Unis. Comme je vous l’avais expliqué dans l’article Accord de transfert de données UE/USA : jamais deux sans trois en 2023 (déjà deux ans !), l’histoire en matière de transfert UE/USA a été quelque peu mouvementée. Le dernier épisode majeur était alors l’adoption du Data Privacy Framework (DPF), accord entre les États-Unis et l’UE permettant les transferts de données sous réserve que les organismes concernés y adhèrent.
Qu’en est-il désormais ?
Suite à l’adoption du DPF, le Député Latombe a déposé un recours en annulation auprès du Tribunal de l’Union Européenne en septembre 2023. Ce recours a été étudié et l’avis du Tribunal vient de tomber. Celui-ci est rejeté. Le DPF est donc maintenu.
Max Schrems et son association NOYB, à l’origine des invalidations du Safe Harbor et du Privacy Shield, ont réagi à cette décision du Tribunal qui ne les convainc pas du tout. Les démarches de remise en cause de cet accord sont donc loin d’être terminées. Mais celles-ci prennent beaucoup de temps, d’énergie et de moyens.
Il n’y a donc pas de changement. Vous pouvez toujours transférer des données vers les États-Unis et faire appel à des entreprises américaines sous réserve d’adhésion au DPF. Pour vérifier si une entreprise adhère bien au DPF, cela se passe ici. J’ajoute qu’il faut d’ailleurs penser à aller vérifier régulièrement si l’entreprise est toujours listée.
Il n’y a donc pas de changement. Pour l’instant…