Fin du « Privacy Shield », et maintenant  ?

OPINION. La décision de la Cour de Justice de l'Union européenne (CJUE) de mettre fin au « Privacy Shield » s'inscrit dans une tendance de fond, qui vise pour l'Europe à regarder avec plus de lucidité la nature de ses relations internationales et à repenser ses rapports de force. En jeu : la défense de ses valeurs et la protection de ses concitoyens comme de ses entreprises. Mais quels sont les impacts d'une telle décision sur nos entreprises ? Et, que faire lorsque l'on est déjà engagé avec un prestataire américain ? Par François-Xavier Vincent, CISO et DPO de Oodrive (*)
(Crédits : DR)

Le 16 juillet dernier, la CJUE invalidait le mécanisme de transferts de données personnelles, plus connu sous le nom de « Privacy Shield », entre les entreprises commerciales européennes et les opérateurs américains. Cette décision est venue dénoncer la non-réciprocité entre les législations en vigueur aux États-Unis et en Europe en matière de protection des données personnelles. Ainsi, la cour de justice a jugé que les outils de surveillance déployés au pays de l'Oncle Sam (Patriot Act, Cloud Act...) n'étaient pas compatibles avec les garanties offertes aux citoyens européens par le RGPD.

En dénonçant le « Privacy Shield », l'Europe continue de se doter des moyens législatifs et administratifs pour protéger les données de ses citoyens.

Des entreprises européennes face à leurs responsabilités

Mais alors, que faire lorsque l'on est une entreprise européenne ayant déjà contractualisé avec un prestataire américain ? Faut-il dénoncer son contrat sans attendre ? Bien évidemment, la réponse est « non ». Il ne s'agit pas d'interdire à quiconque de travailler avec un prestataire américain, mais d'inviter les entreprises européennes à considérer sans naïveté l'ensemble des possibles conflits qui pourraient découler de ces accords.

Pour s'en prémunir au mieux, la première action à mener est d'établir une cartographie de ses transferts de données et de ses contrats. Ensuite, l'entreprise devra identifier parmi ses prestataires, ceux qui sont soumis au Cloud Act et au Patriot Act. Enfin, elle pourra, le cas échéant, renégocier ses contrats en y intégrant des Clauses Contractuelles Types validées par la CJUE et encadrant les transferts de données personnelles hors de l'Union européenne. En revanche, l'entreprise doit garder en tête que, contrairement au « Privacy Shield », pour lequel la CJUE se portait garante, l'exportateur est qualifié de responsable du traitement en cas de violation du RGPD.

De la même façon, elle doit avoir conscience que, quels que soient les engagements pris par leurs fournisseurs américains en matière de protection des données personnelles, de localisation de leurs datacenters sur le territoire européen ou de techniques de chiffrement, tous restent avant tout soumis aux lois américaines. C'est pourquoi l'une des alternatives consiste, dans le cadre de la gestion de ses données les plus sensibles, à s'orienter vers un prestataire européen, qui sera lui automatiquement soumis au RGPD.

Au final, cette décision de mettre fin au « Privacy Shield » invite les entreprises européennes à mieux évaluer leurs risques et à se poser les bonnes questions lorsqu'elles décident de confier leurs données à un prestataire extérieur à l'Union européenne. Le moindre doute doit sonner comme un signal d'alarme, car le doute est antagoniste de la confiance.

_____

(*) Par François-Xavier Vincent, CISO et DPO de Oodrive.

Sujets les + lus

|

Sujets les + commentés

Commentaires 5
à écrit le 24/09/2020 à 20:43
Signaler
Article intéressant, je ne comprends pas que ça ne fasse pas plus de bruit comme si les médias ne mesuraient pas encore la portée du RGPD et de ses conséquences en cascade. Il y a deux semaines, l'Irlande a interdit à Facebook de transférer les donné...

à écrit le 24/09/2020 à 11:52
Signaler
Les Américains ne sont pas nos "amis". L'ont ils d'ailleurs jamais été ? Sans leurs intérêts en Europe menacés et sans Pearl Harbor, ils ne seraient jamais entrés en guerre. Nous avons largement payé leur engagement, nous le payons encore et nous le ...

à écrit le 24/09/2020 à 9:56
Signaler
Bon dieu il faut lire: "Pour s'en prémunir au mieux, la première action à mener est d'établir une cartographie de ses transferts de données et de ses contrats. Ensuite, l'entreprise devra identifier parmi ses prestataires, ceux qui sont soumis au Cl...

à écrit le 24/09/2020 à 8:18
Signaler
"En dénonçant le « Privacy Shield », l'Europe continue de se doter des moyens législatifs et administratifs pour protéger les données de ses citoyens." Heu...avant de tirer un plan sur la comète attendez de voir comment l'UE va s'organiser pour me...

le 24/09/2020 à 8:38
Signaler
Si "la finance gagne de l'argent sur du vent", elle devrait investir dans les éoliennes ;)

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.