La vérité sur la conformité et la confidentialité des données entre l’UE et les États-Unis

C'est quoi l’ADPPA ?

La Loi sur la vie privée et la protection des données américaines est la dernière tentative de projet de loi bipartite concernant la confidentialité des données aux États-Unis.

Cela fait quatre ans que le Règlement Général sur la Protection des Données (RGPD) a été imposé dans l’Union européenne. Bien entendu, quiconque traite des données permettant d’identifier un ou une ressortissante de l’UE doit également suivre cette réglementation. Ainsi, la conformité au RGPD est une question mondiale.

C’est une autre histoire de l’autre côté de l’Atlantique, aux États-Unis. Il n’existe actuellement aucune loi nationale protégeant la confidentialité des données des citoyens américains. Au lieu de cela, certains États ont rédigé leur propre législation. On pense par exemple au California Consumer Privacy Act (CCPA), qui protège Californiennes et Californiens d’une manière similaire au RGPD.

Comme vous pouvez l’imaginer, avoir plusieurs règles différentes rend la compréhension et l'application de la confidentialité des données complexe et déroutante. Une loi fédérale aux États-Unis pourrait simplifier les choses pour les entreprises qui recueillent, stockent et traitent les données des consommateurs.

La grande promesse de l'ADPPA est qu’elle définirait clairement les droits individuels en matière de protection des renseignements personnels, ainsi que les exigences auprès des organisations du monde entier qui traitent les renseignements personnels des citoyens américains.

D’un point de vue international, cependant, ce n’est pas simple du tout. Pensez à certains des problèmes rencontrés par les États-Unis et l’Union Européenne à propos de la protection des données personnelles lorsqu’elles sont transférées de part et d'autre de l’Atlantique. La débâcle autour du Bouclier de protection des données UE-États-Unis (Privacy Shield) en est l’exemple parfait. Alors, est-ce qu’un nouveau cadre légal va régler cela ?

Qu’est-ce que le Cadre transatlantique de protection des données personnelles ?

Le Cadre transatlantique de protection des données personnelles est un nouvel accord juridique entre l’UE et les États-Unis visant à remplacer Privacy Shield. Un remplacement est nécessaire, car la Cour de justice de l’Union européenne (la CJUE) a invalidé le Bouclier de protection des données en 2020. Par conséquent, les entreprises n’ont aujourd’hui aucun cadre légal spécifique conforme au RGPD pour les transferts de données entre UE et États-Unis.

La première version de Privacy Shield a été rejetée le 16 juillet 2020

Privacy Shield devait être une solution conforme au RGPD pour le partage des données entre l’UE et les États-Unis, mais cela n’a pas fonctionné comme prévu.

Le plus grand problème de ce texte est qu’il ne met pas suffisamment de limites sur le moment, la façon et la raison pour lesquels les agences de renseignement américaines pourraient accéder aux données des résidents européens. Les lois fédérale américaines sur la sécurité permettent au gouvernement d’accéder librement à toutes les données qu’il souhaite consulter, et les promoteurs de la confidentialité des données de l’UE n’aiment pas du tout cela. Si une entreprise européenne a des données stockées dans des centres de données américains, la CIA, le FBI ou même des forces de l’ordre locales pourraient en demander l’accès, et les motifs juridiques pour le refuser sont limités. Il en va de même pour toute entreprise américaine ayant des clients et des abonnés européens.

Un activiste en particulier est au cœur de ces débats. Après l’entrée en vigueur du RGPD, Max Schrems a déposé des plaintes contre de grandes entreprises technologiques comme Facebook, Google et Apple. Le procès (connu sous le nom de Schrems II) a finalement conduit à l’invalidation du Bouclier de protection des données UE-États-Unis.

Ainsi, le nouveau Cadre transatlantique de protection des données personnelles (parfois appelé Privacy Shield 2.0) propose quelques changements au mécanisme de transfert légal, qui sont destinés à le rendre plus conforme au RGPD. L’Union Européenne et les États-Unis ont annoncé leur engagement à mettre en place un accord actualisé en mars 2022. Voici ce que la Commission européenne a affirmé dans une déclaration officielle :

En d’autres termes, beaucoup d’argent circule des deux côtés de l’Atlantique (pas seulement des données), et les deux parties veulent continuer à faire des affaires l’une avec l’autre.

Que se passe-t-il maintenant ?

Voici le point sur la situation, en date de la publication de cet article :

• ADPPA a été adoptée par en commission, et va passer à un vote complet devant la Chambre des Représentants. Cela signifie que le Congrès a approuvé la possibilité d’en faire une loi. Mais elle doit encore être adoptée par la Chambre des Représentants et le Sénat, et être signée par le Président Biden.

• Le Cadre transatlantique de protection des données personnelles a été approuvé en principe et est traduit en documents juridiques, qui seront validés en tant qu’ordre exécutif du président Joe Biden.

• Le Bouclier de protection des données UE-États-Unis est toujours utilisé, mais il ne suffit pas pour assurer une conformité totale au RGPD.

Lorsque Privacy Shield a été invalidé, les entreprises avaient encore des ressources pour rester conformes au RGPD. L’UE a exigé des clauses contractuelles types ainsi que des mesures supplémentaires, là où cela était nécessaire. En gros, une clause contractuelle type est un accord juridique entre les responsables du traitement des données et les sous-traitants de chaque côté de l’Atlantique (ou n’importe où en dehors de l’UE), sur la façon dont ils traiteront les données à caractère personnel. Les mesures supplémentaires sont des démarches additionnelles effectuées pour protéger la confidentialité des citoyens européens, mises en place pour s’assurer que les entreprises respectent ces obligations.

On pourrait croire que si la Loi sur la vie privée et la protection des données américaines et le Cadre transatlantique de protection des données personnelles entrent en vigueur, toutes ces problèmes et la confusion qu'ils engendrent seront réglés. Mais ce n’est pas nécessairement le cas. Voici ce que nous croyons qui se produira...

Problèmes avec le Cadre transatlantique de protection des données personnelles

Bien que le TADPF puisse répondre à certaines préoccupations concernant l’accès aux données par les agences de renseignement américaines, il n’est pas parfait (rien ne l’est !)

Si on l’appelle « Privacy Shield 2.0 », c’est parce que le processus d'obtention d’une certification en vertu du nouveau cadre n’a pas beaucoup changé depuis la première version. Le plus gros problème réside probablement dans le fait que les deux cadres juridiques impliquent un processus d’autocertification.

Pour faire simple, toute entreprise basée aux États-Unis peut se rendre sur le site du Privacy Shield, remplir une demande, soumettre sa politique de confidentialité, et obtenir sa certification. Mais cette autocertification ne garantit aucunement la conformité au RGPD.

Par exemple, une poursuite de la Commission fédérale du commerce américaine allègue que, lors de son autocertification sur le site du Privacy Shield, Twitter a affirmé à tort être conforme à l’accord. Plus de 3 000 autocertifications actives figurent sur la liste de Privacy Shield, et il est difficile de croire qu’elles sont toutes légitimes.

Retenez qu’il ne faut pas compter sur le Cadre transatlantique de protection des données personnelles pour vous assurer que vous, ou tout fournisseur avec lequel vous travaillez, êtes conforme au RGPD. Jusqu’à ce qu’il devienne loi, le mécanisme du TADPF n’est rien de plus qu’une « poignée de main » entre l’Europe et les États-Unis.

Problèmes avec la Loi sur la vie privée et la protection des données américaines

La Loi sur la vie privée et la protection des données américaines contient certaines mesures que les défenseurs des droits civils et de la vie privée soutiennent. Cela inclut des règles antidiscrimination et des exigences plus strictes en matière de cybersécurité. Ne vous y trompez pas, avoir une loi relative à la protection de la vie privée complète aux États-Unis serait une bonne chose pour presque tout le monde, surtout si elle est conforme au RGPD.

Le problème, c’est qu’il y a encore de nombreuses incertitudes concernant ce projet de loi. Beaucoup de choses pourraient se passer entre maintenant et le jour où la loi sera adoptée (en supposant que ce soit le cas). Les lobbyistes des grandes entreprises technologiques pourraient vouloir apporter des modifications et les élections américaines de mi-mandat pourraient modifier l’équilibre la majorité au Congrès.

