Il y a eu le Safe Harbor et le Privacy Shield, invalidés par la CJUE. En Europe, le niveau de protection accordé aux données personnelles par les États-Unis est scruté. Le point sur les avancées outre-Atlantique en attendant le futur Trans-Atlantic Data Privacy Framework, avec Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats.

La question des équivalences ou des liens entre les régimes juridiques de protection des données personnelles entre l’Union européenne et les États-Unis suscite de nombreuses questions. Elle est plus particulièrement suivie depuis les invalidations successives du Safe Harbor et du Privacy Shield par la Cour de Justice de l’Union européenne, avec la nécessité pour les professionnels de mettre en place des outils adaptés pour ne pas compromettre le niveau de protection des données concernées par un transfert, conformément au principe de l’article 44 du RGPD. D’autant que le déploiement de clauses contractuelles types (SCC) ou de règles d’entreprise contraignantes (BCR) nécessite de prendre en compte le niveau de protection des données de l’importateur de données, comme l’a encore souligné récemment la Commission européenne[1]. Voire de mettre en place une analyse d’impact dédiée (Transfer Impact Assessment) au sens de l’article 35 du RGPD… Ce qui implique pour les professionnels concernés – et notamment les DPO – d’avoir une vision précise de l’état des lieux et du cadre légal et réglementaire. À ce titre, le sujet de la protection des données connaît une forte actualité aux États-Unis, à tel point que la question d’un RGPD américain est régulièrement évoquée.

Il faut d’abord souligner la proposition[2] d’American Data Privacy and Protection Act (ADPPA) présentée au Congrès le 21 juin 2022 et qui a plusieurs objectifs : mettre en place un devoir de loyauté (privacy-by-design, principe de minimisation), assurer des droits spécifiques pour les consommateurs (transparence, consentement, sécurité des données), assurer la responsabilité des entreprises et des mesures d’application et d’exécution. Cette proposition fait suite à plusieurs initiatives prises par les États (notamment le California Privacy of Rights de 2020 ou le Consumer Data protection Act de Virginie et le Colorado Privacy Act) qu’elle aurait vocation à préempter en partie.

Elle s’inscrit également dans le contexte du lancement par la FTC d’une Advance Notice of Proposed Rulemaking[3] du 11 août 2022, destinée à recueillir des contributions au titre de la surveillance commerciale et de la sécurité des données et avec pour objectif de proposer un instrument spécifique. Autant d’initiatives qui témoignent de l’attention accrue apportée à la protection des données personnelles et de la nécessité de renforcer le cadre existant, en complément notamment des règles de protection des données spécifiques des HIPAA (Health Insurance Portability and Accountability) et FERPA Acts (Family Educational Rights and Privacy Act)

Ces éléments témoignent aussi d’une part d’une forme de convergence sur la nécessité d’une forme de régulation et de premiers compromis autour de certains outils (principe de minimisation par exemple) d’autre part. Néanmoins et dans l’attente du futur Trans-Atlantic Data Privacy Framework annoncé par la Commission européenne le 25 mars dernier, les transferts de données à destination des États-Unis doivent toujours faire l’objet d’une attention spécifique, notamment dans le cadre de la mise en œuvre de SCC. À ce titre, ces dernières clauses doivent faire l’objet d’une formalisation effective (par exemple dans le choix des modules ou le renseignement précis des annexes), ce qui peut constituer une réelle difficulté au quotidien, avec des risques évidents pour la sécurité juridique des transferts concernés. Il convient donc de souligner la forte actualité de ce sujet et l’importance d’une veille continue destinée à assurer le respect des principes du RGPD.

 

[1] https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf

[2] https://www.congress.gov/bill/117th-congress/house-bill/8152/text

[3] Commercial Surveillance and Data Security Rulemaking | Federal Trade Commission (ftc.gov)

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

GUIDE ET CLASSEMENTS

> Guide 2024