Transfert des données vers les États-Unis – La fin de l’incertitude pour les entreprises ?

Dans un monde où tout est numérique et où les échanges de données sont innombrables, la protection des données personnelles constitue un paramètre essentiel. Un accord est, à cet égard, intervenu en décembre dernier au niveau européen sur un nouveau règlement visant à mieux protéger les données traitées en Europe. Mais qu’en est-il des très nombreuses données qui circulent au-delà des frontières européennes, que ce soit dans le cadre d’activités industrielles ou commerciales ou des médias sociaux ?

Philippe Lambrecht, ADMINISTRATEUR-SECRÉTAIRE GÉNÉRAL
09 février 2016

Hors UE, les échanges de données ne sont permis que vers des pays qui offrent, selon la Commission, un niveau de protection des données adéquat, c’est-à-dire comparable au nôtre. C’est le cas pour seulement une dizaine de pays. Pour garantir la légalité des transferts de données vers les autres pays, il faut donc recourir à certains mécanismes, au formalisme exigeant. Dans leurs relations commerciales hors UE, beaucoup d’entreprises utilisent des clauses contractuelles standards. Pour les transferts – de données RH entre autres – entre entités juridiques d'un même groupe, il existe des règles contraignantes, les ‘binding corporate rules’, sorte de code de conduite interne. Ces règles sont surtout utilisées par les multinationales.

Un troisième mécanisme, nettement moins formaliste, était utilisé jusqu’il y a peu par près de 4.500 entreprises en Europe pour le transfert de leurs données vers les États-Unis: le Safe Harbor (*). Cependant, le 6 octobre dernier, la Cour de Justice de l'Union européenne (CJUE) l’a purement et simplement annulé. Une décision qu’elle a motivée par l'absence de garanties de protection suffisantes, notamment contre les “ingérences par les autorités publiques américaines dans les droits fondamentaux des citoyens européens”. Le monde économique a été pris de court. D'un seul coup, les entreprises qui utilisaient ce mécanisme, dont les géants du Net comme Google, Apple, Facebook, Amazon, mais aussi de très nombreuses PME, se sont retrouvées dans l'illégalité. Il était donc urgent de mettre fin à l’insécurité juridique et de redéfinir un cadre  qui tout en respectant la vie privée des ressortissants européens, soit simple à appliquer et efficace.

L'Union européenne (UE) et les États-Unis sont parvenus, le 2 février dernier, à un ‘accord politique’ qui devrait mettre fin à cette insécurité juridique. Cet accord, le Privacy Shield, prévoit :

- des garanties écrites et détaillées apportées par les États-Unis afin d'assurer que l'accès aux données des citoyens européens par les autorités publiques à des fins de sécurité nationale sera limité et contrôlé ;
- des engagements pris par les entreprises importatrices des données de respecter des obligations rigoureuses sur le traitement des données et le respect des droits des personnes concernées, sous la surveillance du ‘Department of Commerce’ ;
- la  mise en place de plusieurs voies de recours pour les citoyens européens tant en Europe qu'aux États-Unis ;
- une clause de révision annuelle permettant d’évaluer ce dispositif, alors que ‘Safe Harbor’ avait fait l'objet d'un accord unique en 2000 ;
- des sanctions à l'encontre des entreprises se trouvant en violation de leurs obligations.

Cet accord doit encore être finalisé par la Commission et passer la censure du Groupe de Travail 29, composé des différentes autorités ‘vie privée’ nationales. La mise en œuvre du Privacy Shield aura également un impact sur la validité de l’ensemble des voies alternatives, à savoir les binding corporate rules et les clauses contractuelles standards qui restent pour l’heure toujours utilisables. Au cas où le Privacy Shield ne serait pas adopté, il n’existe, en effet, aucune raison pour que ces mécanismes restent également valables sans autres garanties au regard des risques d’ingérence des autorités américaines. On voit donc l’enjeu d’importance pour les entreprises que représente l’adoption du Privacy Shield sur tous les transferts de données vers les États-Unis.

La FEB salue la volonté et le travail de la Commission pour parvenir à cet accord, bien qu’il soit déjà critiqué par certains comme étant purement politique. Elle souhaite qu’il fasse rapidement l’objet d’un consensus et ne soit pas à nouveau remis en question par la CJUE. La FEB rappelle à cet égard que les entreprises ont, avant tout, impérativement besoin de sécurité juridique et d’un cadre légal stable.

Philippe Lambrecht, administrateur-secrétaire général

(*) Décision de la Commission européenne, datant de 2000, qui affirme que le transfert de données personnelles d’Europe vers les États-Unis est possible car ‘ce pays présente des garanties suffisantes pour la protection de la vie privée’.


Nos partenaires

Domaines d'action

Un environnement entrepreneurial optimal est essentiel à une économie saine et à une croissance durable. La FEB entend contribuer à la création et au maintien d'un tel environnement, notamment en suivant attentivement tous les dossiers qui touchent de près la vie des entreprises. Voici, regroupés sous 18 thèmes, les dossiers sur lesquels elle concentre ses réflexions et initiatives.

Newsletter FEB IMPACT

Inscrivez-vous et recevez chaque semaine, dans votre boîte mail, les derniers articles parus.