Privacy Shield: Le transfert de données vers les États-Unis déclaré invalide

Jusqu’à aujourd’hui, il existait un accord pour le transfert de données personnelles vers les États-Unis qui offrait une garantie suffisante au sens du RGPD (décision d’exécution UE 2016/1250). Avec le jugement de la CJUE du 16 juillet 2020, l’accord « Privacy Shield » entre l’UE et les États-Unis a été déclaré invalide.

Sont concernés en principe tous ceux qui utilisent des services de données de grandes entreprises américaines, comme Amazon Web Services, Google, Microsoft, Rocket Science Group (MailChimp), Salesforce, ZenDesk, Zoom, etc.

Ne sont pas concernés les transferts de données « nécessaires », par exemple les commandes sur Internet, les réservations d’hôtels ou les e-mails vers les États-Unis. Ceux-ci peuvent continuer à avoir lieu conformément à l’article 49 du RGPD. Les transferts de données sans données personnelles ne sont également pas concernés.

Il s’agit de l’externalisation des traitements de données, en particulier l’utilisation de services cloud. Dans la mesure où les contrats avec l’entreprise respective contiennent les clauses contractuelles types de l’UE (par exemple, Microsoft Office365), il existe toujours une base pour le transfert de données. Le prestataire garantit ainsi le respect des lois sur la protection des données de l’UE.

Le conflit fondamental entre les mesures de surveillance des États-Unis et les droits de protection des données en vigueur dans l’UE persiste toutefois. Les entreprises américaines restent tenues de divulguer les données personnelles aux autorités américaines sur demande, et les entreprises de l’UE restent tenues de contrôler les données personnelles.

Vérifiez vos contrats avec les sous-traitants américains. Certains ont déjà établi les clauses contractuelles types de l’UE. Si celles-ci sont incluses dans les contrats, aucune autre mesure n’est nécessaire. Si, en revanche, seul le Privacy Shield était utilisé comme garantie pour les pays tiers, les clauses contractuelles types de l’UE doivent être conclues immédiatement. Vous trouverez les modèles à cet effet ICI.

Pour plus d’informations sur le sujet, veuillez contacter les experts de l’entreprise de conseil en protection des données et en sécurité informatique msecure.

Source : iStock / BeeBright

Fait : Les amendes en vertu du RGPD peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Fait : Selon IBM, 95 % de tous les incidents de cybersécurité sont dus à des erreurs humaines.

L’essentiel

• Jusqu’à aujourd’hui, il existait un accord pour le transfert de données personnelles vers les États-Unis qui offrait une garantie suffisante au sens du RGPD (décision d’exécution UE 2016/1250).
• En juillet 2020, l’accord « Privacy Shield » entre l’UE et les États-Unis a été déclaré invalide.
• Dans la mesure où les contrats avec l’entreprise respective contiennent les clauses contractuelles types de l’UE (par exemple, Microsoft Office365), il existe toujours une base pour le transfert de données.

Key Facts

Amendes RGPD : Les autorités de protection des données européennes ont jusqu’à présent infligé plus de 4,5 milliards d’euros d’amendes.

Violations de données : 83 % des entreprises subissent plus d’une violation de la protection des données par an.

Questions fréquentes

Quelles sanctions encourent les violations du RGPD ?

Des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial – selon le montant le plus élevé. S’y ajoutent d’éventuelles demandes de dommages et intérêts de la part des personnes concernées.

Qu’est-ce qu’une évaluation d’impact sur la protection des données ?

Une EIPD est une évaluation systématique des risques d’un traitement de données pour les droits et libertés des personnes concernées. Elle est obligatoire si le traitement présente probablement un risque élevé – par exemple en cas de profilage, de surveillance vidéo ou de traitement de catégories particulières de données.

Le RGPD s’applique-t-il également aux petites entreprises ?

Oui, le RGPD s’applique à toute entreprise, indépendamment de sa taille, qui traite des données personnelles de citoyens de l’UE. Les petites entreprises bénéficient de quelques allègements (par exemple, pas de registre des activités de traitement pour moins de 250 employés en cas de traitement non risqué), mais doivent respecter tous les principes de base.

Articles connexes

• RGPD 2026 : Ce qui change et à quoi les entreprises doivent prêter attention
• Comment le machine learning est utilisé dans la cybersécurité
• Attaques de hackers : Comment les hôpitaux et les cabinets médicaux se protègent-ils ?

Plus du réseau MBF Media

• Business Future : Tendances pour les décideurs
• Perspectives des dirigeants sur la cybersécurité

Source de l’image de titre : Pexels

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow