SMART TECH - 3 QUESTIONS À du lundi 28 août 2023

  • l’année dernière
Lundi 28 août 2023, SMART TECH reçoit Corinne Thiérache (avocat associé, responsable des départements responsable des départements Droit des technologies et du Numérique / Propriété intellectuelle, cabinet Alérion)
Transcript
00:00 ...
00:01 -Bismart.
00:02 -3 questions à Corinne Thirache.
00:04 Bonjour. -Bonjour.
00:06 -Vous êtes associée au sein du cabinet d'avocat d'affaires
00:09 à l'hériton. Vous assumez la responsabilité
00:12 des départements droit, des technologies et du numérique
00:15 et aussi de la propriété intellectuelle.
00:17 On va parler ensemble de ce nouveau cadre légal
00:20 qui a été adopté par l'Union européenne
00:22 pour le transfert des données vers les Etats-Unis.
00:25 On sait que les 2 précédents cadres qu'on appelait les boucliers
00:29 pour nos données ont été annulés par la course de justice européenne
00:33 pour non-conformité avec nos propres règles.
00:36 On va peut-être rappeler d'abord
00:38 ce qui coince précisément sur ce sujet.
00:40 Où est la difficulté ?
00:42 -Oui, tout à fait.
00:43 Il est important de se poser aujourd'hui
00:46 pour savoir d'où l'on vient, où l'on va
00:49 et ce que, normalement,
00:51 le nouveau texte est censé avoir corrigé.
00:55 Les 2 précédents outils
00:58 qui permettaient le transfert de données
01:00 de ressortissants européens vers les Etats-Unis
01:03 avaient 2 faiblesses.
01:05 La 1re faiblesse, c'est qu'il n'y avait pas de principe
01:08 de proportionnalité et de nécessité
01:11 si bien que les autorités gouvernementales américaines,
01:15 les autorités notamment, les services d'agences gouvernementales,
01:20 pouvaient collecter des données sans limitation.
01:23 -Les services de renseignement américains.
01:25 -Avec la législation, la FISA, etc.
01:28 Et 2e critique, qui était très forte,
01:31 c'était l'absence de recours réel, efficace,
01:34 si la personne qui se voyait être victime
01:36 d'une violation de ces données
01:39 devait éventuellement pouvoir réclamer justice.
01:43 -On voit la complexité de ce sujet,
01:46 car ça voudrait dire qu'il faudrait changer les lois américaines
01:49 pour être en conformité avec les nôtres.
01:51 Quelles sont ces nouvelles garanties
01:53 qui sont apportées par les Etats-Unis
01:55 dans ce nouveau cadre légal ?
01:57 -Il faut bien noter que l'invalidation
01:59 du précédent bouclier, comme vous le rappeliez,
02:02 date déjà de juillet 2020.
02:04 Depuis juillet 2020,
02:05 les acteurs économiques étaient en difficulté.
02:08 Donc, si bien qu'il y a eu de fortes négociations,
02:11 alors, de l'époque de Trump, c'était pas facile,
02:15 mais l'arrivée de Biden a facilité les choses.
02:18 Il y a eu d'abord un Executive Order Act
02:20 qui a intervenu en octobre 2022,
02:23 qui a permis de modifier l'agilitation américaine.
02:26 C'est dans ce contexte-là
02:27 que le Data Privacy Framework est intervenu
02:30 et il retouche deux aspects de l'agilitation américaine.
02:35 D'une part, nous avons maintenant
02:37 la garantie, en principe,
02:40 que les autorités gouvernementales américaines
02:44 appliqueront le principe de proportionnalité
02:47 et de nécessité quand ils collecteront des données
02:50 concernant les ressortissants européens.
02:52 Deuxièmement, le fait qu'il y a eu une nouvelle cour
02:55 qui a été créée pour s'assurer du respect
02:58 de la protection des données à caractère personnel.
03:01 -Troisième dernière question.
03:03 On sait déjà qu'il y aura un nouveau recours.
03:06 Et puis, avec la crainte
03:09 qu'à nouveau, on se retrouve face à un manque de dispositifs légaux
03:13 pour encadrer ces transferts de données
03:16 entre l'Union européenne et les Etats-Unis,
03:18 les entreprises nous disent qu'on est dans une insécurité
03:22 et qu'on est dans une situation inextricable.
03:25 Est-ce qu'il y a un moyen de se sortir de cette situation ?
03:28 -Ce nouveau dispositif ne s'applique pas
03:30 à toutes les entreprises.
03:32 Ces entreprises américaines figurent sur une liste,
03:35 c'est ce qu'on appelle l'autocertification.
03:38 C'était le même système pour le Privacy Shield précédemment.
03:41 Ces entreprises doivent déjà s'autodéclarer
03:44 comme étant en conformité
03:46 à la protection de données à caractère personnel du RGPD.
03:49 Et par ailleurs,
03:51 il est important de dire que si ce système devait sauter
03:56 à la suite d'une nouvelle action de Max Schremm,
03:58 puisqu'on appelle les dernières décisions Schremm 1 et 2,
04:02 donc si on s'attend à avoir un Schremm 3
04:04 d'ici la fin de l'année, au début de l'année 2024,
04:07 pour autant, il y aurait toujours l'executive order
04:10 qui a été prononcée par l'administration de Joe Biden
04:14 en octobre dernier, qui continuerait à s'appliquer,
04:17 à savoir ces garanties de proportionnalité
04:20 d'un côté, de création de la cour.
04:22 Simplement, les entreprises ne pourraient plus donc se reposer
04:26 sur ce nouvel outil qui vient d'être créé depuis juillet 2023.
04:31 Donc, ils devraient à nouveau avoir recours
04:34 à ce qu'on appelle les autres garanties,
04:36 c'est-à-dire ce qu'on appelle les BCR,
04:38 ou les CCT, les clauses contractuelles type,
04:41 ou toute autre garantie supplémentaire,
04:43 y compris des garanties techniques.
04:46 Et donc, ça veut dire qu'effectivement,
04:50 on n'a pas une sécurité juridique à 100%,
04:52 comme on pourrait l'espérer,
04:54 mais on a quand même, si on prend plutôt le verre à moitié plein
04:57 plutôt que le verre à moitié vide, on avance.
05:00 -Merci beaucoup, Corinne Thirach,
05:02 avocate associée au cabinet Alerion,
05:04 responsable des droits des technologies du numérique
05:07 et de la propriété intellectuelle.
05:09 Vous avez répondu à nos questions.
05:11 C'est l'heure de répondre à vos questions sur le Data Act.