Le RGPD peut-il être appliqué aux États-Unis ?

Le pays d’origine du contrôleur peut faire la différence, et le Canada pourrait voir les règles du GDPR appliquées par une juridiction plus amicale. Il faut également se demander dans quelle mesure les autorités de protection des données peuvent garantir des conditions de concurrence équitables dans l’UE avant l’entrée en vigueur complète du GDPR. Si cela ne fonctionne pas, comment le GDPR sera-t-il appliqué aux États-Unis et s’appliquera-t-il aux entreprises au-delà des frontières européennes ? Les autorités chargées de l’application de la loi travaillent encore à l’élaboration de méthodes d’application précises, bien qu’elles aient une bonne idée de l’inclusion ou non de ces méthodes dans le cadre de cette méthode. [Sources : 10,6,20,17]

Si les plaignants et les superviseurs de l’UE peuvent démontrer qu’un jugement ou une ordonnance particulière du GDPR émis dans l’UE peut être reconnu par un tribunal américain, le défendeur américain dispose de plusieurs moyens de défense potentiels contre les mesures d’exécution. Par exemple, si la Commission européenne ou d’autres régulateurs de la protection des données de l’UE pouvaient émettre une ordonnance imposant une pénalité administrative aux entreprises américaines sans établissement dans l’UE, l’autorité de surveillance pourrait utiliser le système judiciaire américain pour récupérer l’amende qui pourrait être imposée à l’entreprise en violation du droit de l’UE, mais qui ne serait pas exécutée si elle ne payait pas. Comme indiqué dans le présent commentaire, l’exécution extraterritoriale en vertu du droit américain dépendrait d’un certain nombre de facteurs, notamment du fait que l’entité soit soumise à la juridiction d’un tribunal américain. Si les défendeurs américains n’ont pas de lieu d’établissement en Europe, un jugement rendu à leur encontre ne pourrait être exécuté que par le plaignant dominant dans l’UE. [Sources : 1,15,15,15]

Si une protection des données de type GDPR est suffisante, les États-Unis ne seraient pas en mesure de mettre en œuvre et d’appliquer efficacement le cadre dans ces conditions. Les États-Unis sont donc confrontés à la tâche de prouver la validité de la protection des données de l’UE et la légalité de leurs propres lois sur la protection des données. [Sources : 0,18]

Pour de nombreuses entreprises, cela signifie que les risques qu’elles encourent ne sont pas clairs, et qu’à moins d’un réel pas vers l’application de la loi, elles continueront comme avant. Les entreprises qui ne se conforment pas à la loi risquent de faire l’objet de mesures coercitives, même si elles n’enfreignent pas la législation européenne. Sources : 12,7]

Les entreprises américaines qui ne se conforment pas à la loi ne doivent pas s’attendre à être protégées du gouvernement américain lorsque les États de l’UE, soutenus par le GDPR, tenteront de récupérer les revenus perdus. Mais les entreprises technologiques ne parviennent pas à se mettre d’accord sur ce qu’elles souhaiteraient ; elles ont convenu qu’une loi fédérale serait préférable à une loi – adoptée mais toujours inapplicable – qui serait inconstitutionnelle. Sources : 9,21]

Du côté américain, le Privacy Shield exige essentiellement des autorités américaines qu’elles appliquent le droit européen mais qu’elles prennent des décisions d’adéquation fondées sur le droit américain. Cela signifie, par exemple, que les entreprises américaines sont passibles de sanctions, notamment d’amendes pouvant atteindre 500 000 dollars pour chaque violation du GDPR ou 1,5 million de dollars pour chaque violation. Sources : 18,2]

Si une entreprise enfreint les règles mais ne relève pas de la compétence européenne, la CE peut travailler avec les gouvernements internationaux pour imposer des amendes et des sanctions. En outre, les régulateurs européens disposent de sanctions qu’ils peuvent utiliser en plus des amendes pour amener les entreprises à changer leurs mauvaises habitudes en matière de traitement des données. Le plus grand risque de ces exportations de données est que les individus peuvent poursuivre l’émetteur en dommages et intérêts s’ils estiment que les lois européennes sur la protection des données sont violées. Ceci est vrai même s’il n’y a pas de « contrat » qui puisse être utilisé pour s’assurer que les entreprises soient tenues responsables rétrospectivement d’avoir enfreint la loi dans un autre pays. [Sources : 5,19,3,21]

En 2016, le Parlement européen a adopté le règlement général sur la protection des données, qui a remplacé l’initiative de 1995 sur la protection des données. Les changements n’ont été mis en œuvre que le 25 mai 2018, mais le GDPR est toujours considéré comme une harmonisation des lois sur la protection des données dans l’UE et a déclenché une vague de lois copiées dans le monde entier, notamment le CCPA aux États-Unis et la Loi sur la protection des renseignements personnels de 2014 au Canada. La CCPA est un tournant dans la législation américaine sur la protection des données et la première loi américaine à inclure des droits inspirés du GDPR. Prenons l’exemple du Royaume-Uni : d’ici au Brexit (qui reste soumis au droit européen), le Parlement britannique a décidé de transposer certaines des exigences du RGPD dans le droit national en vertu de la loi de 2018 sur la protection des données. [Sources : 13,14,4,8]

Sources :

• [0] : https://www.wired.co.uk/article/us-version-gdpr
• 1] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa
• [2] : https://www.trendmicro.com/vinfo/us/security/definition/eu-general-data-protection-regulation-gdpr
• [3] : https://www.morganlewis.com/pubs/2020/08/the-edata-guide-to-gdpr-schrems-ii-could-disrupt-us-courts
• [4] : https://news.bloomberglaw.com/bloomberg-law-analysis/analysis-will-gdpr-report-cards-prompt-easier-implementation
• [5] : https://www.zdnet.com/article/gdpr-fines-increased-by-40-last-year-and-theyre-about-to-get-a-lot-bigger/
• [6] : https://politics.stackexchange.com/questions/30509/how-are-gdpr-fines-actually-enforced-for-us-companies-with-no-physical-presence
• [7] : https://www.clarip.com/data-privacy/gdpr-united-states/
• [8] : https://www.synopsys.com/blogs/software-security/us-data-privacy-law-gdpr/
• [9] : https://www.pcmag.com/news/gdpr-begins-today-what-you-need-to-know
• [10] : https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp
• [11] : https://community.spiceworks.com/topic/2007530-how-the-eu-can-fine-us-companies-for-violating-gdpr
• [12] : https://mlexmarketinsight.com/news-hub/editors-picks/area-of-expertise/data-privacy-and-security/big-tech-might-see-more-enforcement-action-as-eus-gdpr-turns-two
• [13] : https://blog.cybermdx.com/blog/after-the-dust-has-settled-gdpr-in-healthcare
• [14] : https://www.osano.com/articles/gdpr-compliance-regulations
• [15] : https://practicalprivacy.wyrick.com/blog/could-data-subjects-or-eu-supervisory-authorities-use-the-us-court-system-to-enforce-gdpr
• [16] : https://www.wiley.law/newsletter-May_2017_PIF-The_GDPRs_Reach-Material_and_Territorial_Scope_Under_Articles_2_and_3
• [17] : https://termly.io/resources/articles/gdpr-in-the-us/
• [18] : https://academic.oup.com/jlb/advance-article/doi/10.1093/jlb/lsaa055/5871850
• [19] : https://blog.netwrix.com/2020/03/27/gdpr-in-the-us/
• [20] : https://www.jdsupra.com/legalnews/enforcement-of-the-gdpr-in-north-13166/
• [21] : https://www.red-gate.com/simple-talk/devops/data-privacy-and-protection/gdpr-in-the-usa/

• LinkedIn
• Twitter