Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Invalidation du privacy shield : Ne faites pas l’autruche !

octobre 2020 par Serge BRAMI, Gobal Security Mag

L’Observatoire du FIC tenu le 28 octobre en visioconférence a permis de clarifier les conséquences de l’invalidation du Privacy act par la cours de justice de l’union européenne (CJUE) le 16 juillet dernier.
Lors de la table ronde animée par :
• Xavier Domecq, fondateur de ID-logism et DPO de ILEX
• Jennifer Jouve, DPO de ILEX
• Arthur Poirier, avocat chez ITLAW
• Clémence Bejart, DPO de Outscale (société française fournisseur de service de Cloud)

Les thèmes suivants ont été abordés : quelle analyse juridique peut-on porter sur cette décision du CJUE ? quelles sont les conséquences opérationnelles pour les utilisateurs des services de type SAAS ou Cloud proposés par les grands opérateurs US ? Quelles sont les opportunités pour les acteurs européens ?

Quelle analyse juridique peut-on porter à cette décision de la CJUE ?

Négocié entre 2015 et 2016, l’accord bilatéral USA-UE dit Privacy shield autorisait l’importation des données des entreprises et des personnes européennes par les opérateurs américains sous réserve d’adhésion au privacy shield. Suite à une plainte de Maximillian Schrems, militant pour la protection des données personnelles, la CJUE a invalidé cet accord, estimant que les programmes de surveillance américains (patriot act, cloud act, FISA…) ne sont pas compatibles avec les principes du règlement général sur la protection des données (RGPD). Cet arrêté de la CJUE n’est pas rétroactif (donc les transferts de données déjà effectuées ne sont pas visés) et n’est pas soumis à un moratoire. Cette invalidation est donc effective immédiatement.

Arthur Poirier expose les solutions juridiques qui permettent de continuer à transférer des données aux USA. La CJUE recommande de mettre en place des clauses contractuelles types (CCT) entre un exportateur de données en Europe avec un importateur situé aux USA avec au préalable une analyse de risque vis à vis du respect du droit de protection des données personnelles. Pour Arthur Poirier, cette notion d’analyse de risque est assez floue puisque on sait déjà que la législation américaine ne respecte pas le RGPD. La CNIL et le CEPD travaillent actuellement à clarifier cette notion.

Une autre solution consiste à utiliser les exceptions de l’article 49 du RGPD utilisé déjà pour certains pays comme le Canada, Japon, Russie… mais ces exceptions ne sont pas des garanties. Cela doit rester inhabituel. On peut aussi recueillir le consentement des propriétaires des données personnelles avec une présentation détaillée des risques liés au transfert. Cependant ce consentement peut être retiré à tout moment par le propriétaire. Finalement, il n’existe pas de solution parfaite et globale.

En cas de transfert illicite, les risques sont des sanctions administratives : une amende d’un montant 20 M€ ou 4% du CA mondial, un avertissement public de la CNIL, et la suspension du transfert.

Les plus grands enjeux de cet arrêté sont bien sur vis-à-vis des GAFAM, et des acteurs américains du cloud ou SAAS. Par ailleurs toutes les entreprises qui font du marketing digital utilisant Google analytics et Facebook sont également très concernées.

Au-delà de l’analyse juridique, quelles sont les conséquences opérationnelles pour les entreprises utilisatrices des services made in USA ?

Pour Xavier Domecq et Jennifer Jouve, plusieurs approches sont possibles selon les situations rencontrées. Il convient de faire une analyse systématique et trouver des solutions au cas par cas car il n’y a pas de « quick fix » juridique comme indiqué précédemment. Il ne faut pas faire la politique de l’autruche.

Il convient de réaliser un inventaire des prestataires et des contrats, des applications utilisées et des données transférées. Au delà des données personnelles, on peut inclure dans cette analyse les données à caractère stratégique (technique ou business). Selon la criticité des données et les risques encourus plusieurs choix sont possibles :

1/ modifier les contrats pour ajouter les CCT ou obtenir les consentements de transfert
2/ ajouter des mesures de sécurité (chiffrement, pseudonymisation), cela implique de disposer des moyens techniques en interne
3/ arrêter certains transferts de données critiques (par exemple médicales, bancaires...)
4/ changer certains prestataires et/ou application ou alors internaliser le stockage et/ou le traitement des données. Cependant, il n’existe pas toujours de prestataires européens fournissant des applications équivalentes. Il y a donc un dilemme entre efficacité et souveraineté.
5/ continuer les (autres) transferts en acceptant le risque et le notifier à la CNIL.
La plupart de ces mesures ont un cout considérable financier, humain, d’organisation pour les entreprises.

Quelles sont les opportunités pour l’Europe ?

Selon Clémence Bejart, les fournisseurs de cloud européen répondent normalement aux obligations du RGPD et l’invalidation du privacy shield est une opportunité importante. Cet arrêté va susciter la création d’un nouveau écosystème européen. Des initiatives de cloud souverain type GAYAX et autres fournisseurs d’applications pourraient être relancées. Cela pourrait inciter aussi les GAFAM à localiser les données européennes sur des serveurs en Europe.


Voir les articles précédents

    

Voir les articles suivants