Dans un monde connecté, les données à caractère personnel font le tour du monde sans aucun effort, et sans même que vous le sachiez. Il suffit de penser aux applications "cloud" que vous utilisez au sein de votre entreprise ou encore aux nombreux fournisseurs de services qui ont accès aux données à caractère personnel de vos employés ou clients.
Votre entreprise n'est pas autorisée à transférer des données à caractère personnel vers un pays en dehors de l'Espace économique européen comme si de rien n'était. Un tel transfert n'est autorisé que si ce pays offre aux données à caractère personnel un degré de protection équivalent à celui offert par le règlement général sur la protection des données (« RGPD »). Il en va de même lorsque ces données sont rendues accessibles depuis un pays hors de l'EEE, même sans transfert.
Dans un nombre limité de pays ce niveau équivalent de protection est assuré par une décision d'adéquation adoptée par la Commission européenne. Cela était le cas pour les États-Unis depuis 2016. En effet, avec le bouclier de protection des données UE-États-Unis pour les transferts de données, il était permis aux entreprises de transférer des données à d'autres entreprises localisées aux États-Unis qui avaient été certifiées dans le cadre du bouclier de protection des données.
Durant le mois de juillet, la Cour de justice a annulé cette décision d'adéquation avec effet immédiat (« arrêt Schrems-II » du 16 juillet 2020).
Que devez-vous faire ?
- Découvrez où se trouvent les données à caractère personnel à l'intérieur ou à l'extérieur de votre entreprise.
- Ne transférez plus de données à caractère personnel aux États-Unis (sociétés du groupe, prestataires de services, etc.), aussi longtemps que vous n'avez pas d'alternative au bouclier de protection des données.
- Examinez quelles sont les garanties appropriées qui peuvent constituer une alternative à vos transferts de données actuels dans le cadre du bouclier de protection des données, comme des solutions techniques, des conditions contractuelles standard ou des règles d'entreprise contraignantes.
- Amendez vos accords existants s'ils prévoient un transfert de données à caractère personnel basé sur le bouclier de protection des données.
- Ajustez votre politique vie privée si elle est basée sur ou fait référence au bouclier de protection des données.
Entre-temps, le Comité Européen de la Protection des Données a publié un document contenant des questions fréquemment posées sur l'arrêt ("FAQ"). Il va de soi que nous sommes à votre disposition pour répondre à vos questions et pour vous assister dans vos démarches visant à minimiser le risque d'encourir des amendes, potentiellement conséquentes.