Cadre de protection des données Union Européenne-États-Unis
La Commission européenne a annoncé cette semaine l’adoption du Cadre de protection de la vie privée entre l’UE et les États-Unis (EU-U.S. DPF). Le EU-U.S. DPF rétablit une base réglementaire essentielle pour les flux de données entre l’UE et les États-Unis, qui avait été rendue vacante lorsque la Cour de justice de l’Union européenne a invalidé l’ancien bouclier de protection des données entre l’UE et les États-Unis comme mécanisme de transfert de données valable en vertu de la législation de l’UE. Dans cet article, nous explorons ce que le EU-U.S. DPF implique, ses principes, son administration, sa surveillance et son application.
Qu’est-ce que le cadre de protection de la vie privée entre l’UE et les États-Unis (EU-U.S. DPF) ?
Le EU-U.S. DPF est un cadre grâce auquel les organisations américaines s’engagent à respecter un ensemble de principes de protection de la vie privée pour protéger les données personnelles transférées de l’Union européenne vers les organisations américaines.
Le cadre est fourni lors d’une décision d’adéquation, l’un des outils prévus par le Règlement général sur la protection des données (RGPD) de l’UE pour transférer des informations personnelles identifiables (PII) de l’UE vers d’autres pays qui offrent un niveau de protection comparable de données personnelles à celui de l’Union européenne.
Pour être éligibles à la certification EU-U.S. DPF, les organisations doivent accepter d’être soumises aux pouvoirs d’investigation et d’application de la Federal Trade Commission (FTC) ou du Département des transports américain (DoT). Les principes du cadre de protection de la vie privée UE-États-Unis sont immédiatement applicables dès la certification d’une organisation. Les organisations inscrites sur la liste EU-U.S. DPF sont tenues de renouveler chaque année leur adhésion à ces principes.
Qu’est-ce que le EU-U.S. DPF cherche à protéger ?
Le EU-U.S. DPF offre une protection à toutes les données personnelles transférées de l’UE vers les organisations aux États-Unis qui ont certifié leur adhésion aux principes du cadre, émis par le Département du Commerce. Des informations personnellement identifiables telles que les noms, les adresses électroniques, les numéros de téléphone, etc. sont généralement transférées de l’UE vers les États-Unis par des organisations telles qu’Amazon, Meta (Facebook, Instagram, etc.) et Apple, entre autres, qui ont toutes leur siège aux États-Unis.
Cependant, le cadre exclut les données qui sont collectées pour la publication, la diffusion ou d’autres formes de communication publique de matériel journalistique et d’information dans des matériels précédemment publiés diffusés à partir des archives médiatiques.
Contrôleurs de données et processeurs de données selon le EU-U.S. DPF
Le EU-U.S. DPF s’applique aux organisations basées aux États-Unis qui répondent à la définition de contrôleurs de données ou de processeurs de données. Le cadre définit un contrôleur de données comme une personne ou une organisation qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données personnelles. Il définit les processeurs de données comme des agents agissant au nom d’un contrôleur.
Le traitement des données selon le EU-U.S. DPF est défini comme toute opération ou ensemble d’opérations effectuées sur les données personnelles, que ce soit ou non par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, le stockage, l’adaptation ou l’altération, la consultation, l’utilisation, la divulgation ou la diffusion, et l’effacement ou la destruction.
Le cadre stipule que les processeurs américains sont contractuellement tenus de n’agir que sur instructions d’un contrôleur de l’UE et de les aider à répondre aux individus qui exercent leurs droits en vertu des principes du cadre. Dans le cas de la sous-traitance, un processeur doit conclure un contrat avec le sous-processeur garantissant le même niveau de protection que celui prévu par les principes du cadre et prendre des mesures pour en assurer la bonne mise en œuvre.
Principes du cadre de protection des données privées UE-États-Unis
Les principes du cadre de protection des données privées UE-États-Unis (EU-U.S. DPF) sont essentiellement des exigences et des droits pour les personnes concernées (c’est-à-dire, les citoyens et résidents de l’UE) dont les informations personnelles sont traitées par des contrôleurs soumis à ce cadre. Les principes comprennent :
Le principe de limitation des finalités et de choix assure un traitement licite des données
L’une des dispositions clés décrites dans le cadre EU-U.S DPF, ce principe stipule que toute information personnelle identifiable doit être traitée de manière licite et équitable. Il indique que de telles données devraient être recueillies pour une fin clairement définie et ne devraient pas être utilisées ultérieurement d’une manière qui contredirait cette intention originale. Essentiellement, une organisation ne peut pas réutiliser des données personnelles d’une manière qui dévie de sa finalité originale ou ultérieurement sanctionnée, comme convenu par l’individu dont les données sont en question.
De plus, le principe du choix exige que, si une organisation souhaite utiliser des informations personnelles identifiables pour une nouvelle finalité, même si cette finalité est toujours en accord avec la finalité originale, ou les partager avec un tiers, l’individu qui peut être identifié par ces informations doit se voir offrir la possibilité de refuser l’utilisation de ces informations pour cette nouvelle finalité. Ce refus, ou désabonnement, doit être facilité par une méthode simple et facilement accessible.
Les catégories spéciales de données personnelles doivent être traitées avec un soin extrême
Ce principe met essentiellement en évidence la nécessité de précautions spéciales lorsqu’il s’agit de gérer et de traiter des “informations sensibles”. Ce terme, tel que défini par le cadre, inclut les données personnelles qui fournissent des détails sur l’état de santé d’un individu, son origine raciale ou ethnique, ses opinions politiques, ses croyances, ses adhésions à des syndicats, ou toute autre information qualifiée de sensible par un tiers.
Le principe exige que les organisations certifiées sous le cadre EU-U.S. DPF traitent toutes les données classées comme sensibles en vertu de la loi de l’Union européenne sur la protection des données avec le même niveau de sensibilité. En essence, les organisations doivent obtenir une permission explicite —un “opt-in”— de la part des individus pour utiliser leurs informations sensibles à des fins au-delà de celles pour lesquelles elles ont été initialement recueillies ou ensuite autorisées par la personne concernée. Les exceptions à cette règle ne sont autorisées que dans certaines circonstances, par exemple lorsque le traitement de ces données sensibles est crucial pour des revendications légales, des soins médicaux, un diagnostic, ou lorsqu’il est dans l’intérêt vital de la personne, conformément aux exceptions déjà établies dans le droit de l’Union européenne en matière de protection des données.
Précision, minimisation et sécurité des données maintiennent les données confidentielles et uniquement tant qu’elles sont nécessaires
Ce principe souligne l’importance de la précision, de la pertinence et de la sécurité dans la gestion des données. Le principe stipule que les données doivent non seulement être actuelles et correctes, mais aussi spécifiques et proportionnées à leur finalité. De plus, les données ne doivent pas être conservées au-delà de la période requise pour leur utilisation prévue. Comme pour le principe de l’intégrité des données et de la limitation des finalités, le principe de la précision, minimisation et sécurité des données renforce le besoin crucial de restreindre les données à ce qui est pertinent pour le but du traitement, tout en garantissant que les données sont complètes, précises et fiables.
En ce qui concerne la conservation des données personnelles, le cadre stipule que les informations personnelles identifiables peuvent être conservées de manière identifiable uniquement aussi longtemps qu’elles sont nécessaires pour la finalité initialement établie ou ultérieurement autorisée par l’individu concerné. Les exceptions à cela comprennent des finalités spécifiques comme l’archivage dans l’intérêt public et l’analyse statistique, à condition que des garanties adéquates soient en place.
Ce principe met également l’accent sur l’importance de la sécurité, orientant les organisations vers la mise en œuvre de mesures pour protéger les données contre les accès non autorisés ou la perte ou les dommages accidentels, en tenant compte des risques associés et de la nature du traitement des données. Le principe de sécurité renforce ainsi le maintien d’un niveau de sécurité des données raisonnable et approprié.
Le principe de transparence souligne la nécessité d’informer préalablement les sujets de données
Le principe de transparence exige que les sujets de données soient informés des principales caractéristiques du traitement de leurs données personnelles. Ce principe impose aux organisations d’informer les sujets de données sur :
- La participation de l’organisation au DPF
- Le type de données collectées
- L’objectif du traitement
- Le type ou l’identité des tiers auxquels les données personnelles peuvent être divulguées et les raisons de le faire
- Leurs droits individuels
- Comment contacter l’organisation
- Les recours disponibles
Ce principe souligne la nécessité d’informer préalablement les sujets de données, ce qui devrait être fait lorsqu’ils sont d’abord sollicités pour leurs données personnelles ou dès que possible. Il stipule également que les sujets de données doivent être informés avant que leurs données ne soient utilisées à des fins sensiblement différentes (mais compatibles) de celles pour lesquelles elles ont été initialement collectées, ou avant qu’elles ne soient partagées avec un tiers.
De plus, les organisations sont tenues de divulguer publiquement leurs politiques de confidentialité qui démontrent leur adhésion à celles-ci. Ils devraient également inclure des liens vers le site web du Département du Commerce pour des informations supplémentaires sur la certification, les droits des sujets de données, les mécanismes de recours disponibles, la liste des organisations participantes au Cadre de protection des données privées et le site web d’un fournisseur de règlement des différends alternatif approprié.
Le principe des droits individuels donne aux sujets de données le pouvoir sur leurs données personnelles
Les droits individuels, ou plus spécifiquement ceux des sujets de données, peuvent être invoqués contre ceux qui contrôlent ou traitent les données. Ce principe comprend le droit d’accéder aux données personnelles, de s’opposer au traitement de ces données et de faire rectifier ou effacer les données incorrectes.
“L’accès aux données” signifie que les individus peuvent demander des informations à n’importe quelle organisation sur le traitement de leurs données personnelles sans avoir à fournir de raison. Ils ont également le droit d’être informés sur les types de données personnelles traitées, l’objectif du traitement et les entités à qui les informations personnelles identifiables sont divulguées. Toute demande d’accès doit être traitée en temps opportun.
Les individus ont le droit de faire corriger ou supprimer leurs données si elles sont inexactes ou ont été traitées en violation des principes convenus. Ils peuvent également s’opposer à l’utilisation de leurs données à des fins sensiblement différentes de l’intention originale et au partage de leurs données avec des tiers. Ils ont également le droit de se désinscrire à tout moment de l’utilisation de leurs données personnelles à des fins de marketing direct.
Restrictions sur les transferts ultérieurs
Le niveau de protection accordé aux données personnelles transférées de l’Union européenne vers des organisations aux États-Unis ne doit pas être compromis par un transfert ultérieur de ces données à un destinataire aux États-Unis ou dans un autre pays. Ce principe prévoit que tout transfert ultérieur ne peut avoir lieu :
- Pour des fins limitées et spécifiées
- Sur la base d’un contrat entre l’organisation du DPF UE-États-Unis et le tiers (ou un arrangement comparable au sein d’un groupe d’entreprises)
- Seulement si ce contrat exige que le tiers fournisse le même niveau de protection que celui garanti par les principes
Le principe de responsabilité assure que les organisations démontrent leur conformité
Le principe de responsabilité stipule que les organisations qui traitent des données sont tenues de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer une pleine conformité avec les obligations de protection des données. Cela comprend une conformité démontrable en particulier vis-à-vis des autorités réglementaires compétentes. L’obtention de la certification sous le DPF UE-États-Unis est un choix volontaire, mais une fois engagée, l’adhésion rigoureuse de l’organisation aux principes du cadre devient obligatoire et juridiquement contraignante. De plus, ces organisations devraient établir des mécanismes robustes pour assurer leur conformité à ces principes.
Elles sont également tenues de vérifier si leurs politiques de confidentialité sont conformes aux principes et de confirmer leur exécution. Cela peut être réalisé grâce à des systèmes d’auto-évaluation comportant des procédures internes qui imposent une formation des employés à l’exécution des politiques de confidentialité de l’organisation. Les revues de conformité régulières et objectives font également partie de ce processus. Alternativement, des revues de conformité externes peuvent également être réalisées en utilisant des méthodologies telles que l’audit, les vérifications aléatoires, ou l’utilisation d’outils technologiques.
Administration, surveillance et application du DPF UE-États-Unis
Le DPF UE-États-Unis sera administré et surveillé par le Département du Commerce des États-Unis (DoC). Le cadre décrit divers mécanismes d’application qui seront utilisés pour garantir la conformité aux directives. Tout manquement à ces principes sera rapidement traité.
Comment les organisations seront-elles certifiées et reconnues?
Pour être certifiées ou recertifiées chaque année, les organisations doivent s’engager publiquement à respecter les principes du cadre DPF UE-États-Unis. Cela inclut la mise à disposition gratuite des politiques de confidentialité et la garantie de leur bonne mise en œuvre. Dans le cadre du processus de certification ou de recertification, les organisations doivent fournir au DoC :
- Le nom de l’organisation concernée
- Une description des finalités pour lesquelles l’organisation traitera les données personnelles
- Les données personnelles qui seront couvertes par la certification
- La méthode de vérification choisie
- Le mécanisme de recours indépendant pertinent
- L’organisme statutaire habilité à faire respecter la conformité avec les principes
Comment sera surveillée la conformité avec le DPF UE-États-Unis?
La conformité avec les principes du DPF UE-États-Unis sera constamment surveillée par le DoC. Cela impliquera différentes mesures, notamment la réalisation de “contrôles aléatoires” sur certaines organisations et des vérifications ad hoc spécifiques lorsque des problèmes potentiels de conformité se posent. Le DoC évaluera si:
- Les points de contact pour la gestion des plaintes et des demandes de données sont disponibles et réactifs
- La politique de confidentialité de l’organisation est facilement disponible, à la fois sur son site web et par le biais d’un hyperlien sur le site web du DoC
- La politique de confidentialité de l’organisation continue de respecter les exigences de la certification
- Le mécanisme de règlement des différends indépendant choisi par l’organisation est disponible pour gérer les plaintes
Identification et traitement des fausses déclarations de participation
Les fausses déclarations de participation au DPF UE-États-Unis ou l’abus de la marque de certification seront surveillés par le DoC. Cela sera fait à la fois de manière indépendante et sur la base de griefs, tels que ceux des Autorités de Protection des Données (DPAs). Le DoC vérifiera continuellement si les organisations qui se sont retirées du DPF UE-États-Unis n’ont pas réussi à compléter la certification initiale ou la recertification annuelle, sont retirées en tant que participant, et ont supprimé toutes les références au DPF UE-États-Unis de leurs politiques de confidentialité publiées. Le DoC effectuera également des recherches sur Internet pour vérifier toute référence illégale au DPF UE-États-Unis dans les politiques de confidentialité des organisations.
Comment le DPF UE-États-Unis sera-t-il appliqué?
Un organisme de contrôle distinct supervisera principalement l’application du cadre de protection des données UE-États-Unis. Cette autorité indépendante se verra confier la responsabilité de surveiller vigoureusement le respect des règles de protection des données, ainsi que d’imposer des pénalités en cas de non-conformité. Pour que ce processus soit efficace, les organisations au sein du DPF UE-États-Unis doivent être responsables devant les organismes réglementaires compétents des États-Unis, principalement la Federal Trade Commission et le Department of Transportation. Ces autorités américaines possèdent les pouvoirs d’investigation et d’application cruciaux nécessaires pour garantir une pleine conformité avec les principes du cadre.
