Nouveau cadre transatlantique pour la protection des données personnelles : Privacy Shield 2.0
L’utilisation des nouvelles technologies ne fait que croître, impliquant un transfert de plus en plus important de vos données à caractère personnel (DCP) en dehors de l’Espace Economique Européen. Il est dès lors important de garantir une protection suffisante de ces données.
C’est la raison pour laquelle la Commission européenne et les Etats-Unis ont convenu, le 25 mars 2022, d’un accord de principe visant à mettre en place un nouveau cadre transatlantique de protection des données personnelles.
Ce nouveau cadre transatlantique vise non-seulement à protéger les données des citoyens, mais également à protéger les entreprises qui transfèrent des données en dehors de l’Espace Economique Européen.
Lancement du processus d’adéquation par l’Union Européenne : le Privacy Shield 2.0 se concrétise.
En octobre 2022, le Président Joe Biden a signé un décret garantissant une meilleure protection des données à caractère personnel, notamment des « garanties contraignantes qui limitent l’accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale » mais également la mise en place d’une Cour de Justice indépendante et impartiale pour traiter les recours.
La Commission européenne, après avoir pris connaissance du décret américain, estime qu’il offre des garanties comparables à celles de l’Union Européenne.
Dès lors, en décembre 2022, la Commission européenne a lancé le processus de décision d’adéquation, qui permettra d’instaurer le cadre de protection des échanges de données à caractère personnel, entre l’Union Européenne et les Etats-Unis.
Quel impact ?
Si ce cadre transatlantique de protection des données personnelles est finalement mis en œuvre, cela aura un impact important sur les entreprises européennes qui transfèrent des données à caractère personnel en dehors de l’Espace Economique Européen.
Dans un premier temps, cela permettra de rassurer ces entreprises qui sont actuellement dans l’obligation de prévoir des clauses contractuelles types et ont toujours la crainte de ne pas respecter le RGPD. En effet, cette nouvelle législation serait d’application pour tous, et permettrait d’avoir une protection de base, en adéquation avec les prescrits de l’Union Européenne en matière de protection des données à caractère personnel.
Dans un second temps, cela pourrait leur permettre d’utiliser à nouveau des outils qui transfèrent des données personnelles aux Etats-Unis, tel que Google Analytics qui avait été jugé illégal par la CNIL en février 2022 au vu des protections insuffisantes qu’il présentait.
Attention cependant à ne pas précipiter les choses, à ce stade l’accord n’est pas encore mis en œuvre et n’a donc pas de valeur juridique. De plus, même si l’accord est finalement entériné, il n’est pas à l’abri d’un éventuel recours devant la Cour de Justice de l’Union européenne.
Il est donc important de garder un œil attentif sur l’évolution que va prendre cet accord de principe, et les implications concrètes qu’on pourra en faire dans la pratique.
Certifié Prince2 pour vous accompagner dans vos projets!
- Modèles « consentir ou payer » : l’avis du Comité européen des données - 24 avril 2024
- IA Act 2024 : Impact sur le droit d’auteur pour les entreprises - 28 mars 2024
- Consultis en 2023 : une année de consolidation et de progression - 14 février 2024
