Les entreprises américaines peuvent mettre la main sur des données personnelles. Pensez à Google qui peut collecter des adresses IP par le biais de Google Analytics. Travaillez-vous avec un parti américain ? En utilisant le cadre de protection des données, vous pouvez déterminer si le transfert de données à caractère personnel vers les États-Unis est autorisé et quelles sont les considérations à prendre en compte. Nous vous proposons un aperçu des étapes à suivre pour prendre une décision éclairée….
Table of Contents
Qu’est-ce que le cadre de protection des données ?
Le cadre de protection des données comprend des accords sur le transfert sécurisé de données à caractère personnel vers les États-Unis. Le 10 juillet 2023, de nouveaux accords sont entrés en vigueur entre l’Union européenne et les États-Unis concernant le transfert de données personnelles de l’Espace économique européen (EEE) vers les États-Unis. Ces accords sont connus sous le nom de “cadre de protection des données”.
Exemples de données à caractère personnel
- Adresses IP
- Adresses électroniques
- Dates de naissance
Les organisations américaines peuvent adhérer au cadre de protection des données. Lorsque c’est le cas, le transfert de données à caractère personnel de l’EEE vers ces organisations est autorisé sans que la partie européenne ne doive prendre des mesures juridiques et techniques supplémentaires. Ces entreprises doivent se conformer à des exigences similaires à celles du GDPR, notamment en limitant l’accès des agences de renseignement américaines. Toutefois, les entreprises qui ne participent pas, comme celles des secteurs de la banque et de l’assurance, restent soumises à des conditions strictes.
Stape 1 : Vérifier si l’organisation participe au cadre de protection des données personnelles
La première étape consiste à vérifier si l’organisation américaine à laquelle vous souhaitez transférer des données personnelles participe au cadre de protection des données. Vous pouvez le faire en vous rendant sur le site web du cadre de protection des données et en saisissant le nom de l’entreprise avec laquelle vous allez travailler.
Stape 2 : Mesures de suivi
Ensuite, deux scénarios sont possibles :
Une organisation adhère au cadre de protection des données
Si l’organisation américaine à laquelle vous souhaitez transférer des données personnelles participe au cadre de protection des données et si le produit spécifique que vous souhaitez utiliser est également couvert par ce cadre, vous pouvez transférer les données personnelles. Vous n’avez pas besoin d’utiliser un autre instrument de transfert à cette fin, ni de prendre des mesures supplémentaires pour protéger les données.
L’organisation ne participe pas au cadre de protection des données
Si l’organisation américaine à laquelle vous souhaitez transférer des données personnelles ne participe pas au cadre de protection des données, vous pouvez prendre des mesures supplémentaires.
- Utiliser un outil de transfert : vous pouvez utiliser un outil de transfert pour les transferts vers un pays situé en dehors de l’EEE, tel qu’un contrat type ou des règles d’entreprise contraignantes (BCR).
- Prendre des mesures supplémentaires : Si nécessaire, vous pouvez prendre des mesures supplémentaires pour protéger les données à caractère personnel.
Quelles pourraient être ces mesures supplémentaires ? Pour déterminer les mesures supplémentaires appropriées, vous pouvez utiliser les“Recommandations pour des mesures complémentaires aux instruments de transfert” de l’EDPB. L’EDPB énumère plusieurs mesures de protection que vous pouvez envisager, telles qu’un cryptage approprié et la pseudonymisation. Vous devez examiner au cas par cas quelle mesure ou combinaison de mesures est nécessaire pour protéger correctement les données à caractère personnel.
Vous avez des doutes ?
Dans ce cas, l’Autorité néerlandaise des données personnelles (AP) conseille de vérifier également auprès de l’organisation elle-même si le produit spécifique est également couvert par le Cadre de protection des données.
Comment TAGGRS assure la protection des données personnelles
Server Side Tracking
TAGGRS propose un logiciel d’hébergement pour Google Tag Manager Server-side tracking. De ces 3 façons, le server side GTM vous permet d’être en conformité avec le GDPR :
- Contrôle amélioré des données de tiers: Server Side GTM vous permet d’administrer plus précisément les données qui sont soumises à des parties externes telles que Facebook, vous donnant ainsi le contrôle sur les informations qu’elles peuvent voir.
- Traitement sécurisé des informations sensibles et des IPI: Server Side GTM vous aide à vous conformer aux politiques de plateformes telles que Google et Facebook en supprimant ou en hachant les informations personnellement identifiables (IPI) telles que les adresses IP avant de les soumettre à des plateformes externes.
- Gestion efficace des données: le Server Side GTM offre des solutions telles que le hachage des données des utilisateurs en fonction des normes des différentes plateformes et la personnalisation des URL des sites web avant de les transmettre à des parties externes, ce qui est particulièrement utile pour protéger les informations sensibles contenues dans les URL.
Pour en savoir plus, consultez notre blog sur le GDPR et le Server side tracking.
Outil GDPR pour l’anonymisation
TAGGRS propose un outil GDPR qui permet d’anonymiser efficacement les données personnelles. Cet outil vous aide à vous conformer aux GDPR en veillant à ce que les données sensibles soient converties sous une forme qui ne permet pas de remonter aux individus.
Emplacement de vos propres serveurs
TAGGRS utilise ses propres serveurs, de sorte que les données ne doivent pas quitter le pays. Cela offre un niveau de protection supplémentaire car les données peuvent rester à l’intérieur des frontières du pays, ce qui peut contribuer à garantir la conformité avec les lois et réglementations locales et à minimiser les risques associés aux transferts internationaux de données.
Outro
Le transfert de données à caractère personnel vers les États-Unis doit faire l’objet d’un examen attentif. Vérifiez si votre organisation partenaire participe au cadre de protection des données et prenez des mesures supplémentaires si nécessaire. Avec des outils comme ceux de TAGGRS, vous pouvez administrer et protéger efficacement les données personnelles.
FAQ Cadre de protection des données
Pourquoi le TAGGRS ne figure-t-il pas dans le cadre de la protection des données ?
TAGGRS est une société européenne, et le cadre de protection des données n’est destiné qu’aux sociétés américaines.
Google fait-il partie du cadre de protection des données ?
Oui, Google participe au cadre de protection des données.
A propos de l’auteur
Ate Keurentjes
Spécialiste du Server Side Tracking chez TAGGRS
Ate Keurentjes est un spécialiste du Server Side Tracking chez TAGGRS. Il a de l’expérience avec plusieurs concepts de Google Tag Manager. Keurentjes édite et écrit sur les nouveaux développements et tendances en matière de collecte de données / Server side tracking depuis 2023.