Cad­re de pro­tec­tion des don­nées UE-USA : Adé­qua­ti­on établie

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

,

Lois

,

Thè­mes

Ven­te à emporter (AI)
  • Die EU-Kom­mis­si­on hat am 11. Juli 2023 die Ange­mes­sen­heit des EU‑U.S. Data Pri­va­cy Frame­work bestä­tigt; zer­ti­fi­zier­te US‑Unternehmen bie­ten damit ange­mes­se­nen Datenschutz.
  • US‑Unternehmen kön­nen sich jähr­lich zer­ti­fi­zie­ren las­sen; Durch­set­zung und Kon­trol­le erfol­gen durch das US Depart­ment of Com­mer­ce und die Fede­ral Trade Commission.
  • Schweiz arbei­tet an einer CH‑US‑Variante; bis dahin gel­ten SCC, danach sind Über­mitt­lun­gen an zer­ti­fi­zier­te US‑Empfänger ohne SCC mög­lich, ver­trag­li­che Zusa­gen empfohlen.

La Com­mis­si­on euro­pé­en­ne a adop­té le 11 juil­let 2023 le Adé­qua­ti­on du cad­re de pro­tec­tion des don­nées de l’UE et des États-Unis con­fir­mé (Décis­i­on d’a­dé­qua­ti­on). Elle a con­clu que les États-Unis offrent un niveau de pro­tec­tion adé­quat pour les don­nées per­son­nel­les trans­fé­rées de l’UE vers des ent­re­pri­ses amé­ri­cai­nes par­ti­ci­pant au cadre :

Artic­le 1

Aux fins de l’ar­tic­le 45 du règle­ment (UE) 2016/679, les États-Unis assu­rent un un niveau de pro­tec­tion adé­quat des don­nées à carac­tère per­son­nel trans­fé­rées de l’U­ni­on vers des orga­ni­sa­ti­ons éta­b­lies dans des pays tiers les États-Unis qui sont inclus dans la ‘Data Pri­va­cy Frame­work List, main­tai­ned and made publicly available by the U.S. Depart­ment of Com­mer­ce, in accordance with Sec­tion I.3 of Annex I.

De plus amp­les infor­ma­ti­ons sont dis­po­ni­bles sur le site web de la Com­mis­si­on et du Depart­ment of Commerce :

Une Liste des ent­re­pri­ses cer­ti­fi­ées est gérée par le Depart­ment of Com­mer­ce. La recon­nais­sance de l’a­dé­qua­ti­on est pour les ent­re­pri­ses cer­ti­fi­ées effet immé­di­at.

Les ent­re­pri­ses basées aux États-Unis peu­vent se fai­re cer­ti­fier selon le cad­re (et se fai­re cer­ti­fier à nou­veau chaque année) en s’en­ga­geant à respec­ter cer­tai­nes obli­ga­ti­ons dans le domaine de la pro­tec­tion des don­nées, tel­les que des prin­cipes tels que la limi­ta­ti­on des fina­li­tés, la mini­mi­sa­ti­on des don­nées, la limi­ta­ti­on du stocka­ge et la sécu­ri­té des don­nées, ain­si que des obli­ga­ti­ons en matiè­re de trans­fert de don­nées à des tiers. Le respect de ces obli­ga­ti­ons sera con­trôlé et impo­sé par le Depart­ment of Com­mer­ce et la Fede­ral Trade Com­mis­si­on aux États-Unis.

En Sui­s­se, le SECO est en cont­act avec les Etats-Unis afin d’ob­te­nir le plus rapi­de­ment pos­si­ble une vari­an­te sui­s­se du Frame­work et de les recon­naît­re en con­sé­quence. Nous espé­rons que cet­te recon­nais­sance aura lieu avant l’en­trée en vigueur de la nLPD. D’i­ci là, les ent­re­pri­ses doi­vent con­tin­uer à se fier à la CCN.

Cepen­dant, à not­re avis, ils doi­vent pas d’éva­lua­ti­on de l’im­pact du trans­fert (TIA) plus, si le desti­na­tai­re est cer­ti­fié selon le EU-US Frame­work, car le trans­fert vers un desti­na­tai­re dans l’UE et de là com­me trans­fert à ter­me vers les États-Unis serait éga­le­ment admis­si­ble sans AIT, et il n’y a aucu­ne rai­son pour qu’u­ne trans­mis­si­on direc­te vers les États-Unis – avec le même résul­tat, bien que sur la base de la CSC – ne soit pas trai­tée de la même maniè­re. Cela sup­po­se tou­te­fois que le desti­na­tai­re s’en­ga­ge con­trac­tu­el­le­ment envers l’ex­porta­teur sui­s­se à respec­ter le framework.

Dès que le CH-US Frame­work sera en place, les don­nées per­son­nel­les pour­ront être trans­mi­ses à des desti­na­tai­res amé­ri­cains cer­ti­fi­és, même sans le SCC. Tou­te­fois, une obli­ga­ti­on con­trac­tu­el­le de main­ti­en de la cer­ti­fi­ca­ti­on est alors recommandée.