Fin du « Privacy Shield », et maintenant  ?

 |  | 476 mots
Lecture 2 min.
(Crédits : DR)
OPINION. La décision de la Cour de Justice de l'Union européenne (CJUE) de mettre fin au « Privacy Shield » s'inscrit dans une tendance de fond, qui vise pour l'Europe à regarder avec plus de lucidité la nature de ses relations internationales et à repenser ses rapports de force. En jeu : la défense de ses valeurs et la protection de ses concitoyens comme de ses entreprises. Mais quels sont les impacts d'une telle décision sur nos entreprises ? Et, que faire lorsque l'on est déjà engagé avec un prestataire américain ? Par François-Xavier Vincent, CISO et DPO de Oodrive (*)

Le 16 juillet dernier, la CJUE invalidait le mécanisme de transferts de données personnelles, plus connu sous le nom de « Privacy Shield », entre les entreprises commerciales européennes et les opérateurs américains. Cette décision est venue dénoncer la non-réciprocité entre les législations en vigueur aux États-Unis et en Europe en matière de protection des données personnelles. Ainsi, la cour de justice a jugé que les outils de surveillance déployés au pays de l'Oncle Sam (Patriot Act, Cloud Act...) n'étaient pas compatibles avec les garanties offertes aux citoyens européens par le RGPD.

En dénonçant le « Privacy Shield », l'Europe continue de se doter des moyens législatifs et administratifs pour protéger les données de ses citoyens.

Des entreprises européennes face à leurs responsabilités

Mais alors, que faire lorsque l'on est une entreprise européenne ayant déjà contractualisé avec un prestataire américain ? Faut-il dénoncer son contrat sans attendre ? Bien évidemment, la réponse est « non ». Il ne s'agit pas d'interdire à quiconque de travailler avec un prestataire américain, mais d'inviter les entreprises européennes à considérer sans naïveté l'ensemble des possibles conflits qui pourraient découler de ces accords.

Pour s'en prémunir au mieux, la première action à mener est d'établir une cartographie de ses transferts de données et de ses contrats. Ensuite, l'entreprise devra identifier parmi ses prestataires, ceux qui sont soumis au Cloud Act et au Patriot Act. Enfin, elle pourra, le cas échéant, renégocier ses contrats en y intégrant des Clauses Contractuelles Types validées par la CJUE et encadrant les transferts de données personnelles hors de l'Union européenne. En revanche, l'entreprise doit garder en tête que, contrairement au « Privacy Shield », pour lequel la CJUE se portait garante, l'exportateur est qualifié de responsable du traitement en cas de violation du RGPD.

De la même façon, elle doit avoir conscience que, quels que soient les engagements pris par leurs fournisseurs américains en matière de protection des données personnelles, de localisation de leurs datacenters sur le territoire européen ou de techniques de chiffrement, tous restent avant tout soumis aux lois américaines. C'est pourquoi l'une des alternatives consiste, dans le cadre de la gestion de ses données les plus sensibles, à s'orienter vers un prestataire européen, qui sera lui automatiquement soumis au RGPD.

Au final, cette décision de mettre fin au « Privacy Shield » invite les entreprises européennes à mieux évaluer leurs risques et à se poser les bonnes questions lorsqu'elles décident de confier leurs données à un prestataire extérieur à l'Union européenne. Le moindre doute doit sonner comme un signal d'alarme, car le doute est antagoniste de la confiance.

_____

(*) Par François-Xavier Vincent, CISO et DPO de Oodrive.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 24/09/2020 à 20:43 :
Article intéressant, je ne comprends pas que ça ne fasse pas plus de bruit comme si les médias ne mesuraient pas encore la portée du RGPD et de ses conséquences en cascade. Il y a deux semaines, l'Irlande a interdit à Facebook de transférer les données utilisateurs des européens aux usa et Facebook va s'y plier. Ce n'est que le début.
a écrit le 24/09/2020 à 11:52 :
Les Américains ne sont pas nos "amis". L'ont ils d'ailleurs jamais été ? Sans leurs intérêts en Europe menacés et sans Pearl Harbor, ils ne seraient jamais entrés en guerre. Nous avons largement payé leur engagement, nous le payons encore et nous le paierons demain si nous ne nous prenons pas en main. La bataille est désormais sur le plan du droit.
Nous avons de décennies de retard sur ce plan là, d'autant que les US s'isolent, noyautent ou se retirent des instances internationales pour imposer LEUR modèle. Répression/Sanctions...nous n'avons pas besoin de tels amis.
US GO HOME.
a écrit le 24/09/2020 à 9:56 :
Bon dieu il faut lire:
"Pour s'en prémunir au mieux, la première action à mener est d'établir une cartographie de ses transferts de données et de ses contrats. Ensuite, l'entreprise devra identifier parmi ses prestataires, ceux qui sont soumis au Cloud Act et au Patriot Act."
Ca réclame quelle dose de travail pour une PME? Un contrat RGDP c'est deux mois de boulot. En plus du taff véritable. Seule des grands groupes peuvent le faire proprement.
Et alors le mieux:
"Enfin, elle pourra, le cas échéant, renégocier ses contrats en y intégrant des Clauses Contractuelles Types validées par la CJUE"
D'après le consultant en données personnelles de ma boîte il n'existe actuellement pas de clauses légales et reconnue permettant d'envoyer des données aux états-unis. Je veux bien être en droit allemands, mais il semble que cette décision ait crée un trou juridique.
Donc cette affirmation a-t'elle été vérifié? Un liens existe t'il vers ces fameuses clauses? Ou dois-je affirmer qu'une fois de plus je lit un article factuellement faux?
a écrit le 24/09/2020 à 8:18 :
"En dénonçant le « Privacy Shield », l'Europe continue de se doter des moyens législatifs et administratifs pour protéger les données de ses citoyens."

Heu...avant de tirer un plan sur la comète attendez de voir comment l'UE va s'organiser pour mettre en place ce mode de fonctionnement !

Parce que oui en effet la finance européenne se rend compte qu'elle s'est faite totalement dépasser en matière de spéculation et d’appropriation des données alors que ya des milliards à gagner sur du vent, à savoir le domaine de prédilection de la finance.

On va bien rigoler encore une fois vous allez voir.

Vite un frexit.
Réponse de le 24/09/2020 à 8:38 :
Si "la finance gagne de l'argent sur du vent", elle devrait investir dans les éoliennes ;)

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :