Date
05.09.2023
Que doit faire un DPD avec le Data Privacy Framework ? Même si cet article porte aussi sur le DPF (Data Privacy Framework), l’objectif n’est pas d’écrire un énième article dont les trois premières sections sont identiques à toutes les autres. Si vous lisez le présent article, nous supposons que vous êtes déjà familier de Schrems II et du Privacy Shield et que vous êtes au courant de l’existence d’un nouveau cadre pour les transferts vers les Etats-Unis, à savoir le DPF. Ce n’est pas le cas ? Vous trouverez ici et ici deux descriptions claires et complètes rédigées par des cabinets d’avocats réputés, et ici une note d’information de l’EDPB lui-même.
Nous aimerions néanmoins aussi nous pencher sur le sujet. Malgré tous les articles qui ont déjà été publiés à propos du DPF, nous sommes un peu restés sur notre faim : il n’est indiqué nulle part concrètement ce qu’il faut faire en tant que DPD. C’est sur ce point que nous voulons mettre l’accent dans cet article. Vous trouverez ci-dessous les actions que nous vous recommandons d’entreprendre en tant que DPD.
Contrôle des sous-traitants
Les entreprises qui étaient déjà ‘certifiées Privacy Shield’ ne doivent rien faire : depuis le 17 juillet, elles sont automatiquement notifiées comme étant certifiées au titre du DPF. Ceci est logique dans la mesure où les problèmes soulevés par Schrems II ne se situaient pas au niveau des organisations qui traitent les données, mais au niveau du gouvernement américain. Dans un premier temps, il importe donc de vérifier si une organisation / un sous-traitant est effectivement enregistré. Pour ce faire, nous vous renvoyons sur le site du gouvernement américain LINK
Révision des accords existants et des TIA
Ces deux dernières années, nous avons dû, en tant que DPD, effectuer des analyses de l’impact du transfert (Transfer Impact Assessment ou TIA). Le Privacy Shield n’existant plus, pratiquement tous les sous-traitants concernés ont donc commencé à utiliser des clauses contractuelles types (CCT) et à effectuer un Transfer Impact Assessment. Soyons honnêtes : tous les TIA qui devaient être faits n’ont pas été réalisés, et certains modèles utilisés n’avaient qu’un seul but : justifier pourquoi le transfert pouvait avoir lieu.
Une actualisation des TIA s’avère nécessaire aujourd’hui, une mise à jour qui les rendra d’ailleurs nettement plus simples. Classiquement, les TIA suivent les six étapes bien connues, établies par les lignes directrices de l’EDPB. Désormais, l’on peut s’arrêter à l’étape 3, à savoir la détermination de l’adéquation de l’instrument de transfert. Grâce au DPF, les CCT incluent maintenant des mesures suffisantes pour assurer une protection adéquate des données.
Attention : ceci ne s’applique évidemment qu’aux transferts vers les États-Unis ! Pour les autres pays tiers ne bénéficiant pas d’une décision d’adéquation, le TIA reste tel quel.
Demandez également à vos sous-traitants quel mécanisme ils utiliseront et, le cas échéant, s’ils ont également posé la même question à leurs sous-traitants ultérieurs. Il n’y a aucune obligation de passer au DPF et, comme indiqué dans l’action à entreprendre suivante, il y a même une excellente raison de continuer à se fier aux CCT et au TIA : qui sait dans combien de temps Schrems III fera son apparition ?
Nouveaux accords avec les sous-traitants
Pour les nouveaux accords avec des sous-traitants aux États-Unis, deux options s’offrent à vous. Les deux options conduisent à des transferts légitimes :
Continuer à utiliser les CCT et le TIA y afférent. Ce TIA est toutefois plus facile à documenter aujourd’hui. (Conseil : avec le DPF, la situation est désormais la même pour tous les sous-traitants américains. Vous pouvez donc créer un TIA générique pour tous les transferts vers les États-Unis).
S’en tenir au DPF si le sous-traitant fait partie de la liste. Pas de CCT, pas de TIA.
Attention ! L’option 2 appelle quelques commentaires : vous devez toujours disposer d’un accord de sous-traitance ou d’un DPA (Data Processing Agreement), et NOYB et Schrems sont en train d’aiguiser leurs couteaux pour Schrems III. Il n’est certainement pas inconcevable que Schrems III fasse son apparition d’ici un an et demi. Si tel est le cas, il sera beaucoup plus facile de tout régler à partir de l’option 1 que de s’en remettre entièrement au DPF.
Mise à jour des déclarations de confidentialité
Vous avez déjà dû faire référence à plusieurs endroits à l’utilisation de l’instrument adéquat pour transférer des données, soit plus particulièrement les CCT. Il faut maintenant y ajouter le DPF. Nous ne nous attendons pas vraiment à ce qu’une série de personnes concernées se mettent à scruter votre déclaration de confidentialité pour y trouver la référence appropriée, mais il faut bien sûr que cela soit en ordre.
Suivi
Indépendamment d’un éventuel Schrems III, la Commission européenne et l’EDPB procéderont également à une évaluation et une révision du DPF d’ici un an, c’est-à-dire vers le 10 juillet 2024. À surveiller donc, mais vous pouvez aussi compter sur DPI pour vous en informer en temps utile !
* * *
Rester informé(e) ? Abonnez-vous à notre newsletter!
Date
05.09.2023
