Transfert de données à caractère personnel vers les États-Unis - est-ce autorisé ?
Les entreprises des États-Unis peuvent mettre la main sur des données personnelles. Prenons l'exemple de Google, qui peut collecter des adresses IP par l'intermédiaire de Google Analytics. Travaillez-vous avec une partie américaine ? Le cadre de protection des données vous permet de déterminer si le transfert de données à caractère personnel vers les États-Unis est autorisé et quelles sont les considérations à prendre en compte. Nous vous proposons une vue d'ensemble des étapes à suivre pour prendre une décision éclairée....
Qu'est-ce que le cadre de protection des données ?
Le cadre de protection des données comprend des accords sur le transfert sécurisé de données à caractère personnel vers les États-Unis. Le 10 juillet 2023, de nouveaux accords sont entrés en vigueur entre l'Union européenne et les États-Unis concernant le transfert de données à caractère personnel de l'Espace économique européen (EEE) vers les États-Unis. Ces accords sont connus sous le nom de "Data Privacy Framework".
Exemples de données à caractère personnel
- Adresses IP
- Adresses électroniques
- Dates de naissance
Les organisations américaines peuvent adhérer au cadre de protection des données. Dans ce cas, le transfert de données à caractère personnel de l'EEE vers ces organisations est autorisé sans que la partie européenne ne doive prendre des mesures juridiques et techniques supplémentaires. Ces entreprises doivent se conformer à des exigences similaires à celles de l'AVG, notamment en limitant l'accès des services secrets américains. Toutefois, les entreprises non participantes, telles que celles des secteurs de la banque et de l'assurance, restent soumises à des conditions strictes.
Étape 1 : Vérifier si l'organisation participe au cadre de protection des données personnelles
La première étape consiste à vérifier si l'organisation américaine à laquelle vous souhaitez transférer des données personnelles participe au cadre de protection des données. Vous pouvez le faire en vous rendant sur le site web du cadre de protection des données et en saisissant le nom de l'entreprise avec laquelle vous allez travailler.
Étape 2 : Mesures de suivi
Ensuite, deux scénarios sont possibles :
Une organisation adhère au cadre de protection des données
Si l'organisation américaine à laquelle vous souhaitez transférer des données personnelles participe au cadre de protection des données et si le produit spécifique que vous souhaitez utiliser est également couvert par ce cadre, vous pouvez transférer les données personnelles. Vous n'avez pas besoin d'utiliser un autre outil de transfert ou de prendre des mesures supplémentaires pour protéger les données.
L'organisation ne participe pas au cadre de protection des données
Si l'organisation américaine à laquelle vous souhaitez transférer des données personnelles ne participe pas au cadre de protection des données, vous pouvez prendre des mesures supplémentaires.
- Utiliser un outil de transfert : vous pouvez utiliser un outil de transfert pour les transferts vers un pays situé en dehors de l'EEE, tel qu'un contrat type ou des règles d'entreprise contraignantes (BCR).
- Prendre des mesures supplémentaires : Si nécessaire, vous pouvez prendre des mesures supplémentaires pour protéger les données à caractère personnel.
Quelles pourraient être ces mesures complémentaires ? Pour déterminer les mesures supplémentaires appropriées, vous pouvez utiliser les"Recommandations pour des mesures complémentaires aux instruments de transfert" de l'EDPB. L'EDPB énumère plusieurs mesures de protection que vous pouvez envisager, telles qu'un cryptage approprié et la pseudonymisation. Vous devez déterminer au cas par cas quelle mesure ou combinaison de mesures est nécessaire pour protéger correctement les données à caractère personnel.
Vous avez des doutes ?
Dans ce cas, l'Autorité néerlandaise des données personnelles (AP) conseille de vérifier également auprès de l'organisation elle-même si le produit spécifique est également couvert par le Cadre de protection des données.
Comment TAGGRS assure la protection des données personnelles
Server Side Tracking
TAGGRS propose un logiciel d'hébergement pour Google Tag Manager Server Side Tracking. De ces 3 façons, Server Side GTM vous permet d'être en conformité avec le GDPR :
- Contrôle accru des données de tiers: le GTM côté serveur vous permet de gérer plus précisément les données envoyées à des tiers tels que Facebook, en vous donnant le contrôle sur les informations qu'ils peuvent voir.
- Traitement sécurisé des informations sensibles et des IPI: Server Side GTM vous aide à respecter les politiques de plateformes telles que Google et Facebook en supprimant ou en hachant les informations personnelles identifiables (IPI) telles que les adresses IP avant de les envoyer à des plateformes externes.
- Gestion efficace des données: le GTM côté serveur offre des solutions telles que le hachage des données des utilisateurs selon les normes des différentes plateformes et la personnalisation des URL des sites web avant de les transmettre à des parties externes, ce qui est particulièrement utile pour protéger les informations sensibles contenues dans les URL.
Pour en savoir plus, consultez notre blog sur le GDPR et le Server Side Tracking.
Outil GDPR pour l'anonymisation
TAGGRS propose un outil GDPR qui anonymise efficacement les données personnelles. Cet outil vous aide à vous conformer à la réglementation AVG en veillant à ce que les données sensibles soient converties sous une forme qui ne permet pas de remonter aux individus.
Emplacements de vos propres serveurs
TAGGRS utilise ses propres serveurs, de sorte que les données n'ont pas à quitter le pays. Cela constitue un niveau de protection supplémentaire car les données peuvent rester à l'intérieur des frontières du pays, ce qui peut contribuer à garantir la conformité avec les lois et réglementations locales et à minimiser les risques associés aux transferts internationaux de données.
Outro
Le transfert de données à caractère personnel vers les États-Unis doit faire l'objet d'un examen attentif. Vérifiez si votre organisation partenaire participe au cadre de protection des données et prenez des mesures supplémentaires si nécessaire. Avec des outils tels que ceux de TAGGRS, vous pouvez gérer et protéger efficacement les données personnelles.
FAQ Cadre de protection des données
Pourquoi le système TAGGRS ne figure-t-il pas dans le cadre de protection des données ?
TAGGRS est une société européenne et le cadre de protection des données n'est destiné qu'aux sociétés américaines.
Google fait-il partie du cadre de protection des données ?
Oui, Google participe au cadre de protection des données.