L’impact des lois américaines sur la protection des données
Des lois américaines, comme le CLOUD Act et la FISA Section 702, permettent aux autorités des États-Unis d’accéder aux données stockées par des entreprises américaines, même si ces données sont hébergées en Europe. Cela peut poser des problèmes de conformité avec le RGPD. Toutefois, les transferts vers les États-Unis restent possibles sous certaines conditions.
Décision d’adéquation et le Transatlantic Data Privacy Framework (TADPF)
Depuis la décision de la Commission européenne du 10 juillet 2023, les transferts de données vers des entreprises américaines certifiées dans le cadre du Transatlantic Data Privacy Framework (TADPF) sont autorisés sans encadrement spécifique. Ces entreprises doivent figurer sur une liste publiée par le ministère américain du Commerce.
Clauses contractuelles types (CCT) : une alternative pour les prestataires non certifiés
Si le prestataire n’est pas certifié dans le cadre du TADPF, vous devez :
- Utiliser des clauses contractuelles types (CCT) mises à jour pour encadrer le transfert.
- Effectuer une analyse d’impact sur les transferts (AITD) afin de vérifier que les lois américaines ne compromettent pas les garanties du RGPD.
Mesures techniques pour protéger les données
Si nécessaire, des mesures techniques comme le chiffrement ou l’anonymisation doivent être mises en place pour éviter tout accès non autorisé, notamment par les services de renseignement américains.
Obligation d’information des personnes concernées
Vous devez informer les personnes concernées que leurs données seront transférées hors de l’Union européenne et leur expliquer les garanties mises en place pour assurer leur protection.
Une question ?
Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles. N’hésitez pas à nous contacter à notre adresse habituelle !