Les entreprises naviguent à vue pour le transfert de données hors de l’UE

le 25/09/2020 L'AGEFI Quotidien / Edition de 7H

La Commission européenne doit publier avant fin 2020 une mise à jour des clauses contractuelles types pour les rendre conformes au RGPD.

La révocation en juillet dernier du «Privacy Shield» qui régissait depuis quatre ans le cadre juridique du transfert de données personnelles entre l’Union européenne (UE) et les Etats-Unis a créé une incertitude majeure. «Les sociétés exportatrices et importatrices de données ont certes le droit d’utiliser les clauses contractuelles types pour gérer les données personnelles transférées hors de l’UE, mais la Cour de justice de l’UE a souligné que ces clauses pouvaient être insuffisantes pour être conformes au RGPD (règlement général sur la protection des données) en vigueur depuis mai 2018», explique à l’Agefi Dessislava Savova, avocate associée chez Clifford Chance à Paris.

Les entreprises doivent donc désormais analyser au cas par cas les procédures d’évaluation mises en place pour garantir cette conformité, ce qui nécessite davantage de temps et des vérifications supplémentaires. Elles devront notamment établir une cartographie des flux, des volumes et du caractère sensible des données traitées, en s’assurant que ces dernières respectent le cadre réglementaire des différents pays de l’UE.

Le comité européen de la protection des données, organisme chargé de garantir l’application du RGPD, a mis en place un groupe de travail pour déterminer des mesures de sauvegarde complémentaires. Ses recommandations sont attendues avec impatience. «Bruxelles doit en outre publier d’ici à la fin de cette année une mise à jour des clauses contractuelles types en vue de les mettre en conformité avec le RGPD et plus généralement les moderniser», relève l’avocate. En attendant, les entreprises sont incitées à veiller à la sécurité des données des consommateurs en ayant recours à des systèmes d’encryptage ou en filtrant certaines demandes d’accès émanant des autorités gouvernementales.

Le Brexit pose à cet égard un problème supplémentaire à la Commission européenne. Celle-ci devra examiner la future législation du Royaume-Uni afin de vérifier qu’elle offre une protection adéquate aux citoyens de l’UE et que la sécurité des données est également garantie en matière d’immigration. Il reste à savoir si Londres restera aligné sur le modèle de l’UE ou si le gouvernement britannique se rapprochera de la législation moins protectrice des Etats-Unis. A court terme, l’élection présidentielle favorisera le statu quo sur ce sujet outre-Atlantique, mais de nombreuses entreprises américaines souhaiteraient la mise en place d’une réglementation plus homogène entre Etats fédéraux.

Sur le même sujet

A lire aussi