Nouveaux développements dans les transferts de données UE-États-Unis
- Last updated: juillet 17, 2023
- Legal updates
Legal and Data Protection Officer
Le transfert de données entre l’Union européenne et les États-Unis est probablement l’un des sujets de confidentialité les plus controversés de ces dernières années.
Cet article mettra en lumière la décision d’adéquation publiée par la Commission européenne le 10 juillet 2023 et le nouveau cadre de confidentialité des données UE-États-Unis.
Contexte
En 2013, Edward Snowden a révélé au public de nombreux programmes de surveillance de masse aux États-Unis.
NOYB (None of your Business), une organisation à but non lucratif dirigée par l’avocat autrichien Max Schrems, a déposé une plainte concernant le transfert de données de Facebook Ireland à la société mère américaine et auxquelles les autorités de surveillance américaines ont ensuite eu accès. L’accord Safe Harbor alors en place a été annulé, ce qui signifie qu’il ne pouvait plus être utilisé comme base juridique pour transférer les données aux États-Unis.
En 2018, le règlement général sur la protection des données est entré en vigueur. Le successeur de Safe Harbor, appelé Privacy Shield, a de nouveau été contesté par NOYB. Dans la célèbre décision Schrems II du 16.7.2020, le Privacy Shield a été annulé et ne pouvait pas être utilisé comme base légale pour transférer des données vers les États-Unis.
Dans cette décision, il a également été déclaré que les clauses contractuelles types étaient toujours valables, mais que des mesures supplémentaires devaient être prises, ce qui a entraîné une certaine incertitude et de nombreuses questions dans la communauté de la protection de la vie privée et dans les entreprises.
Les clauses contractuelles types ont été mises à jour le 4.6.2021 pour répondre à certaines des préoccupations.
Cadre de confidentialité des données UE-États-Unis
Le gouvernement américain et les représentants de l’UE étaient conscients de la nécessité de remédier aux lacunes mentionnées dans la décision Schrems II et ont négocié un troisième accord désormais appelé EU-US Data Privacy Framework.
Basé sur un décret exécutif sur le «renforcement des garanties pour les activités de renseignement sur les signaux des États-Unis», qui a introduit de nouvelles garanties contraignantes pour répondre aux points soulevés par la Cour de justice. Notamment, les agences de renseignement américaines ne peuvent accéder aux données que dans la mesure nécessaire et proportionnée.
En outre, un mécanisme de recours indépendant et impartial pour traiter et résoudre les plaintes des Européens concernant la collecte de leurs données à des fins de sécurité nationale a été mis en place.
Sur la base de ces améliorations, la Commission européenne a publié une décision d’adéquation pour les États-Unis le 10 juillet 2023.
Qu'est-ce qu'une décision d'adéquation ?
Une décision d’adéquation est l’un des mécanismes de transfert prévus par le RGPD pour transmettre légalement des données à un pays tiers (c’est-à-dire non membre de l’UE).
Il s’agit d’une décision de la Commission européenne selon laquelle ce pays spécifique et ses lois et pratiques garantissent une protection adéquate de la vie privée des personnes et des données peuvent être transférées vers ce pays sans conditions supplémentaires. Une liste des pays pour lesquels cela est vrai peut être trouvée ici.
Une note à nos clients suisses
Le Préposé fédéral à la protection des données et à la transparence (FDPIC) a publié la déclaration suivante. Le transfert de données est légal même si les négociations sur un accord sont toujours en cours. Yokoy est également prêt pour l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données le 1er septembre 2023.
Regarder vers l'avant
Le jour même où cette décision a été rendue, NOYB a annoncé une autre contestation judiciaire de cette décision. Il reste donc à voir si le nouveau cadre est là pour rester ou non. Jusqu’à présent, les tribunaux ont invalidé de tels cadres à deux reprises et il est possible que cela se produise une troisième fois.
Qu'avons-nous fait chez Yokoy pour protéger vos données ?
En ce qui concerne les modules de dépenses Yokoy et de factures Yokoy, il est possible de désactiver le seul sous-traitant qui stocke des données aux États-Unis.
Le partenaire de Yokoy Pay, Marqeta, a mis en place des mesures de sécurité audacieuses et est utilisé par Visa et Mastercard pour fournir le même service qu’ils fournissent à Yokoy. Les transferts entre notre siège en Suisse et l’UE ou le Royaume-Uni sont également couverts par une décision d’adéquation.
Nos sous-traitants sont répertoriés de manière transparente sur notre site Web avec leurs mesures techniques et organisationnelles prises. Ils peuvent être trouvés ici.
Yokoy a également mené une évaluation de l’impact du transfert qui a conclu que, sur la base des données en question (principalement des données de dépenses guidées et protégées par les politiques de dépenses de nos clients) et des mesures de sécurité étendues, nous et nos partenaires avons pris un accès par la surveillance américaine. autorités pour des raisons de sécurité nationale est peu probable.
En tant que responsable de la protection des données de Yokoy, je peux confirmer qu’à ce jour, nous n’avons jamais reçu de demande d’autorités de protection des données ou de sécurité des États-Unis ou d’autres pays. Si cela se produit, nous avons mis en place un processus qui consiste à vous informer de la demande (si cela est autorisé) et à vous assurer, également avec des avocats externes expérimentés dans ce domaine, que la demande est légitime et proportionnée.
Indépendamment de cette décision, le transfert de données a toujours été licite dans le passé et nous continuerons à suivre l’évolution. Comme vous pouvez le voir ici et dans le document d’une page ici, nous prenons la sécurité de vos données très au sérieux et sommes régulièrement testés par des tiers indépendants via des tests d’intrusion ou nos audits de sécurité ISO 27001 effectués par TÜV Rheinland.
Simplifiez la gestion de vos dépenses
Contenu connexe
Si tu as aimé cet article, les ressources ci-dessous te seront peut-être utiles.
Headline
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Headline
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Headline
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.