Mathias | Avocats

La certification des entreprises américaines en application du Data Privacy Framework
10 août 2023

Le nouveau cadre de protection des données personnelles entre l’Union européenne et les États-Unis est fondé, comme les précédents, sur un système de certification par lequel les entités américaines qui le souhaitent, s’engagent annuellement à respecter un ensemble de principes.

La liste des entités certifiées au regard du Data Privacy Framework (DPF UE-États-Unis) est mise à disposition du public par le Département du Commerce américain (US Department of Commerce – DoC).

Quelle est la procédure de certification ? Sur quels éléments portent les contrôles du DoC ? Quid des transferts aux États-Unis si l’entité importatrice n’est pas certifiée ?

La procédure de certification des entreprises sous le Data Privacy Framework

Les organisations concernées devront publiquement déclarer leur engagement à se conformer aux principes édictés par l’UE-États-Unis DPF, rendre leur politique de protection de la vie privée disponible et les mettre en œuvre. Elles devront aussi soumettre certaines informations spécifiques au Département du commerce américain, telles que leur dénomination sociale, une description des finalités pour lesquelles les données seront traitées,  le type de données traitées, le mécanisme de recours choisi ou encore l’organe statutaire qui a compétence pour faire respecter les principes du DPF UE-États-Unis.

Une fois inscrites sur la liste des entités certifiées, ces organisations pourront recevoir des données personnelles de la part d’entités établies au sein de l’Union européenne sans que des mesures supplémentaires soient nécessaires.   Il convient de noter que les organisations antérieurement certifiées au regard du Privacy Shield doivent se mettre en conformité avec le nouveau cadre juridique d’ici au 20 octobre 2023. Cela implique une mise à jour de leur politique et des informations fournies aux personnes concernées. Elles seront désormais répertoriées ou, si elles décident de ne pas y adhérer, devront officiellement s’y retirer. Les autres organisations américaines devront procéder à leur première certification.

Quel contrôle annuel ?

Afin de continuer à recevoir des données personnelles en provenance de l’UE, les organisations devront se soumettre à un contrôle annuel en vue d’une re-certification.

Le Département du commerce procédera à différentes vérifications telles que la présence d’un lien hypertexte au sein des politiques de protection renvoyant vers un formulaire de plainte (mécanisme de résolution des litiges). Il vérifiera également, en cas de demande de certification incluant plusieurs entités ou filiales, si la politique de chacune des entités répond aux exigences du DPF UE-États-Unis.

Par ailleurs, lorsque cela s’avèrera nécessaire, Le Département du commerce réalisera également des contrôles croisés avec la Commission fédérale du commerce (Federal Trade Commission, FTC) et le Département des transports américain.

Afin de continuer à recevoir des données personnelles en provenance de l’UE, les organisations devront se soumettre à un contrôle annuel en vue d’une re-certification.

Le Département du commerce procédera à différentes vérifications telles que la présence d’un lien hypertexte au sein des politiques de protection renvoyant vers un formulaire de plainte (mécanisme de résolution des litiges). Il vérifiera également, en cas de demande de certification incluant plusieurs entités ou filiales, si la politique de chacune des entités répond aux exigences du DPF UE-États-Unis.

Par ailleurs, lorsque cela s’avèrera nécessaire, Le Département du commerce réalisera également des contrôles croisés avec la Commission fédérale du commerce (Federal Trade Commission, FTC) et le Département des transports américain.

Quid si l’organisation à laquelle les données sont transférées ne figure pas sur la liste du DoC ?

Les transferts vers des organisations américaines ne figurant pas sur la liste du Département du Commerce ne peuvent être fondés sur la décision d’adéquation et nécessitent des garanties appropriées.

Il sera notamment possible pour une entreprise européenne de réaliser un transfert de données personnelles vers les États-Unis en signant des clauses contractuelles types ou, tout autre mécanisme prévu par le RGPD (règles d’entreprise contraignantes, code de conduite etc.). Une analyse d’impact du transfert (Transfer Impact Assessment, TIA), prenant en compte les évolutions du droit américain, devra être mené. Des garanties supplémentaires devront également être mises en œuvre conformément à la solution dégagée par la Cour de justice de l’Union européenne et les recommandations du Comité européen de la protection des données.  

Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !