Europe – États-Unis: une sécurité juridique pour les flux de données?

Auteur

Ivica Kuzmic

Publié

5 décembre 2023

Temps de lecture

minutes

Le 10 juillet 2023, la Commission européenne a adopté l’accord de principe sur le cadre transatlantique de protection des données conclu en mars entre l’Union européenne et les États-Unis. Cet accord-cadre est devenu nécessaire après l’invalidation du précédent accord par la Cour de justice de la Communauté européenne (CJCE). Les juges se sont montrés particulièrement critiques sur l’accès généralisé des agences de renseignement américaines aux données personnelles transférées à des entreprises aux États-Unis.

Le nouvel accord stipule que les agences de renseignement ne peuvent accéder aux données que si cela est nécessaire et approprié pour protéger la sécurité nationale. Cette protection s’applique également aux outils de transfert de données tels que les clauses contractuelles types et les règles internes des entreprises. Les entreprises des États-Unis peuvent participer à ce cadre de protection via un processus de certification si elles respectent les obligations liées à la protection des données, y compris la suppression des données inutiles et la protection lors des transferts de données.

En pratique

Le transfert de données de l’UE ou de l’EEE, y compris le Liechtenstein, vers les États-Unis deviendra plus facile à l’avenir. Les entreprises n’auront plus besoin de recourir aux clauses contractuelles types pour transférer légalement des données vers les États-Unis, à condition que l’entreprise américaine s’engage à respecter les règles de protection des données. Les entreprises pourront désormais démontrer qu’elles respectent ces règles grâce à un processus de certification.

L’impasse continue

L'organisation qui a obtenu gain de cause devant la CJCE a déclaré qu’elle contesterait également le nouvel accord devant le tribunal. Selon elle, même la troisième tentative ne constitue pas un accord stable sur le transfert de données, car des questions de surveillance «fondamentales» n’ont pas encore été résolues de manière adéquate. Un député français a déjà déposé une plainte pour d’autres raisons. La sécurité juridique tant attendue pourrait donc n’être que de courte durée.

La situation en Suisse

En ce qui concerne l’échange de données entre la Suisse et les États-Unis, la situation est similaire à celle de l’UE. Suite à l’arrêt de la CJCE, le Préposé fédéral à la protection des données a retiré les États-Unis de la liste des pays offrant un niveau adéquat de protection des données. Les deux pays négocient actuellement leur propre cadre de protection des données, le Swiss-U.S. Data Privacy Framework. Depuis l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données le 1er septembre 2023, le Conseil fédéral évalue l’adéquation d’un pays au sens de la loi suisse. Même en cas de certification des entreprises américaines selon l’accord entre l’UE et les États-Unis, la liste suisse des pays offrant un niveau de protection adéquat ne changera pas tant qu’il n’y aura pas de nouveau cadre. Par conséquent, on ne peut continuer à transférer des données personnelles vers les États-Unis qu’avec des garanties supplémentaires, telles que des clauses contractuelles types.

 

Ivica Kuzmic
Liechtenstein Bankers Association

Découvrez-en plus