Publié le 26 / 10 / 2018

Certain ne nos clients nous ont posé la question de l’impact du RGPD dans le cas d’une entreprise américaine ayant des activités dans l’Union Européenne. Un exemple : son siège social est basé aux Etats-Unis avec, ou non, des établissements sur le territoire de l’Union européenne.

Beaucoup d’entre vous sont dans ce cas.

Il est donc pertinent de faire un point.

La première question que vous devez vous poser en matière de conformité au RGPD est la suivante : L’entreprise traite-t-elle de données de personnes physiques établies sur le territoire de l’Union européenne ?

Si la réponse est non, alors tout va bien, passez votre chemin.

Si la réponse est oui, sachez que les Etats-Unis sont, selon l’Union européenne, en adéquation partielle avec le RGPD : l’adéquation concerne les transferts de données vers des entreprises américaines ayant adhéré au Privacy Shield. Ces transferts ne nécessitent pas d’encadrement spécifique. 

Cependant, cette certification coûte chère aux entreprises américaines et grand nombre d’entre elles en fait l’impasse.

Par conséquent, il y a de grandes chances pour que l’entreprise ne soit pas certifiée et doive ainsi se mettre en conformité avec le RGPD.

Alors, comment procéder ? 

PAR PRINCIPE, il faut encadrer juridiquement ces transferts de données.

Afin d’encadrer ces transferts, vous pouvez avoir recours à des règles d’entreprise contraignantes (ou BCR pour Binding Corporate Rules) ou encore des clauses contractuelles types (CCT) approuvées par la Commission européenne, devant être mises à jour prochainement.

Il existe deux types de BCR :

- Les BCR « responsable de traitement » permettent d’encadrer les transferts effectués au sein d’un groupe agissant en qualité de responsable de traitement.

- Les BCR « sous-traitant » permettent de créer une sphère de sécurité pour les transferts effectués lorsque le groupe agit en qualité de sous-traitant.

Un groupe peut opter pour l’un ou l’autre de ces types de BCR, selon les activités qu’il souhaite encadrer. Il est également possible d’adopter conjointement ces deux types de BCR. Dans ce cas, il est recommandé aux groupes de mettre en place deux documents distincts.

Quant aux CCT, il faut également distinguer 2 cas de transferts :

- Ceux entre deux responsables de traitement (CCT de 2001 ou 2004 selon le partage de responsabilité convenu entre les parties)

- Ceux entre un responsable de traitement et un sous-traitant (CCT de 2010).

PAR EXCEPTION

Lorsqu’un Etat tiers n’est pas reconnu comme offrant un niveau de protection adéquat, et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré. Ces dérogations (motif d’intérêt public, sauvegarde des intérêts vitaux de la personne concernée, exercice des droits de la défense…) ne peuvent être utilisées que dans des situations particulières : les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties. L’article 49 du RGPD fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle.

Un doute, une question ?

N’hésitez pas à entrer en contact avec nos équipes.