Fin du « Privacy Shield », et maintenant ?

François-Xavier Vincent (*)

Publié le 24 septembre 2020 à 05:30

Photo d'illustration

OPINION. La décision de la Cour de Justice de l'Union européenne (CJUE) de mettre fin au « Privacy Shield » s'inscrit dans une tendance de fond, qui vise pour l'Europe à regarder avec plus de lucidité la nature de ses relations internationales et à repenser ses rapports de force. En jeu : la défense de ses valeurs et la protection de ses concitoyens comme de ses entreprises. Mais quels sont les impacts d'une telle décision sur nos entreprises ? Et, que faire lorsque l'on est déjà engagé avec un prestataire américain ? Par François-Xavier Vincent, CISO et DPO de Oodrive (*)

Le 16 juillet dernier, la CJUE invalidait le mécanisme de transferts de données personnelles, plus connu sous le nom de « Privacy Shield », entre les entreprises commerciales européennes et les opérateurs américains. Cette décision est venue dénoncer la non-réciprocité entre les législations en vigueur aux États-Unis et en Europe en matière de protection des données personnelles. Ainsi, la cour de justice a jugé que les outils de surveillance déployés au pays de l'Oncle Sam (Patriot Act, Cloud Act...) n'étaient pas compatibles avec les garanties offertes aux citoyens européens par le RGPD.

En dénonçant le « Privacy Shield », l'Europe continue de se doter des moyens législatifs et administratifs pour protéger les données de ses citoyens.

Des entreprises européennes face à leurs responsabilités

Mais alors, que faire lorsque l'on est une entreprise européenne ayant déjà contractualisé avec un prestataire américain ? Faut-il dénoncer son contrat sans attendre ? Bien évidemment, la réponse est « non ». Il ne s'agit pas d'interdire à quiconque de travailler avec un prestataire américain, mais d'inviter les entreprises européennes à considérer sans naïveté l'ensemble des possibles conflits qui pourraient découler de ces accords.

Pour s'en prémunir au mieux, la première action à mener est d'établir une cartographie de ses transferts de données et de ses contrats. Ensuite, l'entreprise devra identifier parmi ses prestataires, ceux qui sont soumis au Cloud Act et au Patriot Act. Enfin, elle pourra, le cas échéant, renégocier ses contrats en y intégrant des Clauses Contractuelles Types validées par la CJUE et encadrant les transferts de données personnelles hors de l'Union européenne. En revanche, l'entreprise doit garder en tête que, contrairement au « Privacy Shield », pour lequel la CJUE se portait garante, l'exportateur est qualifié de responsable du traitement en cas de violation du RGPD.

De la même façon, elle doit avoir conscience que, quels que soient les engagements pris par leurs fournisseurs américains en matière de protection des données personnelles, de localisation de leurs datacenters sur le territoire européen ou de techniques de chiffrement, tous restent avant tout soumis aux lois américaines. C'est pourquoi l'une des alternatives consiste, dans le cadre de la gestion de ses données les plus sensibles, à s'orienter vers un prestataire européen, qui sera lui automatiquement soumis au RGPD.

Au final, cette décision de mettre fin au « Privacy Shield » invite les entreprises européennes à mieux évaluer leurs risques et à se poser les bonnes questions lorsqu'elles décident de confier leurs données à un prestataire extérieur à l'Union européenne. Le moindre doute doit sonner comme un signal d'alarme, car le doute est antagoniste de la confiance.

Newsletter