Skip to main content
News

Comprendre le nouveau « EU-US Data Protection Framework »

Comprendre le nouveau « EU-US Data Protection Framework »

News

EU-US Adequacy Decision: Ce que vous devez savoir

17 Juillet 2023

Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE), sous l’impulsion de Maximilien Schrems, a mis à nu un certain nombre de lacunes substantielles dans l’accord Safe Harbor de 2000, ce qui a finalement conduit à son invalidation. Son successeur, le Privacy Shield, a été introduit en février 2016 et, en juillet 2016, il était pleinement opérationnel. Toutefois, son règne a été de courte durée. Un certain nombre d’organisations françaises, dont La Quadrature du Net, ont contesté l’accord devant le Tribunal de l’Union européenne le 25 octobre 2016. Leurs inquiétudes se sont avérées fondées lorsqu’en juillet 2020, la CJUE a annulé la décision d’adéquation du Privacy Shield. Cette décision permettait auparavant aux données de circuler librement entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans formalités supplémentaires.

Les caractéristiques de ce nouveau « EU-US Data Protection Framework »

Le nouveau « EU-US Data Protection Framework » diffère des accords précédents. Les entreprises américaines doivent s’engager à respecter des obligations détaillées en matière de protection de la vie privée et s’autocertifier via le site web du ministère américain du commerce, à partir du 17 juillet 2023. Ce processus est un élément fondamental du nouveau cadre.

« EU-US Data Protection Framework »: Un changement de paradigme pour les sciences de la vie

Pour le secteur des sciences de la vie, le « EU-US Data Protection Framework » apporte des changements significatifs. Contrairement aux accords précédents, les données de recherche pseudonymisées peuvent désormais être transférées de l’UE vers les États-Unis, une première dans l’histoire du transfert international de données.

L’impact sur le Life Sciences

The EU-U.S. Data Protection Framework introduit des changements significatifs pour les sciences de la vie, comme indiqué ci-dessous:

  • Anonymiser les données si nécessaire. Les lois de l’UE s’appliquent avant le transfert, les principes du DPF après le transfert.
  • Les données personnelles issues d’une étude peuvent être réutilisées moyennant une notification initiale et un consentement appropriés. Une utilisation ultérieure non conforme aux objectifs initiaux de la recherche nécessite un nouveau consentement.
  • Le retrait d’un participant n’annule pas toujours le traitement des données collectées précédemment.
  • Les données des essais cliniques de l’UE peuvent être communiquées aux autorités de réglementations américaines à des fins de réglementation et de supervision.
  • Les participants à une étude à l’aveugle renoncent à l’accès aux données pendant l’essai et peuvent demander à y avoir accès après l’essai.
  • Les organisations ne sont pas tenues d’appliquer certains principes du DPF dans le cadre de la surveillance de la sécurité et de l’efficacité de leurs produits si le respect de ces principes interfère avec la conformité réglementaire.
  • Les transferts vers les États-Unis de données à caractère personnel de l’UE « codées par clé » sont couverts par les principes du DPF.

Comprendre les pour et les contre

Le nouvel accord s’accompagne d’un mélange d’avantages et d’inconvénients. Parmi les avantages, citons la libre circulation des données et l’élimination de la nécessité de mesures de protection supplémentaires ou d’évaluations de l’impact du transfert (EIT). Toutefois, les entreprises doivent relever le défi de la certification, supporter les coûts qui y sont associés et faire face aux risques commerciaux potentiels liés à une éventuelle non-conformité. En outre, la stabilité future de cette décision reste indéterminé, ce qui laisse la porte ouverte à un éventuel revirement.

Comment ce cadre redessine-t-il votre avenir ?

Alors que le paysage change, il est vital de s’adapter au nouvel environnement. Jusqu’à ce que vos fournisseurs soient certifiés, continuez à utiliser les clauses contractuelles types et les accords de transfert de technologie. Envisagez d’entreprendre le processus d’autocertification, mais donnez toujours la priorité à la protection des personnes concernées. Cette décision place la protection des données au premier plan des opérations commerciales internationales.

Conclusion

Bien qu’aucune organisation ne soit encore certifiée, les recommandations existantes concernant la mise en œuvre des CCN et la réalisation des EIT restent en vigueur. Lorsque le système de certification commencera à fonctionner, il sera utile de vérifier si vos fournisseurs sont certifiés et d’envisager de l’être vous-même, en pesant le pour et le contre. N’oubliez pas que la priorité doit toujours être la protection des personnes concernées.

C’est tout pour l’instant. Restez à l’écoute pour d’autres mises à jour sur cette évolution importante !

Manon Darms

CIPP/US, Data Protection Lawyer & Personal Development Lead

Anastassia Negrouk

DPO certified & Chief Operating Officer

Yve Wu

Data Protection Lawyer

We are supporting our clients in this certification process. If you are interested, feel free to reach out our team for support

Contact us