Votre entreprise envoie-t-elle des données à caractère personnel aux États-Unis en toute sécurité ?
17/09/2020

Dans un monde connecté, les données à caractère personnel font le tour du monde sans aucun effort, et sans même que vous le sachiez. Il suffit de penser aux applications "cloud" que vous utilisez au sein de votre entreprise ou encore aux nombreux fournisseurs de services qui ont accès aux données à caractère personnel de vos employés ou clients.

Votre entreprise n'est pas autorisée à transférer des données à caractère personnel vers un pays en dehors de l'Espace économique européen comme si de rien n'était.  Un tel transfert n'est autorisé que si ce pays offre aux données à caractère personnel un degré de protection équivalent à celui offert par le règlement général sur la protection des données (« RGPD »). Il en va de même lorsque ces données sont rendues accessibles depuis un pays hors de l'EEE, même sans transfert.

Dans un nombre limité de pays ce niveau équivalent de protection est assuré par une décision d'adéquation adoptée par la Commission européenne. Cela était le cas pour les États-Unis depuis 2016. En effet, avec le bouclier de protection des données UE-États-Unis pour les transferts de données, il était permis aux entreprises de transférer des données à d'autres entreprises localisées aux États-Unis qui avaient été certifiées dans le cadre du bouclier de protection des données.

Durant le mois de juillet, la Cour de justice a annulé cette décision d'adéquation avec effet immédiat (« arrêt Schrems-II » du 16 juillet 2020).

Que devez-vous faire ?

  • Découvrez où se trouvent les données à caractère personnel à l'intérieur ou à l'extérieur de votre entreprise.
     
  • Ne transférez plus de données à caractère personnel aux États-Unis (sociétés du groupe, prestataires de services, etc.), aussi longtemps que vous n'avez pas d'alternative au bouclier de protection des données.
     
  • Examinez quelles sont les garanties appropriées qui peuvent constituer une alternative à vos transferts de données actuels dans le cadre du bouclier de protection des données, comme des solutions techniques, des conditions contractuelles standard ou des règles d'entreprise contraignantes.
     
  • Amendez vos accords existants s'ils prévoient un transfert de données à caractère personnel basé sur le bouclier de protection des données. 
     
  • Ajustez votre politique vie privée si elle est basée sur ou fait référence au bouclier de protection des données.

Entre-temps, le Comité Européen de la Protection des Données a publié un document contenant des questions fréquemment posées sur l'arrêt ("FAQ"). Il va de soi que nous sommes à votre disposition pour répondre à vos questions et pour vous assister dans vos démarches visant à minimiser le risque d'encourir des amendes, potentiellement conséquentes.

Voir aussi : Eubelius ( Mrs. Anneleen Van de Meulebroucke ,  Ms. Justine De Meersman )

[+ http://www.eubelius.be]

Mrs. Anneleen Van de Meulebroucke Mrs. Anneleen Van de Meulebroucke
Senior Attorney
anneleen.vandemeulebroucke@eubelius.com
Ms. Justine De Meersman Ms. Justine De Meersman
Lawyer
justine.demeersman@eubelius.com

Click here to see the ad(s)

Derniers articles de Mrs. Anneleen Van de Meulebroucke

3, 2, 1 ... La protection des données en Belgique
29/05/2020

Cette semaine, le 25 mai 2020, le règlement général sur la protection des données (RGDP) a c&e...

Read more

Derniers articles de Ms. Justine De Meersman

3, 2, 1 ... La protection des données en Belgique
29/05/2020

Cette semaine, le 25 mai 2020, le règlement général sur la protection des données (RGDP) a c&e...

Read more

LexGO Network