Pourquoi il est temps de profiter des avantages du pont de données entre le Royaume-Uni et les États-Unis

Fin septembre, le gouvernement britannique a annoncé un nouvel accord d'adéquation avec les États-Unis, conçu pour permettre des flux de données transfrontaliers plus fluides. En théorie, cela garantira que les données personnelles des citoyens britanniques stockées par des entreprises américaines conserveront toujours le même niveau de protection RGPD que si elles résidaient au Royaume-Uni ou dans les pays de l'UE. Peut-être plus important encore pour les entreprises, ce soi-disant « pont de données entre le Royaume-Uni et les États-Unis » devrait les aider à réduire leur fardeau de conformité et de réglementation.

Qu'est-ce que le pont de données ?

Le pont de données entre le Royaume-Uni et les États-Unis est en fait une extension du nouveau Cadre de confidentialité des données UE-États-Unis (DPF), qui est lui-même le successeur du bouclier de protection des données UE-États-Unis que les tribunaux européens ont annulé après l'arrêt Schrems II en juillet 2020. Il vise à offrir une sécurité juridique aux organisations souhaitant transférer des données personnelles couvertes par le GDPR et du RGPD du Royaume-Uni vers les États-Unis d'une manière entièrement conforme aux lois de l'UE et du Royaume-Uni sur la protection des données.

Il remplacera des méthodes plus lourdes de transfert de données du Royaume-Uni vers les États-Unis, telles que via la version britannique des clauses contractuelles types, l'accord international de transfert de données ou d'autres « garanties appropriées » décrites dans le RGPD britannique.

Comment ça marche?

Le nouveau pont de données entre le Royaume-Uni et les États-Unis fonctionnera de manière presque identique au DPF UE-États-Unis. En fait, les organisations américaines doivent déjà participer au DPF pour pouvoir utiliser le pont de données. Il sera disponible à partir du 12 octobre 2023 et des centaines d’entreprises américaines ont déjà déclaré leur intention d’y participer.

Les organisations américaines certifiées sous le DPF peuvent simplement étendre leur certification pour couvrir les transferts de données depuis le Royaume-Uni en sélectionnant l'option appropriée via leur compte DPF en ligne.

Quelques exceptions

L'organisme de réglementation britannique de la protection de la vie privée, le Bureau du commissaire à l'information (ICO) a émis un avis sur le pont de données, qui avertit que certaines catégories de données ne sont pas traitées comme sensibles dans le cadre du DPF. Par conséquent, les éléments suivants doivent être soulignés auprès des organisations américaines participant au pont et doivent être traitées comme sensibles :

• Données sur les infractions pénales
• Données génétiques
• Données biométriques utilisées pour identifier de manière unique une personne
• Données sur l'orientation sexuelle

What Happens Next?

Selon Osborne Clark, les entreprises souhaitant transférer des données personnelles du Royaume-Uni vers les États-Unis doivent :

1. Comprendre dans quelle mesure les accords existants avec les entreprises américaines pourraient bénéficier du nouveau pont de données. Cela nécessitera de vérifier si ces entreprises américaines participent ou ont l’intention de participer à l’accord et de s’assurer que les données qu’elles transfèrent sont couvertes.
2. Vérifiez et mettez à jour les avis de confidentialité, les enregistrements de traitement et les contrats.
3. Continuez à utiliser l'International Accord de transfert de données ou règles d'entreprise contraignantes lorsque le Royaume-Uni et les États-Unis le pont de données n'est pas possible.

Peter Church, conseiller TMT chez Linklaters, affirme que le pont de données incitera davantage les entreprises britanniques à traiter avec les prestataires de services américains qui se sont inscrits.

« Cela permet aux entreprises britanniques de se conformer automatiquement aux règles relatives aux transferts internationaux de données sans avoir besoin d'étapes supplémentaires, telles que la réalisation d'une évaluation des risques. Cela implique également un effort supplémentaire minime de la part de l'entreprise britannique, car la majorité de la charge de conformité incombe à l'entité américaine », a-t-il déclaré à ISMS.online.

« Cela dit, il y a quelques bizarreries auxquelles les entreprises britanniques doivent prêter attention, telles que la nécessité d'identifier spécifiquement les informations génétiques, biométriques, d'orientation sexuelle et criminelles comme étant sensibles et de vérifier si l'entité américaine a pris des engagements spécifiques en matière de ressources humaines avant de les transférer. Données RH.

Qu’est-ce que cela signifie pour les entreprises ?

D'autres experts saluent également le nouvel accord sur le transfert de données. Ieuan Jolly, associé et président du cabinet américain TMT & Data Solutions Practice de Linklaters, affirme que cela contribuera à « débloquer des opportunités économiques » et à construire des liens transatlantiques plus solides en aidant à aligner les normes de protection des données. C'est une bonne nouvelle pour l'économie britannique on dit qu'il vaut la peine plus de 150 milliards de livres sterling par an et employant 1.7 million de personnes.

« L’accord offre le niveau de sécurité juridique auquel les entreprises aspirent. Doté de lignes directrices et de garanties claires pour le transfert transfrontalier de données personnelles, il permettra aux entreprises de planifier et d’opérer en toute confiance. Cette nouvelle certitude est particulièrement vitale pour les secteurs qui dépendent de stratégies basées sur les données, comme la technologie, le commerce électronique et les services financiers », affirme-t-il.

« Les implications de cet accord pour les entreprises sont multiples. Premièrement, il simplifie les efforts de conformité en offrant un cadre standardisé pour les transferts de données, réduisant ainsi le fardeau réglementaire pesant sur les sociétés multinationales. Deuxièmement, cela encourage la poursuite des investissements et de l’expansion entre le Royaume-Uni et les États-Unis, car les entreprises peuvent désormais naviguer entre le Royaume-Uni et les États-Unis. confidentialité des données les problèmes de manière plus transparente.

Défis juridiques à venir

On ne sait toujours pas si Schrems et son équipe juridique réussiront à contester le DPF original. Mais le fait que le pont de données ne soit qu'une extension du DPF laisse penser qu'il ne sera valable que tant que ce dernier le sera.

«Si le cadre de protection des données entre l'UE et les États-Unis était (à nouveau) invalidé par la CJUE, les entreprises américaines pourraient tout simplement abandonner le système et le gouvernement britannique pourrait devoir mettre fin à l'extension britannique afin de préserver le statut d'adéquation du Royaume-Uni en ce qui concerne le système. l’UE », affirme Church.

C'est pourquoi certains voudront peut-être encore couvrir leurs paris, selon Osborne Clark : « Certaines entreprises transférant des données personnelles depuis le Royaume-Uni peuvent toujours rechercher une approche restrictive, en s'appuyant à la fois sur le pont de données entre le Royaume-Uni et les États-Unis, ainsi que sur une alternative. mécanisme de transfert (tel que l’addendum à l’accord international de transfert de données), en particulier compte tenu de l’incertitude quant à savoir si le cadre de confidentialité des données entre l’UE et les États-Unis (et son extension au Royaume-Uni) résistera au défi », ça argumente.