Accès et utilisation des données personnelles transférées depuis l’Union européenne par les autorités publiques aux États-Unis
Dans le cadre du Data Privacy Framework UE-États-Unis, le traitement des données personnelles transférées depuis l’Union européenne par les autorités publiques aux États-Unis joue un rôle crucial dans les dispositions du cadre. Le cadre prévoit que les organisations américaines certifiées peuvent traiter de telles données, qui peuvent ensuite être consultées par les procureurs et enquêteurs fédéraux américains au même titre que les informations obtenues auprès de toute organisation basée aux États-Unis, quels que soient la nationalité ou le lieu de résidence du sujet des données.
De plus, les données transférées depuis l’UE vers les organisations dans le cadre du DPF UE-États-Unis peuvent être collectées par les agences américaines pour des raisons liées à la sécurité nationale, qui opèrent sous des dispositions juridiques distinctes, avec certaines conditions et garanties en place. Une fois que les données personnelles ont été reçues par des organisations situées aux États-Unis, les agences de renseignement peuvent accéder aux données pour des raisons de sécurité, à condition qu’elles soient autorisées par la loi, notamment en vertu de lois telles que la Foreign Intelligence Surveillance Act (FISA) ou d’autres dispositions qui autorisent l’accès via des lettres de sécurité nationale (NSL). De plus, les agences de renseignement américaines se réservent le droit de collecter des données personnelles hors de leur juridiction, y compris des données en transit entre l’UE et les États-Unis. Cette collecte est principalement basée sur le décret exécutif 12333 (EO 12333).
Kiteworks Simplifie la Conformité au Cadre de Protection des Données UE-États-Unis
Les lois sur la protection des données exigent un contrôle strict sur le mouvement et le traitement des données personnelles. En conséquence, les organisations doivent démontrer qu’elles respectent scrupuleusement ce cadre ou risquent la non-conformité, qui peut se traduire par des pénalités financières, des litiges, une perte de clients, et une érosion de la marque. Le réseau de contenu privé (PCN) Kiteworks répond à ces défis en matière de confidentialité des données et, par conséquent, réduit les risques de non-conformité. Kiteworks fournit aux organisations les outils nécessaires pour unifier, protéger, contrôler, et suivre les informations personnelles identifiables et autres contenus sensibles qu’elles partagent avec des tiers de confiance. Avec Kiteworks, les organisations peuvent voir où sont stockées les informations personnelles identifiables, qui y a accès, et ce que l’on en fait. Cela permet aux organisations de signaler, de récupérer, de renvoyer, ou de supprimer des informations personnelles identifiables, garantissant ainsi le respect du cadre de protection des données UE-États-Unis.
Kiteworks propose des déploiements sur site et dans le cloud privé qui respectent les exigences en matière de souveraineté des données. Le chiffrement de bout en bout pour chaque canal de communication (y compris l’email, les formulaires web, le partage sécurisé de fichiers, les interfaces de programmation d’applications [APIs], et le transfert sécurisé de fichiers [MFT]) garantit que les données sensibles restent sécurisées pendant la transmission et au repos. Les contrôles d’accès granulaires permettent aux organisations de gérer précisément qui peut accéder à des données spécifiques. Les journaux d’audit détaillés et les capacités de surveillance en temps réel permettent aux organisations de démontrer leur conformité avec le cadre de protection des données UE-États-Unis et de nombreuses autres règles de confidentialité et normes, notamment le Règlement Général sur la Protection des Données (RGPD), le programme d’évaluation des risques en sécurité de l’information (IRAP), la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), Cyber Essentials Plus, les normes de l’Organisation internationale de normalisation 27000 (ISO 27001), et bien d’autres.
Pour plus d’informations sur la façon dont le réseau de contenu privé Kiteworks peut aider votre organisation à se conformer au cadre de protection des données UE-États-Unis, planifiez une démonstration personnalisée dès aujourd’hui.