Preserving data ecosystems

Invalidation du Privacy Shield, impacts & solutions ?

annulation du privacy shield-1-Sep-25-2020-08-09-51-91-AM

Invalidation du Privacy Shield, impacts et solutions ? 

Le 16 juillet dernier la Cour de justice de l'UE (CJUE) a rendu un arrêt dans l'affaire connue sous le nom de Schrems II (C-3111-18), dans laquelle les mécanismes de transfert de données personnelles entre l'UE et les États-Unis ont été contestés. L’argument qui a primé étant que la législation américaine ne permet pas de garantir réellement une protection des données personnelles en provenance de l'UE qui soit conforme au Règlement Européen sur la Protection des Données (RGPD).

Revenons sur le pourquoi de cette décision et ses impacts pour les entreprises européennes.

***

Les garanties du RGPD et lien avec le Privacy Shield

annulation du privacy shield-1-1

Le RGPD oblige les entreprises ou tout autre organisme à « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. »

Il est ainsi de la responsabilité des entreprises :

      1. D’assurer la protection des données personnelles à chaque traitement, y compris lors des transferts vers des prestataires ou sous-traitants.

      2. De garantir le droit des personnes à engager un recours, y compris lors de transferts hors de l’UE.

Le règlement précise qu’en l’absence de loi locale équivalente au RGPD, ces transferts doivent être encadrés par des clauses contractuelles types (CCT).

Le Privacy Shield était l’une des nombreuses CCT adoptées par la Commission Européenne pour encadrer les conditions d’un transfert de données hors de l’UE, en l’occurrence ici vers les Etats Unis.

***

Le Privacy Shield, une garantie en auto-certification

L’Union Européenne avait reconnu le Privacy Shield conforme à la Directive Européenne de Protection des Données Personnelles, en Août 2016. Cette directive ayant depuis été remplacée par le RGPD.

Ce « bouclier de protection des données » permettait aux entreprises américaines d’apporter des garanties « suffisantes » en matière de mesures de protection des données personnelles provenant d’Europe.

***

La décision de la Cour de Justice de l’UE


La décision rendue par la Cours européenne de justice (CJUE) invalide l’accord du Privacy Shield sur le fondement même de sa raison d’être :

"… la Cour rappelle que le responsable du traitement ou le sous-traitant doit s’assurer, lors de chaque transfert de données à caractère personnel à destination d’un pays tiers n’ayant pas un niveau de protection adéquat, d’avoir les garanties effectives contenues au sein des clauses contractuelles types (CCT)."

Le système américain, en vertu notamment du Patriot Act et plus récemment du Cloud Act, permet en effet, pour des raisons de sécurité, aux autorités publiques américaines d’avoir accès et d’utiliser des données sans autorisation ni notification de leurs propriétaires. Ceci s’applique d’une part aux données européennes stockées aux US, mais également aux données stockées chez un hébergeur américain (tel que Google, Microsoft, Amazon) même si les données sont physiquement stockées en France ou en Europe.

La CJUE pointe ainsi en particulier le fait que le Privacy Shield ne garantit pas un droit de recours effectif opposable aux autorités américaines. Les droits fondamentaux des personnes dont les données personnelles sont transférées ne sont ainsi pas garantis.

Des changements sont sans doute possibles du côté du texte du Privacy Shield lui-même (des discussions entre le département du commerce des Etats Unis et la Commission Européenne viennent d’être lancées), mais à quelle vitesse ces changements pourront-ils intervenir avec les élections américaines ? De nombreuses voix s’élèvent déjà pour demander l’ouverture d’un grand chantier concernant une refonte profonde des lois régissant les données aux états unis arguant que les textes actuels sont très anciens en rapport avec la vitesse d’évolution actuelle de la technologie.

***

Impact pour les entreprises Européennes

annulation du privacy shield-1-2Cette décision fait voler en éclat le cadre qui permettait aux entreprises et aux administrations Européennes de transférer légalement des données personnelles hors du périmètre protégé par le RGPD.

Les entreprises ayant transféré leurs données vers l’une des +5000 solutions américaines (applications SAAS, hébergeurs ou autres services cloud) signataires du Privacy Shield, sont depuis la mi-juillet dans l’illégalité et doivent se mettre à la recherche de solutions leur permettant de revenir rapidement dans le cadre légal. Rappelons que du côté légal, la CJUE n’a prévu aucun délai pour permettre la « mise en conformité » et que le texte du GDPR prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du revenu mondial d’une entreprise.

Quelles sont du coup les options possibles ?

* Renégocier les clauses du service – Cette première option consiste à renégocier les clauses accompagnant les transferts de données avec les fournisseurs de service. Dans le meilleur des cas, le prestataire s’engagera à être transparent concernant les demandes du gouvernement américain.

Certains éditeurs tels que Microsoft affichent en effet ainsi leur volonté de se battre pour faire évoluer la loi en challengeant les ordonnances d’accès aux données et en réclamant le droit d’informer leurs clients. Mais quel éditeur peut aller devant la justice américaine pour chaque client ?

Même avec la garantie de notification ou d’information offerte par ce genre de clauses, le problème n’est pas totalement réglé car ce que la CJUE pointe est une limite du système juridique américain concernant le droit de recours devant être garanti aux propriétaires des données personnelles, et pas seulement une question de notification.

Au final, quoi qu’en disent vos fournisseurs américains, en l’état des lois, cette option ne permet pas de revenir dans la légalité avec un calendrier maîtrisé.

- - -

* Seconde option -- Vous êtes nombreux à penser vous adresser à vos fournisseurs américains pour leur demander de localiser leurs stockages en Europe. L’idée est séduisante puisqu’elle consiste à garder le service existant et à demander au cloud de relocaliser les données dans un data center du même fournisseur mais situé en Europe.

Sauf que juridiquement la localisation des datacenters en Europe, qu'il s'agisse d'AWS, Microsoft, Google ou autres, ne protège en rien les données d'une requête judiciaire américaine (clauses d’extraterritorialité contenues dans le Patriot Act et Cloud Act).

- - -

annulation du privacy shield-1-3* Du coup, la meilleure option consiste bel et bien à faire un double changement : rapatrier à la fois données et traitements vers des fournisseurs 100% européens.

Que votre motivation première soit de faire un acte militant de « gouvernance numérique européenne » ou pas, la première étape va consister à trouver une solution européenne applicative de remplacement. Plusieurs initiatives de cartographies ont été lancées pour identifier ces « solutions de confiance souveraines » dont celle d’ECA (European Champions Alliance).

Il conviendra ensuite de préparer la migration des données vers ce nouveau service et selon les volumétries concernées, il peut s’agir de projets assez longs. Être accompagné par des équipes et des acteurs expérimentés apporte une sécurité supplémentaire concernant votre capacité à garder ce projet sous contrôle tout en assurant la sécurité de vos données

- - -

Et maintenant ?

Une chose est claire, la première action à mener immédiatement c’est de lancer, dans l’entreprise, un groupe de travail sur le sujet ayant pour objectif de mettre en place un plan d’action permettant de revenir dans le cadre légal.

A défaut de solution rapide, les communications faites par ce groupe de travail permettront de démontrer que vous êtes conscients de la problématique et actifs.

***

A lire aussi :


 

Topics: Sauvegardes, SouverainetéNumérique


Laissez un commentaire

Subscribe to our newsletter

Search The Blog:

    Les plus populaires

    Articles par tag

    Voir tout
    news.atempo.comhubfsMIRIA_Logo COUL CMJN