FRANCE +33 6 95 20 71 95

 

BELGIQUE +32 (0)475 98 21 15

 
 
 
 
 
 
 

Peut-on encore utiliser des sociétés américaines, pour gérer des données personnelles ?


Le contexte

Lorsque vous chercher une solution pour héberger vos données et votre site, pour envoyer une campagne d'emails, pour gérer les visites sur votre site, les grands noms des sociétés américaines viennent très vite à l'esprit. que ce soit Microsoft, Amazon, Google ou autre. Si utiliser des sociétés européennes ne pose aucun problème, il faut rappeler que confier des données personnelles à des entreprises non européennes (Hors Espace Economique Européen) peut poser problème car ces pays ne respectent pas nécessairement le RGPD.  Certes, il existe des pays que la Commission Européenne considère que leur règlementation est équivalente, ce sont les pays qui ont obtenu une "décision d'adéquation", et les USA n'en font pas partie.

Les relations difficiles Europe-USA

Comme le marché européen est très intéressant pour les USA, et que l'Europe a intérêt à ce que les échanges de données puissent se passer sans trop de soucis, Un premier accord, appelé le "Safe Harvbour" avait été signé par les deux parties. Comme cet accord avait été annulé par la Cour de Justice Européenne, pour non-respect de la vie privée, un nouvel accord, le Privacy Shield a été signé. Mais, patatras, la Cour de Justice l'a annulé à nouveau en juillet 2021. 

Les raisons sont très claires : plusieurs règlementations américaines, permettent aux autorités américaines de demander aux sociétés américaines d'avoir accès à des informations concernant les données dont elles disposent, même concernant des citoyens ou résidents européens. 

Et ces demandes d'accès sont réelles, plusieurs milliers de demandes par an sont effectuées sur cette base et comme certaines sont confidentielles, les personnes concernées ne sont pas informées. Cet règlementation est évidemment contraire au RGPD dont un des principes est la transparence et l'information aux personnes concernées.

Et donc depuis juillet 2021, l'utilisation de sociétés américaines n'est pas simple !

Des solutions juridiques existent-elles pour utiliser des sociétés américaines ?

L'European Data Protection Board, qui regroupe toutes les autorités de protection des données européennes a proposé des recommandations, assez complexes à mettre en place, et qui consistent à analyser les possibilités juridiques qui permettraient de recourir à des sociétés américaines. Mais il faut bien reconnaître, qu'après les avoir examinées et après avoir analysé les nombreux documents proposés par les sociétés américaines pour tenter de convaincre les entreprises et organisations européennes, il reste toujours une possibilité que les autorités américaines aient accès à vos données et donc, travailler avec une société américaine pose problème par rapport au RGPD..

Des solutions techniques sont-elles utilisables ?

Il existe une solution technique qui permet de recourir aux services de société américaines, dans certains cas. En effet, les données que vous hébergez dans un cloud américain, si elles sont cryptées par vos soins et que votre sous-traitant américain ne peut donc avoir accès aux données le RGPD est respecté. Mais ce genre de solution ne fonctionne que pour l'hébergement par exemple, pas si vous confiez des adresses email pour une campagne d'emailing.

Par contre, on entend souvent dire que si les serveurs de la société américaine sont en Europe, il n'y a plus de problème. Rien n'est moins vrai. En effet, la loi américaine impose que les sociétés américaines répondent aux demandes des autorités indépendamment de la localisation des serveurs. 

N'oublions pas que plusieurs autorités de protection des données ont pris une décision claire concernant Google Analytics qui est désormais interdit en Europe car contraire au RGPD.  D'autres décisions pourraient tomber concernant d'autres services en ligne américains.

Il existe néanmoins de solutions européennes qui peuvent dans certains cas remplacer les services proposés par des sociétés américaines.

Des petits pas vers un nouvel accord Europe - USA ...

En mars 2022, le Président Biden et la Présidente de la Commission Européenne ont signalé qu'un accord avait été trouvé pour relancer le commerce des données entre l'Europe et les Etats-Unis. Mais aucun texte ne fut proposé et il fallut attendre le mois d'octobre 2022 pour que le Président Biden signe un Executive Order et que la Commission Européenne annonce quelle travaillait sur uen décision d'adéquation, qui reconnaitrait donc les Etats Unis comme un pays dont la législation serait assimilée au RGPD.

Que l'on va attendre durant plusieurs mois ...

En effet, pour que la décision d'adéquation soit officialisée, il faudra passer par plusieurs étapes:

  • recueillir l'avis de l'European Data Protection Board
  • le Parlement Européen va vraisemblablement se saisir de cette question
  • le conseil Européen devra donner son accord

Et donc il faudra attendre, au mieux, le milieu de 2023 pour que ces étapes soient franchies, pour autant qu'elles le soient.

Avant que la Cour de Justice ne l'annule à nouveau

En effet, les spécialistes du RGPD sont unanimes! L'executive order du président Biden ne répond pas à toutes les critiques émises par la Cour de Justice et il est vraisemblable que ce nouvel accord Europe Etas-Unis soit à nouveau annulé par la Cour, ce qui prolongerait l'incertitude juridique actuelle.

Notre conseil

Lorsque des solutions européennes existent, et il y en a de plus en plus, nous vous recommandons de privilégier ces solutions. Lorsque vous ne trouvez pas de solutions européennes équivalentes, le minimum est de documenter votre décision de choisir une solution américaine et de limiter les transferts de données au maximum. 

 

Envie d'en savoir plus ?

Vous cherchez une solution clé en main pour votre gestion RGPD ?

Contactez-nous pour en savoir plus sur notre solution et sur ses applications.


Lire les commentaires (0)

Articles similaires


Soyez le premier à réagir

Ne sera pas publié

Envoyé !

Derniers articles

Les données des personnes décédées sont-elles soumises au RGPD ?

le 12/08/23

Données personnelles: il y en a plus que vous ne croyez !

le 05/08/23

Transferts de données désormais autorisés vers les Etats-Unis : vraiment ?

le 29/07/23

Catégories

Création et référencement du site par Simplébo

Connexion