Non, des données à caractère personnel ne peuvent être transférées vers le États-Unis, car le pays ne garantit pas un niveau de protection équivalent au RGPD1.

Pour transférer des données à caractère personnel vers un pays étranger comme les États-Unis, des garanties doivent être apportées pour justifier que les données et les personnes auront un niveau élevé de protection. Ces garanties peuvent être2 : une décision de la Commission de l’UE avec le pays, des mesures prises par le pays ou des règles prises par l’entreprise étrangère destinataire des données.

Une décision de l’Union européenne de 20163 autorisait le transfert des données vers les États-Unis, jugeant que le niveau de protection des données étaient adapté. Cette décision, appelée « Bouclier de Protection des Données » (ou Privacy Shield), a cependant été invalidée par la Cour de justice de l’Union européenne (CJUE) en juillet 20204, jugeant les pratiques de surveillance de masse des agences nationales du renseignement américaines incompatibles avec le RGPD :

« Dans le cadre du programme PRISM, les fournisseurs de services Internet [américains] sont tenus […] de fournir à la NSA toutes les communications envoyées et reçues par un "sélecteur", une partie d’entre elles étant également transmise au FBI et à la [CIA].

S’agissant du programme UPSTREAM, […] les entreprises de télécommunications [américaines] exploitant la "dorsale" de l’internet – c’est-à-dire le réseau de câbles, commutateurs et routeurs – sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin de recueillir des communications envoyées par ou reçues par ou concernant le ressortissant non américain visé par un « sélecteur ». Dans le cadre dudit programme, la NSA a […] accès tant aux métadonnées qu’au contenu des communications concernées. »

En l’absence de décision globale de la Commission de l’UE, des garanties devront être apportées individuellement par chaque entreprise américaine souhaitant traiter des données à caractère personnel d’européens. Ces garanties devront justifier d’un niveau de protection « substantiellement équivalent » au RGPD.

Les entreprises américaines étant contraintes par la réglementation de leur pays, notamment par les services de renseignement, il est cependant difficilement concevable qu’une entreprise domiciliée sur le sol américain puisse garantir une quelconque protection.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. Les garanties à apporter pour justifier un transfert de données personnelles vers un pays tiers sont détaillées dans l’article 46-2 du RGPD.
  3. L’Union européenne présente le « bouclier de protection des données UE-États-Unis » en 2016 (source : europa.eu).
  4. La Cour de justice de l’Union européenne (CJUE) invalide le « bouclier de protection des données UE-États-Unis » dans un arrêt du 16 juillet 2020 (source : CJUE, arrêt du 16 juillet 2020, Shrems II)