SORTIE DE L’UE ET RGPD BRITANNIQUE
Adéquation et Divergence
Les transferts internationaux de données personnelles : des manœuvres juridiques complexes
L'accès aux données personnelles est un enjeu de puissance technologique et politique qui met en jeu des instruments juridiques très sophistiqués.
Schématiquement, cet accès peut tout d'abord résulter d'un transfert volontaire. Sous cette perspective, en Europe, le RGPD met en place un cadre de protection qui produit des effets en dehors des frontières européennes, à travers les décisions d'adéquation de la Commission européenne, des instruments ad hoc et des protocoles de vérification qu'elle met en place pour assurer la conformité des transferts de données dans les pays tiers. Dans leurs interactions avec les Etats-Unis, les entreprises soumises au RGPD sont placées dans une situation de relative insécurité juridique à la suite de la décision de la Cour de Justice de l'UE dite Schrems II du 16 juillet 2020.
L'accès aux données peut en outre être imposé, exigé par une autorité tierce. L'exemple le plus vif est celui du Clarifying Lawful Overseas Use of Data Act (dit CLOUD Act) qui contribue à obscurcir les frontières qui sépare la pratique conforme de celle qui peut conduire à des sanctions pour tous les acteurs à la double allégeance juridique, c'est-à-dire qui sont à la fois soumis au droit local et à celui des États-Unis. Le CLOUD Act, comme l'équivalent dans de nombreux pays, pose le sujet des injonctions de transférer des données personnelles faites à des organismes étrangers et des moyens dont ces derniers disposent pour s'y opposer.
Ainsi, que ce soit de manière volontaire ou contrainte, les transferts internationaux de données personnelles sont au cœur des problématiques concrètes que rencontrent nos confrères.