Questions les plus fréquemment posées - Bouclier de protection des données

Pour plus d’informations quant à l’enregistrement des filiales américaines des sociétés européennes adhérant au bouclier de protection des données, nous vous conseillons de consulter le site Internet du ministère américain du commerce : https://www.privacyshield.gov/article?id=U-S-Subsidiaries-of-European-Businesses-Participation-in-Privacy-Shield.

Pour adhérer au bouclier de protection des données, il vous suffit de consulter le site Internet du ministère américain du commerce (https://www.privacyshield.gov/welcome).

Un guide sur la certification est également disponible via le lien suivant : (https://www.privacyshield.gov/article?id=How-to-Join-Privacy-Shield-part-1).

Dans tous les cas, les principes de la protection des données qui s’appliquent dans le cadre du bouclier de protection des données devront être respectés par l’entité qui a adhéré à ce cadre.

Avant de transférer des données à caractère personnel à une entreprise établie aux États-Unis qui prétend avoir adhéré au bouclier de protection des données, les entreprises européennes doivent également s’assurer que la société américaine détienne une certification active (les certifications doivent être renouvelées tous les ans)  et que la certification couvre les données en question. Plus particulièrement les données RH qui respectivement n’étaient pas des données RH.

Afin de vérifier si une certification est active et d’application, les sociétés européennes doivent consulter la liste du bouclier de protection de données qui est publiée sur le site du ministère américain du commerce (https://www.privacyshield.gov/welcome).

Toutes les sociétés américaines ayant finalisé le processus d’auto-certification sont répertoriées. La liste des adhérents au bouclier de protection de données fournit également des informations sur le type de données à caractère personnel pour lequel une société américaine a adhéré (Données RH ou autres) et fournit également des informations sur les services qu’elle propose.

Le ministère américain du commerce répertorie également les sociétés qui ne font plus partie du bouclier de protection des données.  Ces sociétés ne sont plus autorisées à recevoir des données à caractère personnel de personnes de l’UE dans le cadre du bouclier de protection des données au-delà de la fin de leur adhésion, mais doivent continuer à appliquer les principes du bouclier de protection des données sur les données transférées pendant leur participation active.

Pour le transfert de données à caractère personnel vers des sociétés qui ne sont plus membres du bouclier de données à caractère personnel, d’autres mécanismes de transferts approuvés par l’UE peuvent être utilisés tels que les Règles d’entreprises contraignantes ou encore les Clauses contractuelles pour le transfert de données à caractère personnel des citoyens européens à des sociétés américaines.

Le fait qu’un destinataire américain soit un adhérent au bouclier de protection des données permettra aux sociétés européennes de se conformer aux législations nationales mettant en œuvre l’Article 25 de la Directive 95/46, mais toutes les autres conditions exigées par la législation nationale en matière de protection des données restent d’application.

Pour les transferts à une société américaine agissant en qualité de responsable de traitement

Avant le transfert de données à caractère personnel, les entreprises européennes agissant en qualité de responsable de traitement doivent veiller à ce que le transfert soit conforme au droit applicable en matière de protection des données. Dans un premier temps, les entreprises européennes peuvent uniquement partager des données à caractère personnel avec une société américaine lorsque le transfert bénéficie d’une base juridique (c’est-à-dire si le transfert est conforme au droit national d’application en vertu de l’article 7 et 8 de la Directive 95/45/CE). En outre, toutes les autres conditions générales de la législation européenne en matière de protection de données pour le(s) transfert(s) doivent être remplies (telles que la limitation de la finalité, la proportionnalité, la qualité, l’obligation d’information envers les personnes concernées). Si les données doivent être transférées à une société américaine, l’entreprise européenne qui transfère les données doit également informer les personnes concernées de l’identité des destinataires de leurs données et du fait que les données sont protégées par le bouclier de protection des données.

Les sociétés européennes devraient prendre note du fait que les clauses contractuelles commerciales (par exemple avec leurs partenaires commerciaux) pourraient les limiter dans leurs possibilités de transférer des données à caractère personnel à des sociétés en dehors de l’UE ou de l’EEE.

Pour les transferts à une société américaine agissant en qualité de sous-traitant

Lorsqu’une société européenne agissant en qualité de responsable de traitement transfère des données à un sous-traitant établi aux États-Unis, agissant en son nom uniquement à des fins de traitement de données (stockage, maintenance informatique, helpdesk, etc.), conformément à l’article 17 de la Directive 95/46/CE, les deux sociétés sont obligées de conclure un contrat de traitement de données, indépendamment du fait que le sous-traitant ait adhéré au bouclier de protection des données ou pas.

La conclusion d’un contrat est nécessaire afin de s’assurer que le sous-traitant établi aux États-Unis s’engage à :

  • agir uniquement sur les instructions qui sont données par le responsable de traitement ;
  • fournir des mesures techniques et organisationnelles adéquats pour protéger les données à caractère personnel contre la destruction accidentelle ou la destruction et la perte
  • illégale, la modification, la divulgation ou l’accès non autorisé et déterminer si un transfert ultérieur est autorisé . Compte tenu de l’état et du coût quant à leur mise en œuvre, de telles mesures de sécurité doivent garantir un niveau de sécurité approprié en tenant dûment compte de la nature des données et des risques liés au traitement ; et
  • en tenant compte de la nature du traitement, assister le responsable de traitement à répondre aux personnes qui exercent leur droit d’accès à leurs données à caractère personnel.

Veuillez noter qu’en vertu de la Directive européenne sur la protection des données, la législation nationale en matière de protection des données peut imposer des conditions supplémentaires, comme par exemple obliger les sociétés de l’UE à inclure un contenu supplémentaire dans leurs contrats de traitement de données. Votre autorité nationale chargée de la protection des données peut vous fournir plus de conseils à ce sujet.

Il est par exemple souhaitable que la société européenne indique si elle accepte que le sous-traitant américain sous-traite à son tour des informations personnelles vers un sous-traitant tiers ainsi que les conditions applicables (en termes de transparence et de responsabilité). En outre, il pourrait également être utile pour les sociétés européennes d’obtenir une assurance sur la notification des brèches de sécurité ainsi que sur les engagements relatifs à la suppression des données une fois le contrat de service terminé.

Afin de pouvoir adhérer au bouclier de protection des données, une entreprise établie aux États-Unis doit être soumise aux pouvoirs d’enquête et d’exécution de la Commission fédérale du commerce (« FTC ») ou du ministère américain des transports (« DoT »). D’autres organismes statutaires des États-Unis pourraient également être repris à l’avenir.

Cela signifie que, par exemple, les organismes sans but lucratif, les banques, les entreprises d’assurances et les fournisseurs de services de télécommunication (en ce qui concerne les activités des transporteurs publics) ne relèvent pas de la compétence de la FTC ou du DoT et ne peuvent donc pas adhérer au bouclier de protection des données.

Le bouclier de protection des données s’applique à tout type de données à caractère personnel transférées d’une entité de l’UE aux États-Unis, y compris les données commerciales, de santé ou de ressources humaines tant que la société américaine bénéficiaire ait adhéré au cadre.
Vous trouverez des informations supplémentaires sur le site : https://www.privacyshield.gov/

Le bouclier de protection des données, mieux connu sous le « Privacy Shield », est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu comme offrant un niveau de protection adéquat des données à caractère personnel transférées d’une entité européenne à des entreprises établies aux États-Unis. Ce mécanisme est par conséquent considéré comme un élément offrant des garanties juridiques pour de tels transferts de données.

Quelques liens pertinents pour plus d’informations :