Le transfert simplifié des données entre les États-Unis et l'Union européenne joue un rôle crucial pour l'économie digitale et permet aux entreprises multinationales de gérer efficacement leurs effectifs mondiaux. Barbara Cosgrove, Chief Privacy Officer de Workday, décrit les implications du nouveau Cadre de protection des données entre l'UE et les États-Unis pour les clients de Workday, ainsi que pour l'avenir. |
Workday se réjouit de l'approbation du nouveau Cadre de protection des données (DPF) entre l'UE et les États-Unis, qui garantit aux entreprises un transfert sécurisé et légal des données entre l'Europe et les États-Unis. Workday défend ardemment les accords intergouvernementaux qui facilitent la circulation transfrontalière des données. De plus, nous apprécions les efforts fournis depuis plusieurs années par les États-Unis et la Commission européenne pour garantir la circulation transatlantique des données de manière continue et sécurisée. Avec les engagements du gouvernement américain dans le cadre du DPF entérinés et la décision d'adéquation de la Commission européenne finalisée, les décideurs politiques des deux côtés de l'Atlantique ont convenu de nouvelles garanties face aux préoccupations formulées par la Cour de justice de l'Union européenne (CJUE) dans son arrêt dit « Schrems II » de juillet 2020.
Pour aider les clients à comprendre les implications pour eux, je vais répondre à certaines des questions qui reviennent fréquemment sur le tout nouveau cadre DPF.
À titre de rappel, les principales préoccupations soulevées par la CJUE dans l'arrêt dit « Schrems II » concernaient l'accès par les autorités américaines. L'année dernière, le gouvernement américain a apporté des modifications significatives à la manière dont les renseignements américains peuvent accéder aux données personnelles européennes et mis en place des structures offrant aux citoyens non américains des droits de recours s'ils estiment que leurs données ont été consultées de manière inappropriée. Le ministère américain de la Justice et l'Office of the Director of National Intelligence ont pris ces engagements conformément au décret du président Joe Biden sur les transferts de données transatlantiques. Plus précisément, les agences de renseignement américaines ont adopté de nouvelles politiques et procédures, le procureur général a officiellement désigné l'Espace économique européen comme un « État admissible » pouvant prétendre au mécanisme de recours du DPF, et une nouvelle Cour chargée du contrôle de la protection des données a été instituée. Lisez la suite pour en savoir plus sur le point de vue de Workday concernant cette décision.
La décision d'adéquation garantit à nos clients une circulation des données personnelles sécurisée et légale entre l'Union européenne et les États-Unis. Depuis 2020, Workday a accompagné avec succès ses clients en utilisant d'autres mécanismes de transfert de données, comme les clauses contractuelles types (CCT) et les règles d'entreprise contraignantes (BCR) pour les sous-traitants. Au cours de cette période, nous avons également fourni une fiche d'analyse d'impact du transfert (Transfer Impact Assessment, ou TIA) pour aider les clients à évaluer le risque de tout transfert. Nous continuerons à proposer ces mécanismes juridiques de transfert de données, et mettrons à jour notre fiche TIA pour intégrer les récents changements dans le système juridique américain. Même pour les entreprises qui ne s'appuient pas sur le nouveau cadre DPF pour le transfert de données, les nouvelles garanties du gouvernement américain s'appliquent à tous les transferts de données personnelles vers des entreprises américaines effectués dans le cadre du RGPD, y compris celles qui utilisent les clauses contractuelles types et les règles d'entreprise contraignantes.
De plus, nous conservons notre certification dans le cadre du « Privacy Shield », ce qui nous permettra de faire rapidement la transition vers le DPF. Nous nous engageons également à maintenir la transparence sur les demandes d'accès aux données émanant d'autorités chargées de l'application de la loi et à publier des mises à jour régulières dans notre rapport de transparence.
Comme cela a été le cas avec le Safe Harbor Framework et le « Privacy Shield », il est probable que le cadre DPF soit contesté devant les tribunaux européens. Au vu des changements sans précédent mis en œuvre par le gouvernement américain pour renforcer les mesures de protection sur son accès aux données personnelles européennes et offrir aux citoyens non américains des droits de recours, Workday estime que le DPF répond à l'objectif commun des deux gouvernements, à savoir poser un socle juridique durable et fiable pour la circulation des données transatlantique.
Workday accueille avec enthousiasme le décret américain tant attendu sur les transferts de données transatlantiques promulgué par le président Joe Biden le 7 octobre dernier. Le décret a pour objet de mettre en œuvre l'accord conclu entre l'Union européenne et les États-Unis en réponse aux préoccupations liées à l'accès des gouvernements soulevées par l'arrêt Schrems II, qui a invalidé le « Privacy Shield » en tant que mécanisme de transfert de données. Le transfert simplifié des données entre les États-Unis et l'Union européenne joue un rôle crucial pour l'économie digitale et permet aux entreprises multinationales de gérer efficacement leurs effectifs mondiaux .
Le nouveau décret constitue une avancée positive dans la poursuite de la libre circulation des données personnelles entre l'Union européenne, y compris les données des collaborateurs, et les États-Unis. Face au volume d'informations à assimiler, j'aimerais apporter quelques éclaircissements sur ce que cela signifie exactement et sur la manière dont cela affectera nos clients à l'avenir.
Il y a plusieurs mois, le président Joe Biden et la présidente de la Commission européenne, Ursula von der Leyen, ont annoncé un accord connu sous le nom de Cadre de protection des données (DPF) entre l'UE et les États-Unis, qui vise à renforcer la libre circulation des données personnelles de l'UE vers les États-Unis. Le nouveau décret officialise les engagements pris par les États-Unis dans le cadre de cet accord en offrant aux citoyens de l'UE un mécanisme de recours s'ils estiment que leurs données personnelles ont été illégalement collectées par le gouvernement américain à des fins de sécurité nationale. Il met également en œuvre des mesures de protection pour s'assurer que les activités du renseignement américain sont nécessaires et proportionnées dans le cadre de son objectif de sécurité.
Le transfert simplifié des données entre les États-Unis et l'Union européenne joue un rôle crucial dans l'économie digitale et permet aux entreprises multinationales de gérer efficacement leurs effectifs mondiaux.
Le décret ouvre la voie au lancement par la Commission européenne d'une procédure d'adéquation pour les entreprises appliquant le cadre DPF UE-États-Unis. Outre la publication du décret, plusieurs étapes supplémentaires sont nécessaires avant la mise en place d'un nouveau cadre d'adéquation formel entre les États-Unis et l'Union européenne. Ces étapes comprennent l'adoption par la Commission européenne d'une décision d'adéquation formelle, ainsi qu'un examen de la décision et la publication d'un avis par le Comité européen de la protection des données. Enfin, les États membres de l'UE doivent approuver le cadre avant l'adoption formelle. La Commission européenne s'est déjà félicitée du nouveau cadre DPF UE-États-Unis, déclarant qu'il s'agit d'améliorations significatives par rapport au mécanisme existant du « Privacy Shield ».
Fidèle à ses valeurs fondamentales en matière de service client, Workday prend la confidentialité et la sécurité très au sérieux et met en place des mesures appropriées pour protéger les données de ses clients. Suite à l'arrêt Schrems II, nous leur avons fourni un livre blanc complet sur l'analyse d'impact du transfert (TIA) pour les aider à évaluer le risque lié au transfert de données à caractère personnel de l'UE vers les États-Unis dans le cadre d'un système de gestion du capital humain (HCM) et de gestion financière d'entreprise. Sur la base de nombreux facteurs, notamment le type de données, l'historique des demandes gouvernementales adressées à Workday et à d'autres entreprises similaires, ainsi que les déclarations du gouvernement, nous avons conclu que le risque était faible.
Workday va immédiatement mettre à jour ses analyses TIA existantes pour refléter ce changement dans la loi américaine, et continuera à les utiliser pour sécuriser les transferts à l'aide de mécanismes juridiques déjà employés par Workday, comme les Règles d'entreprise contraignantes pour les sous-traitants et les Clauses contractuelles types. Workday conserve en outre sa certification dans le cadre du « Privacy Shield ». Étant donné que les objections juridiques au « Privacy Shield » n'étaient pas fondées sur les pratiques commerciales en matière de données, mais sur des questions de sécurité nationale, nous pensons que l'application du nouveau cadre DPF UE-États-Unis en tant que mécanisme légal de transfert de données sera optimale une fois la nouvelle décision d'adéquation finalisée.
Le transfert simplifié des données entre les États-Unis et l'Union européenne est essentiel au commerce et à l'investissement transatlantiques dans l'économie digitale d'aujourd'hui, car plus de données circulent entre les États-Unis et l'Europe que partout ailleurs dans le monde. Il est important que les décideurs politiques, en partenariat avec les entreprises et les autres parties prenantes, se réunissent pour élaborer et mettre en œuvre des cadres durables favorisant les transferts de données et la confidentialité. Dans les jours et les mois qui ont suivi l'arrêt Schrems II, Workday s'est beaucoup impliqué auprès de l'administration Biden et de ses homologues de la Commission européenne pour définir la marche à suivre vers un nouveau cadre de transfert de données. Nous soutenons vivement le décret du président Joe Biden relatif au nouveau cadre de transfert de données entre l'UE et les États-Unis, et nous réjouissons de collaborer avec nos partenaires de l'UE en vue d'une nouvelle décision d'adéquation.
Ne manquez pas la dernière version de notre analyse TIA qui sera bientôt disponible en ligne sur Workday Community.
Ce blog a été initialement publié en octobre 2022.
Barbara Cosgrove explique la position de Workday sur la création du Forum mondial sur les règles transfrontalières de protection de la vie privée, ses implications pour l'ensemble du secteur et les perspectives en matière de transfert de données à l'échelle mondiale.
En lire plus
Il n'existe pas de raccourci pour atteindre l'agilité et faire évoluer rapidement les initiatives digitales. Selon un rapport d'IDC, les entreprises doivent disposer d'une architecture de base à la fois adaptable, ouverte, extensible et intelligente pour mener une stratégie digital-first.
Dans le cadre de notre série Tête-à-tête RH nous avons eu la chance d’échanger avec Alexandre Piton, Group HR Transformation Director chez Pernod Ricard. Découvrez comment le groupe français, qui compte plus de 19 000 collaborateurs, pilote le changement grâce à Workday Human Capital Management.
En 2018, Webedia fait appel à Workday pour mettre en place un système unifié pour les fonctions finance, RH et paie, capable d’offrir une vision globale et de s’adapter à son importante croissance. Le podcast Finance Transfo Hub, consacré aux projets inspirants des directions financières 4.0, décrypte le succès de cette transformation.