La Chambre de commerce américaine a publié fin septembre un livre blanc sur les transferts de données personnelles entre l’UE et les Etats-Unis postérieurs à l’arrêt Schrems II invalidant le Privacy Shield.
Ce livre blanc a pour objectif de fournir aux entreprises européennes des informations sur la protection des données personnelles par le droit américain pour leur permettre de mener à bien l’analyse au cas par cas de la validité des transferts de données vers les Etats-Unis, telle que demandée par la Cour de justice dans son arrêt.
Ainsi, la Chambre de commerce américaine rappelle que :
- la plupart des entreprises américaines ne sont pas concernées par les demandes de communication de données en provenance des agences de renseignement gouvernementales qui n’ont aucun intérêt pour les données commerciales ordinaires comme les données relatives aux employés, aux clients, ou aux ventes ;
- Schrems II ne conclut pas que la protection de la vie privée par la loi américaine n’est pas conforme au RGPD mais que les informations connues par la Commission européenne en 2016 sur ce pan de la législation américaine n’étaient pas suffisantes pour valider le Privacy Shield.
En conséquence, la Chambre de commerce recommande aux entreprises européennes ayant recours aux clauses contractuelles types de prendre en compte toutes les informations disponibles à ce jour sur la législation américaine protégeant les données à caractère personnel. A ce titre, elle détaille les informations qu’elle juge pertinente sur le sujet concernant les deux lois américaines citées par la Cour de justice dans son arrêt : le Foreign Intelligence Surveillance Act « FISA » 702 et l’Executive Order 12333.
En conclusion, la Chambre de commerce précise qu’il existe de nombreuses autres lois qui permettent d’assurer un accès aux données proportionné, sous contrôle et garantissant des recours possibles en cas de violation des droits des personnes.
Ce livre blanc étant issu de la Chambre de commerce américaine, sa position est nécessairement orientée mais il permet néanmoins aux entreprises européennes traitant des données personnelles faisant l’objet de transferts vers les Etats-Unis d’avoir des débuts de réponse, dans l’attente d’une position définitive des autorités de contrôle et du CEPD.