n

Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) invalide l’accord Safe Harbor, la Commission Européenne et les États-Unis entrent alors dans une phase de négociations en vue de définir un nouvel accord, le Privacy Shield ou bouclier pour la protection de la vie privée. Le 2 février 2016, le nouveau texte est proposé et approuvé en juillet de la même année. 

nnnn

En jeu, le maintien de la possibilité pour les entreprises américaines de gérer et d’exploiter les données personnelles des citoyens de l’UE. Deux ans plus tard, l’Union Européenne renforce sa politique de protection des données personnelles avec le RGPD (Réglement Général de protection des données).

nnnn

Il offre un cadre de confiance aux citoyens européens quant à la gestion de leur données personnelles par les entreprises.

nnnn

Le RGPD plaide l’interdiction du transfert des données informatiques vers l’étranger. Jusqu’à maintenant les deux textes cohabitaient. En effet le Privacy Shield permettait un transfert de données avec des garanties similaires à celle offertes par le RGPD. La Cour de Justice Européenne invalide pourtant le texte le 16 juillet 2020. Qu’en est-il donc des sociétés transférant les données de citoyens européens vers les États-Unis ? N’y a t-il aucun recours pour ces acteurs du web ? Quelles questions se posent pour les entreprises ayant des partenaires ou des prestataires américains ?

nnnn

Comment fonctionnait le Privacy Shield ?

nnnn

Le Privacy Shield était un mécanisme d’auto certification pour les entreprises américaines gérant des données de citoyens européens. Dans la mesure où ces organisations respectaient le RGPD, elles pouvaient gérer des données à caractère personnel transférées depuis l’Europe. ( données de santé, commerciales… etc.)

nnnn

En pratique, si un citoyen européen voulait protester contre un abus dans l’utilisation de ses données aux États-Unis, il pouvait s’adresser à l’agence de protection des données de son pays, qui transmettait sa plainte au département du commerce, à Washington.

nnnn

Cet accord donnait plusieurs moyens de contestation pour les citoyens européens tant en Europe qu’aux États-Unis avec notamment une voie d’arbitrage possible en dernier recours. En clair : les citoyens européens pouvaient faire valoir leurs droits en portant plainte soit auprès des entreprises elles-mêmes, soit auprès des organismes nationaux responsables (type CNIL).

nnnn

Le Privacy Shield engageait les entreprises américaines importatrices des données à respecter des obligations rigoureuses sur leur traitement et le respect des droits des personnes concernées, sous la surveillance du « Department of Commerce ». Des sanctions, voire l’exclusion du nouveau dispositif, pouvaient être appliquées à l’encontre des entreprises se trouvant en violation de leurs obligations.

nnnn

Ce que cela impliquait pour la gestion des données des entreprises :

nnnn
  1. Toutes les données étaient concernées. Fichier client, informations stockées dans un CRM, logs de connexion… Ces données considérées comme personnelles et leur collecte engageait la responsabilité de l’entreprise.
  2. Celui qui collectait les données personnelles en était le responsable légal. Si une entreprise confiait ses données ou celles de ses clients à un tiers situé aux États-Unis (ou ayant son siège sur le sol Américain) et qu’il y avait une fuite, c’était à l’entreprise (et non au tiers) d’en répondre devant la justice.
  3. Le Privacy Shield ne permettait pas de garantir ce qu’il advenait aux données confiées à des entreprises américaines. Le recours à la justice américaine via un médiateur envisageait clairement la possibilité de violation de la confidentialité. Le texte du Privacy Shield interdisait « la surveillance de masse » des données mais prévoyait la possibilité d’un accès ciblé par les organismes gouvernementaux. (Cloud Act)
nnnn

Quelles conséquences pour les entreprises après l’annulation du Privacy Shield ?

nnnn

Pour commencer, il faut savoir que toutes les entreprises européennes transférant des données vers les États-Unis sont dans l’obligation de trouver une alternative. Tout transfert ayant lieu maintenant que l’annulation est effective est considéré comme illégal. 

nnnn

La situation est la même pour les organisations travaillant avec des prestataires ou partenaires transférant leur données aux USA.

nnnn

Comment transférer des données vers les États-Unis sans le Privacy Shield ?

nnnn

En l’absence d’accord, les entreprises peuvent faire signer des clauses contractuelles confirmant que les conditions de transfert sont de niveau adéquat vis à vis du RGPD.

nnnn

C’est à l’entreprise de juger de la sécurité des données dans le pays destinataire, à savoir les États-Unis car aucun organisme de contrôle ne fera d’enquête. Le transfert de données à caractère personnel dans ces conditions reste assez risqué.

nnnn

En effet, le Cloud Act reste une donnée à ne pas omettre. Les autorités américaines peuvent en effet, en cas d’enquête, exiger les données d’acteurs du web américains hébergeant celles des citoyens européens.

nnnn

Quelles actions entreprendre pour les entreprises ?

nnnn

Il existe plusieurs points d’attention à prendre en compte après l’annulation du Privacy Shield :

nnnn
  1. Vérifiez que vous ne travaillez pas avec des prestataires ou partenaires exportant les données à l’extérieur de l’Espace Economique Européen. Dans tous les cas, demandez des garanties quant à la localisation des données et faites également signer les clauses contractuelles dans le cas ou un transfert est bien effectué.
  2. Si les clauses ne faisaient pas partie des contrat passés avec vos prestataires, demandez des avenants afin de les ajouter. Néanmoins, les transferts restent très risqués et la dernière alternative est encore de changer de partenaire et travailler avec un acteur européen, gérant les données en Europe.
  3. Évitez, par souci de maintien de souveraineté, les coopérations incluant des données avec des acteurs du web soumis au Cloud Act.
  4. Veillez à ce que les personnes concernées par le transfert d’informations soient averties du devenir de leurs données, le non-respect de ce devoir d’information étant sévèrement puni par la loi.
nnnn

Source : www.oodrive.com/fr/blog/securite/annulation-privacy-shield-consequences-protection-donnees-europeennes/

n

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *