Juillet 2023
Workday se réjouit de l'approbation du nouveau Cadre de protection des données (DPF) entre l'UE et les États-Unis, qui garantit aux entreprises un transfert sécurisé et légal des données entre l'Europe et les États-Unis. Workday défend ardemment les accords intergouvernementaux qui facilitent la circulation transfrontalière des données. De plus, nous apprécions les efforts fournis depuis plusieurs années par les États-Unis et la Commission européenne pour garantir la circulation transatlantique des données de manière continue et sécurisée. Avec les engagements du gouvernement américain dans le cadre du DPF entérinés et la décision d'adéquation de la Commission européenne finalisée, les décideurs politiques des deux côtés de l'Atlantique ont convenu de nouvelles garanties face aux préoccupations formulées par la Cour de justice de l'Union européenne (CJUE) dans son arrêt dit « Schrems II » de juillet 2020.
Pour aider les clients à comprendre les implications pour eux, je vais répondre à certaines des questions qui reviennent fréquemment sur le tout nouveau cadre DPF.
Que s'est-il passé depuis la décision ?
À titre de rappel, les principales préoccupations soulevées par la CJUE dans l'arrêt dit « Schrems II » concernaient l'accès par les autorités américaines. L'année dernière, le gouvernement américain a apporté des modifications significatives à la manière dont les renseignements américains peuvent accéder aux données personnelles européennes et mis en place des structures offrant aux citoyens non américains des droits de recours s'ils estiment que leurs données ont été consultées de manière inappropriée. Le ministère américain de la Justice et l'Office of the Director of National Intelligence ont pris ces engagements conformément au décret du président Joe Biden sur les transferts de données transatlantiques. Plus précisément, les agences de renseignement américaines ont adopté de nouvelles politiques et procédures, le procureur général a officiellement désigné l'Espace économique européen comme un « État admissible » pouvant prétendre au mécanisme de recours du DPF, et une nouvelle Cour chargée du contrôle de la protection des données a été instituée. Lisez la suite pour en savoir plus sur le point de vue de Workday concernant cette décision.
En quoi le DPF concerne-t-il les clients de Workday ?
La décision d'adéquation garantit à nos clients une circulation des données personnelles sécurisée et légale entre l'Union européenne et les États-Unis. Depuis 2020, Workday a accompagné avec succès ses clients en utilisant d'autres mécanismes de transfert de données, comme les clauses contractuelles types (CCT) et les règles d'entreprise contraignantes (BCR) pour les sous-traitants. Au cours de cette période, nous avons également fourni une fiche d'analyse d'impact du transfert (Transfer Impact Assessment, ou TIA) pour aider les clients à évaluer le risque de tout transfert. Nous continuerons à proposer ces mécanismes juridiques de transfert de données, et mettrons à jour notre fiche TIA pour intégrer les récents changements dans le système juridique américain. Même pour les entreprises qui ne s'appuient pas sur le nouveau cadre DPF pour le transfert de données, les nouvelles garanties du gouvernement américain s'appliquent à tous les transferts de données personnelles vers des entreprises américaines effectués dans le cadre du RGPD, y compris celles qui utilisent les clauses contractuelles types et les règles d'entreprise contraignantes.
De plus, nous conservons notre certification dans le cadre du « Privacy Shield », ce qui nous permettra de faire rapidement la transition vers le DPF. Nous nous engageons également à maintenir la transparence sur les demandes d'accès aux données émanant d'autorités chargées de l'application de la loi et à publier des mises à jour régulières dans notre rapport de transparence.
Y-aura-t-il un arrêt Schrems III ?
Comme cela a été le cas avec le Safe Harbor Framework et le « Privacy Shield », il est probable que le cadre DPF soit contesté devant les tribunaux européens. Au vu des changements sans précédent mis en œuvre par le gouvernement américain pour renforcer les mesures de protection sur son accès aux données personnelles européennes et offrir aux citoyens non américains des droits de recours, Workday estime que le DPF répond à l'objectif commun des deux gouvernements, à savoir poser un socle juridique durable et fiable pour la circulation des données transatlantique.
Octobre 2022
Workday accueille avec enthousiasme le décret américain tant attendu sur les transferts de données transatlantiques promulgué par le président Joe Biden le 7 octobre dernier. Le décret a pour objet de mettre en œuvre l'accord conclu entre l'Union européenne et les États-Unis en réponse aux préoccupations liées à l'accès des gouvernements soulevées par l'arrêt Schrems II, qui a invalidé le « Privacy Shield » en tant que mécanisme de transfert de données. Le transfert simplifié des données entre les États-Unis et l'Union européenne joue un rôle crucial pour l'économie digitale et permet aux entreprises multinationales de gérer efficacement leurs effectifs mondiaux .
Le nouveau décret constitue une avancée positive dans la poursuite de la libre circulation des données personnelles entre l'Union européenne, y compris les données des collaborateurs, et les États-Unis. Face au volume d'informations à assimiler, j'aimerais apporter quelques éclaircissements sur ce que cela signifie exactement et sur la manière dont cela affectera nos clients à l'avenir.
Que signifie le décret présidentiel ?
Il y a plusieurs mois, le président Joe Biden et la présidente de la Commission européenne, Ursula von der Leyen, ont annoncé un accord connu sous le nom de Cadre de protection des données (DPF) entre l'UE et les États-Unis, qui vise à renforcer la libre circulation des données personnelles de l'UE vers les États-Unis. Le nouveau décret officialise les engagements pris par les États-Unis dans le cadre de cet accord en offrant aux citoyens de l'UE un mécanisme de recours s'ils estiment que leurs données personnelles ont été illégalement collectées par le gouvernement américain à des fins de sécurité nationale. Il met également en œuvre des mesures de protection pour s'assurer que les activités du renseignement américain sont nécessaires et proportionnées dans le cadre de son objectif de sécurité.