La protection des données à caractère personnel dans le monde…
Le saviez-vous ?
Une des ambitions de la règlementation européenne en matière de protection des données à caractère personnel est celle de s’appliquer à l’international. Cette ambition se manifeste notamment à l’article 3 du fameux RGPD où l’on retrouve les critères d’application territoriale du texte, mais également dans les différents articles s’intéressant aux transferts de données hors Union européenne. C’est également une ambition que l’on peut apprécier au fil de la jurisprudence des différentes autorités de contrôle nationales des Etats membres qui ne se contentent pas de sanctionner des organismes 100% européens…
Plus récemment, l’accord entre la CNIL et la PIPC (Personal Information Protection Commission), autorité de contrôle sud-coréenne marque à son tour un nouveau pas dans la direction d’une protection homogénéisée des données à caractère personnel, peut-être inspirée du RGPD. Pour en savoir plus sur cet accord, rendez-vous ici.
Mais alors qu’en est-il du niveau de protection des données dans le monde ?
Ce niveau de protection, on l’appréciera aujourd’hui du point de vue européen et on pourra l’observer sur une page dédiée de la CNIL : ici.
Si on considère que l’Union européenne représente un standard en matière de protection des données à caractère personnel, il semblerait que certains Etats tiers (hors UE et hors espace Schengen) suivent aujourd’hui ce standard.
C’est le cas de ces pays :
- La Suisse,
- Le Japon,
- Le Royaume-Uni,
- La Corée du Sud,
- L’Argentine,
- Israël,
- La Nouvelle-Zélande,
- L’Uruguay, et enfin,
- Le Canada pour certaines activités de traitement uniquement.
Pour ces Etats tiers, la Commission européenne a pu procéder à une évaluation de leur niveau de protection, tel que prévu à l’article 45 du RGPD. Cette évaluation a pour objectif de vérifier que le niveau de protection offert par l’Etat tiers est similaire à celui que l’on retrouve sur le territoire de l’Union européenne, du fait de l’application du RGPD parmi d’autres textes en matière de protection des données à caractère personnel et de protection des libertés et droits fondamentaux.
Ainsi, les Etats ne pouvant pas assurer ce même niveau de protection sont reconnus comme « inadéquats ». Les autres bénéficient au contraire de décision d’adéquation. En matière de transfert de données, l’existence d’une décision d’adéquation est très intéressante puisque, d’une certaine manière, elle permet de sécuriser le transfert et le traitement de données réalisés sur le territoire d’un Etat tiers.
Pour encadrer les transferts de données en dehors de l’UE, nous vous invitons d’ailleurs à jeter un œil à notre série sur le sujet, disponible ici.
Pourra-t-on un jour parler d’un réel standard en matière de protection des données à caractère personnel ?
Sujet ambitieux et difficile à évaluer pour le futur : aujourd’hui il n’existe pas de norme internationale (sur le plan juridique) qui s’appliquerait à tous les Etats du monde et qui permettrait d’assurer le même niveau de protection.
Une norme que l’on peut cependant citer, est la norme ISO 27001 qui prend en compte de nombreux textes ainsi que le RGPD. Cependant, il ne s’agit pas d’un texte de loi ni d’une certification au sens du RGPD, sans oublier que les entités européennes et non européennes ne sont pas dans l’obligation de se conformer à cette norme.
Aujourd’hui le niveau de protection des données dans le monde est donc disparate dans la mesure où les Etats tiers sont libres de déterminer leurs règles en matière de protection des données. On peut tout de même observer une évolution qui irait dans le « bon » sens pour certains, comme cela semble être le cas pour les Etats-Unis (on vous en parlait plus tôt cette année ici).
Une harmonisation des règles semblerait, dans tous les cas, pertinente et bénéficierait sans aucun doute au commerce international. L’encadrement des traitements de données et transferts de données hors UE est qualifié par beaucoup de casse-tête voire d’usine à gaz ou même de frein au développement (tout le contraire de ce que veut être le RGPD !).
De notre côté, on suivra avidement les évolutions nationales, européennes et internationales en matière de protection des données à caractère personnel dans l’espoir de voir aboutir des normes contraignantes à l’application territoriale plus conséquente… et vous ?
Des questions sur le sujet ? N’hésitez pas à contacter RGPD Academy ! 😉