Dans le monde globalisé dans lequel nous vivons, nombreuses sont les entreprises européennes qui utilisent directement ou indirectement des logiciels ou font appel à des services américains. A ces occasions, des données, parfois personnelles, sont transférées de l’UE vers les Etats-Unis.
Ces transferts doivent bénéficier d’un niveau de protection suffisant pour être considérés comme valides au sens du Règlement Général sur la Protection des Données (RGPD). Cependant, l’instabilité de la politique européenne en la matière fait varier ce niveau minimal de protection à garantir de la part des entreprises. Ces dernières sont alors contraintes d’apporter une vigilance toute particulière à ces transferts pour ne pas risquer de sanctions.
Les transferts de données personnelles UE-USA
Les transferts de données personnelles vers les US est encadré par les dispositions du RGPD.
Or, pour les entreprises, ce niveau de protection à garantir n’est pas le même en présence ou en l’absence d’accord entre l’Union Européenne et les Etats Unis.
En effet, les accords UE-USA (ou décisions d’adéquation) facilitent considérablement les transferts de données qu’ils couvrent.
Ils permettent aux entreprises de fonder la validité de certains transferts sans avoir à mettre en place des mesures de protection supplémentaires.
En l’absence d’accord, pour être valable, tout transfert de données personnelles de l’UE vers les Etats-Unis doit impérativement faire l’objet de mesures de protection supplémentaires pour être considéré comme valide selon le RGPD.
Les entreprises face à l’instabilité de la réglementation
Les transferts de données personnelles entre l’Union Européenne et les Etats-Unis souffrent d’une grande instabilité normative. Depuis une dizaine d’années, d’une période à l’autre les conditions de validité de ces transferts varient considérablement.
Depuis 2020, tout transfert de données personnelles de l’UE vers les Etats-Unis doit impérativement faire l’objet de mesures de protection supplémentaires pour être considéré comme valide selon le RGPD.
Aujourd’hui, un nouvel accord entre l’UE et les USA est en passe d’être signé et pourrait de nouveau faciliter ces transferts pour les entreprises.
Si nous allons probablement entrer dans une nouvelle période propice aux transferts de données entre ces deux continents, il est fort à parier que cela ne durera de nouveau qu’un temps.
On peut en effet s’attendre à une nouvelle décision d’invalidation par la Cour de Justice de l’UE (CJUE) de l’accord trouvé au vu de l’aspect difficilement conciliable des philosophies de protection des données personnelles des Etats-Unis et de l’Union Européenne.
L’incompatibilité de ces deux conceptions rend très peu probable la mise en place d’un accord pérenne.
Ainsi, tout comme le Safe Harbour a été annulé par la CJUE dans une décision dite Schrems en 2015, le Privacy Shield en 2020 dans une décision Schrems II, le potentiel nouvel accord le sera très certainement dans quelques années. Cela entrainera de nouveau une période compliquée pour les entreprises, qui devront de nouveau réviser leurs contrats et garantir un niveau de protection supérieur.
L’instabilité est d’autant plus délicate à supporter pour les entreprises que les règles évoluent du jour au lendemain. L’absence de période transitoire implique pour les entreprises de devoir être particulièrement réactives si elles veulent éviter d’être sanctionnées.
Une instabilité source de risques pour les entreprises
Les entreprises ne respectant pas les prescriptions du RGPD, notamment en matière de transfert de données personnelles, prennent des risques de diverses natures.
Il est important de noter que les institutions étatiques garantes de la protection des données personnelles telles que la CNIL sont aujourd’hui plus sévères qu’aux premiers temps du RGPD.
En effet, le nombre ainsi que le montant des amendes infligées en Europe pour sanctionner les entreprises et organismes ne respectant pas les dispositions du RGPD n’ont cessé de croitre depuis 2018.
Ainsi, un risque financier croissant pèse sur les entreprises. Ces dernières doivent prendre en compte ce risque lorsqu’elles font le choix des moyens à allouer pour être en conformité avec le RGPD.
Au vu de ce contexte d’instabilité des réglementations sur les données personnelles et des risques encourus, il est particulièrement conseillé de mettre en place des processus et outils favorisant souplesse et réactivité contractuelle, informatique et organisationnelle.
La digitalisation du Contract Management, une réponse à l’instabilité
La maîtrise des processus et du patrimoine contractuels est essentielle. Il s’agit, pour une entreprise, de l’une des clefs permettant de s’assurer de sa conformité au RGPD. Cela permet notamment de :
Pour atteindre de tels niveaux de maîtrise de son patrimoine contractuel, la digitalisation du Contract Management représente une véritable opportunité pour les entreprises.
Cette transformation doit cependant se faire de manière adaptée et réfléchie afin d’être une véritable réussite. Il convient pour cela de prendre en compte l’aspect technique, organisationnel, fonctionnel, culturel et juridique. Un plan d’attaque global donc et qu’il est néanmoins indispensable de lancer sans plus attendre pour rester conformes.
Johann Chazelle
Nohad Gebran
Thierry Mercier
Alexandre Wegener
Fabien Chaussin
Robert Cabezudo
Pierre Bondu
Camille Letard