Un autre problème est qu'ADPPA empiète sur les lois relatives à la protection de la vie privée des États qui en ont déjà une. Certains dirigeants politiques n’aiment pas cela. Ils sont d’avis qu’un projet de loi fédéral devrait fournir une base de référence pour la confidentialité des données, que chaque État pourrait compléter avec ses propres règles.

Au plus tôt, la Loi sur la vie privée et la protection des données américaines pourrait être adoptée vers la fin de 2022. Mais le Congrès américain est connu pour la lenteur de ses procédures. Si le projet de loi est adopté, les organisations auront encore deux ans pour s'y conformer (comme ce fut le cas avec le RGPD en 2016). Cela signifie qu’une loi fédérale sur la protection des données personnelles ne pourrait entrer en vigueur au plus tôt qu’en 2025. Que ferez-vous en attendant ?

L’approche de Mailjet concernant les lois sur la confidentialité des données

Chez Sinch Mailjet, nous n’attendons pas que ces lois relatives à la protection de la vie privée et les accords juridiques internationaux nous disent comment protéger la confidentialité de vos données. Nous adoptons plutôt une approche proactive.

Mailjet est extrêmement soucieux de la confidentialité des données et de la conformité au RGPD. En fait, nous avons été la première entreprise au monde à recevoir une certification RGPD de la part d’AFNOR, quelques semaines à peine après que le RGPD est devenu loi. De plus, Mailjet a été le premier service d’emailing à obtenir la certification ISO 27001, qui indique que nous offrons le plus haut niveau de confidentialité et de sécurité des données. Nous l’avons obtenue six mois avant le RGPD.

Au lieu d’attendre que les lois relatives à la protection de la vie privée soient modifiées, nous préférons anticiper les changements et prendre des mesures pour assurer à nos clients que leurs données sont protégées.

Chez Mailjet et notre entreprise sœur, Sinch Mailgun, nous continuerons d’utiliser les clauses contractuelles types avec nos clients, et nous évaluerons et préviendrons régulièrement les risques pour la confidentialité et la sécurité des données. Nous pouvons prouver que nous respectons les réglementations et les bonnes pratiques parce que nous visons des certifications ISO et subissons des inspections de tiers qui incluent des contrôles en vertu du RGPD.

Mais nous avons un atout encore plus important pour les marketeurs européens et américains dans notre manche...

Mailjet est né en France et maintient une présence physique en Europe. Nous avons donc des centres de données situés notamment en Allemagne et en Belgique. Pour cette raison, il est plus facile de protéger les données des résidents européens, car elles n’ont jamais à traverser l’Atlantique.

En plus de cela, nous suivons le principe de minimisation des données, qui signifie que seuls des rôles limités sont autorisés à accéder aux données des clients, et ce, en fonction des besoins. En outre, nos produits garantissent la confidentialité de par leur nature et nous nous assurons de mettre en place des mesures organisationnelles et techniques supplémentaires dans nos systèmes informatiques.

Pour plus d’informations sur Mailjet et la confidentialité des données

• Consultez notre Accord sur le Traitement des Données Personnelles

• Consultez notre FAQ sur la sécurité et la confidentialité chez Mailjet

• Lisez un article expliquant la confidentialité et la sécurité des données chez Mailjet

• Explorez notre centre RGPD pour en savoir plus sur les réglementations en matière de confidentialité des données

À qui pouvez-vous faire confiance ?

Pour que votre entreprise soit conforme au RGPD, vous devez trouver des fournisseurs et des partenaires tiers qui comprennent et respectent les lois sur la protection des données personnelles. Cela inclut votre service d’emailing.

Chez Sinch Mailjet, nous sommes fiers d’être à la pointe de la confidentialité et de la sécurité des données. Cela signifie que nous en faisons toujours plus pour protéger les données à caractère personnel de nos clients ainsi que les données de chaque abonné sur leurs listes.

Si d’autres entreprises vous disent de ne pas vous en faire parce que la nouvelle version de Privacy Shield et la Loi sur la vie privée et la protection des données américaines vont tout simplifier, ne les croyez pas.

Lorsque Mailjet vous dit de ne pas vous en faire, c’est parce que nous avons une solide connaissance des lois sur la protection des données personnelles et de ce qui doit être fait pour rester en conformité avec des réglementations telles que le RGPD. En fin de compte, si vous êtes à la recherche d’un service d’emailing fiable, ne cherchez pas plus loin.