Sélectionner une page

Le Privacy Shield est désormais de l’histoire ancienne

7 Questions à poser

Le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le bouclier de protection des données (Privacy Shield) UE-États-Unis, arguant que les citoyens* et entreprises de l’Union européenne ne sont pas suffisamment protégés contre les accès aux données par les autorités américaines.

Des sanctions
élevées
en cas d’infraction

Autre raison invoquée : les risques liés au CLOUD Act (Clarifying Lawful Overseas Use of Data). Celui-ci permet aux autorités américaines d’accéder aux données d’entreprises non américaines et de leurs succursales, même si elles sont stockées ou traitées en dehors des États-Unis.

En tant que directeur informatique, vous êtes directement responsable des données de vos clients, employés et partenaires commerciaux, même si vous externalisez le traitement des données. En cas d’infraction, l’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, un niveau sans précédent. Les autorités peuvent en outre stopper les transferts de données illégaux. Les dirigeants peuvent être tenus personnellement responsables, tandis que les assurances pour administra- teurs et dirigeants ont des limites.

Quelles sont les mesures à prendre ? L’EDPB (Comité Européen de la Protection des Données) et la Commission européenne n’ont pas encore formulé de recom- mandation définitive à ce sujet. C’est pourquoi, nous souhaitons à travers ce guide, vous présenter les informations les plus importantes de manière compacte. Voici 7 questions que vous devez vous poser :

Les numéros de fax
et les adresses e-mail

sont des données personnelles

1) Comment transmettez-vous actuellement les données personnelles ?

Par données personnelles, on entend toute information relative à une personne physique identifiée ou identifiable : nom, emplacement, identifiants en ligne (par exemple l’adresse IP), des faits concernant l’identité physique, psychique, économique ou sociale, ainsi que numéros de fax et adresses e-mail qui en font partie. Un transfert de données personnelles se produit, par exemple, lors d’une correspondance par e-mail, fax ou SMS.

Vous devez donc répondre à ces questions : Quelles sont les données que vous possédez ou collectez ? Où sont-elles enregistrées ? Qui traite ces données et où sont-elles transférées ? Disposez-vous d’une base légale pour tout cela ?

Attention dans le domaine de la
sécurité et de
l’archivage des
e-mails !

2) Utilisez-vous les services informatiques de sociétés américaines ?

Celles-ci comptent notamment Google, Facebook, Twilio, Zoom, Slack, Proofpoint, Dropbox, Microsoft et LinkedIn. Si c’est le cas, vérifiez que vos exportations de données sont conformes aux exigences du RGPD, par exemple, dans le domaine de la sécurité et de l’archivage des e-mails.

Il n’existe pas de
période de grâce

3) Collaborez-vous avec des entreprises qui, jusqu’ici, relevaient du Privacy Shield ?

Sur le site web du Privacy Shield Framework, vous trouverez une liste de toutes ces entreprises.

Le Privacy Shield n’est plus valide et il n’existe pas de période de grâce. Si vous collaborez actuellement avec l’une de ces entreprises, vous devez rapidement clarifier si ces entreprises respectent les exigences du RGPD. En cas de doute, vous devriez demander une attestation certifiant qu’à aucun moment du traitement, des données sont transférées aux États-Unis ou à des prestataires établis aux États-Unis.

Pas un niveau de
protection équivalente

en ce qui concerne les CCT et les BCR

4) Pouvez-vous remplacer le Privacy Shield par des CCT ou des BCR ?

Selon une déclaration de l’EDPB du 24 juillet 2020, la législation américaine ne garantit pas un niveau de protection équivalent en ce qui concerne les CCT (clauses contractuelles types) ou les BCR (règles d’entreprise contraignantes). Cet avis vaut aussi pour les accords correspondants avec les pays tels que la Chine ou la Russie.

Convenir individuellement de CCT et de BCR avec chaque prestataire américain, représente une charge administrative et juridique importante. En outre, des mesures complémentaires sont nécessaires. En novembre 2020, l’EDPB n’a émis que des recommandations préliminaires pour la mise en œuvre (celles-ci ne sont actuellement disponibles qu’en anglais). Les risques liés au CLOUD Act demeurent en cas d’utilisation de CCT et de BCR.

Des obstacles
importants

en cas de consentements
individuelles

5) Pouvez-vous encore transférer des données vers les États-Unis conformément aux règles spéciales de l’article 49 du RGPD ?

En principe, oui, dans la mesure où les conditions sont remplies. Mais les obstacles à franchir sont importants : un consentement individuel éclairé, spécifique et explicite doit être donné.

Texte de l’article 49 du RGPD

Révision du niveau de
protection des données

6) Où trouver des informations complémentaires ?

  • Foire aux questions sur l’arrêt rendu par la CJUE (concernant également les CCT / BCR et l’article 49 du RGPD) avec réponses de l’EDPB
  • Questionnaire pour la clarification auprès de vos prestataires : un niveau approprié de protection des données est-il garanti ?

Retarus garantit le
traitement des données
intra-européen

7) Et si vous recherchiez une solution conforme au RGPD pour la communication de votre entreprise ?

Faites le pas et éliminez dès aujourd’hui les risques pesant sur la protection de vos données grâce aux services de plateforme innovants de Retarus. L’ensemble des données de tous nos clients européens sont exclusivement traitées dans des datacenters européens situés à Francfort, Munich et Zurich. Même en cas de basculement ou d’entretien, nous assurons un traitement au sein de l’Union européenne. Retarus n’utilise aucun hyperscaler américain tel que Google, AWS ou Azure. Retarus, dont le siège se trouve en Allemagne, est dirigée par son fondateur depuis sa création et aucune entreprise étrangère n’est impliquée.

Si vous le souhaitez, vous pouvez transférer votre trafic d’e-mail, SMS et fax vers le « Retarus Enterprise Cloud » en 24 heures seulement. Obtenez un aperçu rapide de nos services et découvrez comment nous vous aidons à mettre en œuvre les exigences de conformité.

Conclusion

La situation en matière de protection des données semble actuellement complexe et obscure. Mais nous ne devons pas oublier que toute ce changement a du bon : car vos données commerciales sensibles seront ainsi mieux protégées. Après tout, le RGPD est crucial !

Questions? Contact us!

Veuillez noter que ce site a pour seul but de fournir des informations sans engagement. Il ne constitue pas un conseil juridique au sens strict. Le contenu de cette offre ne peut et ne doit pas remplacer un conseil juridique individuel de plein droit, répondant à votre situation spécifique. Ainsi, aucune garantie n’est fournie quant à l’exhaustivité et l’exactitude des informations offertes.

* Dans ce texte, seule la forme masculine est utilisée pour des raisons de lisibilité. Elle se rapporte toutefois aux personnes de tout sexe.