Le nouveau cadre UE-États-Unis sur la confidentialité des données lève les formalités administratives en matière de confidentialité

Par John Leyden • 22 Août 2023

Les experts ont salué l'accord sur de nouvelles règles axées sur la confidentialité sur la manière dont les données personnelles peuvent être transférées entre les entreprises américaines et européennes.

Le cadre de confidentialité des données UE-États-Unis a été développé pour remplacer le bouclier de protection des données, qui a été invalidé par une décision de la Cour européenne de justice en 2020.

Le tribunal a agi suite à des inquiétudes concernant le manque de garanties adéquates dans le Privacy Shield (et dans un accord de sphère de sécurité antérieur), ce qui signifiait que les données personnelles quittant les frontières de l'UE pourraient être soumises à une surveillance approfondie du gouvernement américain.

Autorisé à transmettre

Le cadre UE-États-Unis sur la confidentialité des données, proposé par le gouvernement américain l’année dernière, a été approuvé par la Commission européenne en juillet 2023 après avoir décidé que les États-Unis « assurent un niveau de protection adéquat – comparable à celui de l’Union européenne – pour les données personnelles. transférés de l’UE aux entreprises américaines dans le cadre du nouveau cadre ».

Cette « décision d'adéquation » signifie que les données personnelles peuvent « circuler en toute sécurité de l'UE vers les entreprises américaines participant au cadre » sans qu'il soit nécessaire de recourir aux garanties supplémentaires en matière de protection des données requises par les mesures provisoires préalables à l'accord.

Engagements

Le site Web du programme DPF fournit des informations sur la manière dont les entreprises peuvent mettre à jour leurs politiques et procédures de confidentialité et mettre en œuvre des mesures de protection avant de s'auto-certifier comme étant conformes et de rejoindre le programme DPF. Les organisations européennes peuvent utiliser le même site Web pour vérifier les engagements du programme DPF d'un partenaire.

Le cadre accorde aux individus de l'UE dont les données sont transférées aux entreprises participantes aux États-Unis plusieurs nouveaux droits, tels que le droit d'accéder, de corriger et de supprimer leurs données personnelles.

L’accord sur le flux transatlantique de données promet de supprimer les obstacles et incertitudes bureaucratiques existants.

Réduire les incertitudes

Becky White, avocate en matière de protection des données et de la vie privée au sein du cabinet d'avocats britannique Harper James, a déclaré que le cadre promettait de simplifier les relations commerciales entre les entreprises européennes et américaines, tout en avertissant que certains obstacles potentiels à sa mise en œuvre restent encore à surmonter.

« Bien que le pont de données proposé soit une bonne nouvelle pour les organisations aux États-Unis et au Royaume-Uni, en particulier à la lumière des incertitudes persistantes concernant les transferts de données internationaux, il devrait signifier que le processus de passation de contrats avec des fournisseurs ou des clients aux États-Unis devient beaucoup plus simple et Cela prend moins de temps pour les entreprises britanniques, mais le Royaume-Uni doit surmonter des obstacles critiques avant sa mise en œuvre. Certains aspects du travail d'alignement politique et législatif des deux côtés de l'Atlantique restent incomplets, a averti White.

« Premièrement, cela dépendra de la désignation par les États-Unis du Royaume-Uni comme État éligible en vertu du décret 14086 du président Biden (qui établit des garanties de protection des données pour les agences américaines de renseignement électromagnétique) », a expliqué White.

« En outre, le projet de loi sur la protection des données et les informations numériques (DPDI 2) proposé par le gouvernement britannique est assez proche d'être adopté, et bien que le gouvernement continue d'affirmer que les changements prévus dans le régime britannique de protection des données ne mettront pas en péril l'adéquation de l'UE, aucune confirmation de cela a été fait par l’UE.

Renforcer la résilience en matière de cybersécurité

La mise en commun des renseignements et le partage des données sont essentiels à la mise en place de défenses robustes en matière de cybersécurité.

Jon France, RSSI de l'association de développement professionnel et de certification (ISC)² de l'industrie de la cybersécurité, a déclaré à ISMS.online que la levée des obstacles au partage de données transatlantique améliorera la coopération en matière de cybersécurité.

"La décision d'adéquation du cadre de confidentialité des données UE-États-Unis introduit des améliorations significatives pour les entreprises des deux côtés de l'Atlantique", selon la France. « Il est encourageant de constater que nous parvenons à un état où le flux de données transfrontalier est assuré et où les entreprises participant au cadre auront la liberté de transférer des données en toute sécurité. »

La France a poursuivi : « Dans le monde de la sécurité, l’accès aux données est essentiel pour la détection et la remédiation des attaques. La capacité de déplacer ces données entre les parties transatlantiques, tant dans les secteurs public que privé, améliorera les défenses sur les deux continents. »

La promesse d'une sécurité améliorée offerte par ce cadre ne se réalisera que si les organisations mettent de l'ordre dans leurs propres affaires, a prévenu la France.

« Le respect de la vie privée repose sur et nécessite une cybersécurité efficace ; les deux vont de pair », selon la France. « Les organisations ont la responsabilité de maintenir un niveau adéquat de protection des données personnelles, y compris des obligations strictes en matière de partage avec des tiers, et doivent se conformer aux principes de confidentialité, tels que les limitations de conservation des données. »
La France a conclu : « Fondamentalement, les entreprises devraient adopter des pratiques de cybersécurité robustes pour protéger les données et instaurer la confiance numérique. »

Harmonisation des politiques

Sam Peters, ISMS.online Le CPO a salué cet accord comme une aide utile pour naviguer dans les subtilités des règles de protection des données.
"Le récent accord UE-États-Unis sur l'adéquation des données marque une étape importante dans le paysage international de la confidentialité des données", a expliqué Peters. « Il décrit un cadre essentiel qui vise non seulement à protéger les données personnelles transférées de l’autre côté de l’Atlantique, mais également à améliorer la conformité, la transparence et la responsabilité des entreprises américaines. »

Peters a poursuivi : « L'accord n'est pas simplement un obstacle bureaucratique supplémentaire, mais un outil essentiel pour naviguer dans les subtilités de la protection des données dans notre monde numérique de plus en plus interconnecté. Cet accord présente un cadre solide pour harmoniser les politiques de transfert de données outre-Atlantique, imposant des obligations strictes en matière de confidentialité aux entreprises américaines participantes.

Les principes

L'accord offre un cadre pour appliquer les meilleures pratiques en matière de protection de la vie privée.

"Au cœur de cet accord se trouve le cadre de confidentialité des données entre l'UE et les États-Unis", selon Peters. « Ce système permet aux entreprises américaines de valider leur engagement envers un ensemble complet d'obligations en matière de confidentialité. Il prône la limitation des finalités, la minimisation et la conservation des données et définit les obligations spécifiques concernant la sécurité des données et le partage avec des tiers.

Peters a ajouté : « De telles mesures illustrent l'intention de l'accord de renforcer la protection des données. Ces engagements ne sont pas de simples principes sur papier ; ils influencent directement les stratégies opérationnelles des entreprises.

Le Département américain du Commerce se chargera de l'administration du cadre, en supervisant le processus de demande de certification et en surveillant la conformité continue des entreprises participantes. La Commission fédérale du commerce des États-Unis veille au respect des règles, ce qui indique un « engagement fort envers les objectifs de protection des données de l'accord », selon Peters d'ISMS.online.

Pont de données

Les règles britanniques en matière de traitement des données doivent s'aligner sur les réglementations de l'UE pour éviter de perturber un équilibre délicat.

Harper James' White a averti : « Si la promulgation du DPDI 2 annule la décision britannique d'adéquation à l'UE, cela pourrait, à son tour, avoir un impact sur la mise en œuvre du pont de données entre le Royaume-Uni et les États-Unis, qui est largement considéré comme une extension du pont de données entre l'UE et les États-Unis. cadre de protection de la vie privée en cours d'évaluation et alignement de la position au Royaume-Uni GDPR avec le RGPD de l'UE pour les transferts de données du Royaume-Uni vers des organisations américaines certifiées pour le système.

Se préparer

La décision d'adéquation a pris effet dès son adoption le 10 juillet. Il n’y a pas de calendrier explicite pour la conformité. Cependant, la Commission européenne devrait examiner périodiquement l'efficacité du cadre juridique américain, initialement un an après l'introduction du cadre.

Peters d'ISMS.online a averti : « Il est essentiel de noter que les décisions d'adéquation peuvent être adaptées ou retirées si les développements ont un impact sur le niveau de protection du pays tiers. »

Les entreprises ne devraient pas perdre de temps à revoir leurs politiques et procédures pour respecter les dispositions du cadre, a conseillé Peters.

"Pour se préparer à ce paysage transformateur de la confidentialité des données, les entreprises doivent commencer par revoir en profondeur leurs pratiques actuelles de traitement des données", a expliqué Peters d'ISMS.online. « Assurer l'alignement avec les principes du cadre sera crucial pour valider la conformité et éviter d'éventuelles sanctions réglementaires. »

Peters a conclu : « L’accord d’adéquation des données entre l’UE et les États-Unis ajoute indéniablement une nouvelle dimension à l’arène mondiale de la confidentialité des données. À court terme, les entreprises pourraient y voir un fardeau réglementaire supplémentaire. Cependant, la confidentialité et la sécurité des données sont de plus en plus importantes pour les consommateurs et les entreprises. À cet égard, l’accord catalyse un changement positif, en imposant une norme mondiale en matière de protection des données.

John Leyden

John Leyden écrit sur les réseaux informatiques et la cybersécurité depuis plus de 20 ans. Avant l'avènement d'Internet, il travaillait comme journaliste policier dans un journal local de Manchester. John est titulaire d'un diplôme en ingénierie électronique de la City, Université de Londres.

Lire la suite de John Leyden

Confidentialité des données 22 Août 2024

les entreprises sont invitées à suivre la réglementation sur l'IA « à évolution rapide »

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

L'intelligence artificielle (IA) transforme le secteur des technologies de l'information à une vitesse vertigineuse. Elle a transformé des applications, notamment la gestion des données…

John Leyden

La cyber-sécurité 20 Juin 2024

pourquoi les fournisseurs peuvent avoir du mal à maintenir la bannière « sécurisé dès la conception »

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont adhéré à l'engagement « Secure by Design » soutenu par le gouvernement américain. Mais cet engagement marquera-t-il une rupture avec le passé ?

John Leyden

La cyber-sécurité 28 mai 2024

décoder les nouvelles directives du ncsc pour la bannière scada hébergée dans le cloud

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Les systèmes de technologie opérationnelle (OT) surveillent et contrôlent automatiquement les processus et les équipements qui exécutent tout, des centrales électriques aux hôpitaux intelligents...

John Leyden

Le nouveau cadre UE-États-Unis sur la confidentialité des données lève les formalités administratives en matière de confidentialité

Autorisé à transmettre

Engagements

Réduire les incertitudes

Renforcer la résilience en matière de cybersécurité

Harmonisation des politiques

Les principes

Pont de données

Se préparer

John Leyden

Articles connexes

Journée mondiale du changement de mot de passe : un appel à l'action

Plus que des cases à cocher : pourquoi les normes sont désormais un impératif commercial

L'examen de la sphère de sécurité signifie que les activités se poursuivent comme d'habitude – pour l'instant

Lire la suite de John Leyden

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud