Au cours des dernières années, une attention considérable a été portée à la difficulté liée aux transferts transfrontaliers de données. La variabilité des normes internationales a entraîné une hausse des coûts de conformité pour les entreprises et les autres organisations exerçant leurs activités dans plusieurs pays. Dans ce qui a été qualifié par la secrétaire américaine au Commerce de [traduction] « moment historique » et de « début d’une nouvelle ère pour la coopération multilatérale », les États-Unis, le Canada, le Japon, la République de Corée, les Philippines, Singapour et Taïwan ont annoncé la création d’un Forum mondial sur les règles relatives aux transferts transfrontaliers de données (Global Cross-Border Privacy Rules Forum; le « Forum »). L’annonce s’inscrit dans le contexte de changements rapides dans le paysage international de la confidentialité des renseignements personnels. Depuis l’élaboration du Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, de nombreux mécanismes ont vu le jour. Cette mosaïque de mécanismes crée des difficultés tant pour les particuliers que pour les entreprises.
Le Forum vise notamment à fixer de nouvelles normes en matière de protection des renseignements personnels et de nouveaux mécanismes de certification reconnus internationalement. Ces normes et ces mécanismes reposeront sur les règles qui encadrent les transferts transfrontaliers de données et sur les mécanismes de reconnaissance en matière de vie privée pour les sous-traitants, des normes de protection des renseignements personnels élaborées par la Coopération économique Asie-Pacifique (l’« APEC »). L’objectif est d’accorder une certification aux entreprises qui respectent des normes élevées en matière de protection des renseignements personnels et adoptent des mesures de protection strictes lorsqu’elles transfèrent des données à l’échelle mondiale. Le Forum a été établi afin de faciliter le commerce et la circulation transfrontalière des données d’une manière qui reflète des valeurs communes en matière de protection des données et tient compte des différentes approches réglementaires à cet égard. Il prévoit également des examens périodiques des normes de protection des données et de la vie privée des membres afin de s’assurer qu’elles sont conformes aux pratiques exemplaires, ainsi que l’expansion et l’adoption des mécanismes de contrôle à l’échelle mondiale.
Les organisations et les intervenants du secteur de la protection des renseignements personnels surveilleront de près ces développements et porteront une attention particulière aux États qui se joindront au Forum. Les sociétés qui doivent traiter, transférer ou partager des données avec des partenaires, des fournisseurs ou des clients mondiaux dans l’un ou l’autre des pays participants devraient s’intéresser à ces annonces et à ces avantages potentiels de la certification.
Ces développements arrivent à point nommé, alors que les États-Unis et l’Union européenne ont entamé des négociations en vue d’établir un cadre transatlantique de protection des données personnelles. En mars 2022, la Commission européenne et les États-Unis ont annoncé qu’un accord politique de principe avait été conclu à cet égard. Les États-Unis se sont engagés à établir des mesures sans précédent et de nouvelles garanties pour protéger la protection des renseignements personnels des individus dans l’Espace économique européen (l’« EEE ») pour les données transférées aux États-Unis. Bien que ce cadre soit attendu avec impatience, il ne constitue pas encore un fondement en vertu duquel les exportateurs de données de l’EEE peuvent transférer des données vers les États-Unis. Les exportateurs de données doivent continuer à tenir compte de la jurisprudence de la Cour de justice de l’Union européenne, particulièrement de sa décision rendue le 16 juillet 2020 dite Schrems II, qui a invalidé le cadre du bouclier de protection des données Union européenne–États-Unis (EU-U.S. Privacy Shield) et a ainsi entraîné le besoin pour ce nouveau cadre.
Ces annonces récentes permettent de croire que des progrès importants dans l’harmonisation des normes internationales en matière de protection des renseignements personnels et de circulation transfrontalière des données sont possibles. Il ne fait pas de doute que ces progrès seront très bien accueillis par les nombreuses entités qui ont déploré les inefficiences découlant de l’incertitude et du coût de la conformité dans l’économie numérique moderne.
L’annonce officielle et la déclaration des membres fondateurs du Forum peuvent être consultées ici :
https://www.commerce.gov/global-cross-border-privacy-rules-declaration; disponible uniquement en anglais
Voici une fiche d’information sur le cadre transatlantique de protection des données personnelles :
FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework | The White House (disponible uniquement en anglais).
