Dans l’Union Européenne, le RGPD prévaut, mais ailleurs ?
Les points à vérifier avec Garance Mathias, Avocat à la Cour.
La globalisation des échanges, l’utilisation des nouvelles technologies et plus exactement des données personnelles et leur transfert dans des pays hors de l’Espace Economique Européen, ne cessent de croître. Un certain niveau de protection des données personnelles est ainsi exigé pour encadrer cette expansion et garantir une protection des droits fondamentaux. Or les législations divergent significativement selon les pays.
Dans le Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai dernier, l’Union Européenne (UE) a ainsi prévu des règles pour encadrer les flux de données internationaux. Toute entreprise étrangère ou non, qui gère des données de citoyens, de résidents ou d’entreprises européennes, est soumise au RGPD. Mais comment faire en sorte de garantir de manière effective la protection des données envoyées dans les autres pays ?
Deux types de pays sont à distinguer
La circulation des données au-delà des frontières européennes est ainsi permise à certaines conditions. Deux types de pays sont distingués : ceux ayant un niveau de protection adéquat (article 45 du RGPD) et ceux ayant des garanties appropriées (article 46 du RGPD). Par ailleurs, des exceptions sont prévues dans des situations particulières telles que des motifs importants d’intérêt public (article 49 du RGPD).
Très peu de pays détiennent pour l’instant le statut de « protection adéquate » délivré par la Commission européenne, ne nécessitant pas d’encadrement par des outils de transferts. Les données peuvent ainsi être transférées de l’UE (ainsi que la Norvège, le Liechtenstein et l’Islande) dans un autre pays conforme, sans que des garanties supplémentaires relatives à la protection des données ou une autorisation ne soient nécessaires. La Nouvelle-Zélande, l’Argentine, la Suisse, Israël, l’Uruguay, Jersey, Guernesey, l’Andorre, l’île de Man et les Îles Féroé ou encore le Canada sont des pays étant considérés comme ayant un niveau de protection suffisant (ou “adéquat”).
Les États-Unis, une protection insuffisante
En revanche, les Etats-Unis ne font pas partie de la liste des pays étant considérés comme ayant un niveau de protection adéquat. En effet, un mécanisme juridique spécifique a été négocié en juillet 2016 entre la Commission européenne et les Etats-Unis : le “Bouclier de Protection des Données”, ou “Privacy Shield”. C’est un mécanisme d’auto-certification entre les Etats-Unis et l’UE, qui offre des garanties juridiques pour des transferts de données vers certaines entreprises établies aux Etats-Unis. Ces dernières s’engagent à respecter un cadre relatif à la protection de données à caractère personnel. Toutefois, seules les entreprises destinataires qui se sont préalablement inscrites sur le registre tenu par l’administration américaine, sont considérées comme ayant mis en œuvre une protection adéquate des données personnelles. A noter qu’à la suite de l’affaire Cambridge Analytica et de la promulgation par le Congrès américain du CLOUD Act, le Parlement européen a demandé à la Commission de « suspendre le bouclier de protection des données jusqu’à ce que les autorités américaines se conforment aux dispositions de l’accord », si ces dernières ne prenaient pas de mesures en ce sens d’ici le 1er septembre, dans une résolution adoptée le 5 juillet 2018. Rappelons que le Privacy Shield a lui-même été négocié, à la suite de l’invalidation par le CJUE de la décision de la Commission européenne instituant le mécanisme du “Safe Harbor”, et en l’absence de garanties effectives concernant les transferts de données à caractère personnel.
Le Royaume-Uni a adopté une nouvelle législation avant l’entrée en application du RGPD, le Data Protection Act 2018, afin d’adapter son droit national aux nouvelles exigences des institutions européennes et ce indépendamment du Brexit. Ainsi, nous pouvons supposer que ce pays sera considéré comme ayant un niveau de protection adéquat ou bien que les transferts de données personnelles avec un Etat membre de l’UE seront traités dans l’éventuel accord de sortie signé entre l’UE et le Royaume-Uni.
Le RGPD, un modèle pour d’autres pays ?
L’UE a signé le 17 juillet dernier un accord de libre-échange avec le Japon, intitulé le JEFTA (Japan-EU Free Trade Agreement). Celui-ci favoriserait l’échange numérique et permettrait ainsi de sécuriser les données des ressortissants de ces territoires. Pour ce faire, le Japon a décidé de mettre à jour sa législation, notamment en révisant sa définition du terme « données sensibles » et ainsi être en conformité avec le RGPD. Une instance de recours au sein de l’autorité japonaise de protection des données devra également être créée, pour la protection des ressortissants européens qui estimeraient que leurs droits n’ont pas été respectés par des entités établies au Japon. L’UE est actuellement en discussion avec la Corée du Sud pour un projet similaire.