Annulation du Privacy Shield : comment les entreprises européennes peuvent-elles continuer à échanger des données en toute sécurité ?

par | Sep 3, 2020 | Cyber-sécurité

REPÈRES 

Depuis le 16 Juillet 2020, il n’est plus possible de transférer des données hors UE vers les USA en se référant au Privacy Shield. Pour cause la CJUE, suite à l’affaire Schrems II, a invalidé l’accord du Privacy Shield, qui n’offrait pas aux utilisateurs Européens une transparence dans la gestion des données sur le sol américain, et une assurance forte de la sécurité de celles-ci vis-à-vis des possibles violations de données que permettent des lois telles que le Cloud Act, auxquelles sont soumis la majorité des entreprises et fournisseurs cloud public américains. (En savoir plus sur la décision complète ici.)

Cette décision soudaine, dans un contexte professionnel déjà marqué par la crise sanitaire du Covid-19, impose aux entreprises de réagir très rapidement pour ne pas se retrouver en situation d’illégalité dans les échanges des données avec leurs partenaires, clients ou fournisseurs cloud américains.

Quelles sont donc les possibilités auxquelles peuvent avoir recours les entreprises européennes dans l’immédiat ?

Qu’est-ce que le privacy shield ?

Entré en vigueur le 1er août 2016, le « Privacy shield » permettait aux entreprises Européennes de transférer des données vers les USA à d’autres entreprises soumises également à cet accord.

Le cadre du bouclier de protection des données UE-États-Unis a été conçu pour fournir aux entreprises des deux côtés de l’Atlantique un mécanisme leur permettant de se conformer aux exigences de protection des données lors du transfert. (En savoir plus sur la détermination d’adéquation.)

Le Privacy Shield offrait des avantages importants aux organisations basées aux États-Unis, ainsi qu’à leurs partenaires en Europe. Entre autres :

  • Les exigences des États membres de l’UE pour l’approbation préalable des transfertsde données sont soit supprimées, soit l’approbation sera automatiquement accordée; et
  • Les exigences de conformité sont clairement définies et rentables, ce qui devrait particulièrement profiter aux petites et moyennes entreprises.

Suite à la décision de la CJUE d’annuler l’accord qui encadrait le partage de données entre l’Europe et les États-Unis, c’est une grande vague d’incertitude et de questionnement qui se lève au sein des services informatiques et juridiques des entreprises européennes. Celles-ci sont dans l’obligation de trouver très rapidement une alternative pour continuer leurs activités avec les États-Unis.

Quelles sont les alternatives pour les entreprises européennes ?

Les entreprises ont la responsabilité de s’assurer que leurs interlocuteurs hors UE, appliquent une législation similaire à la législation européenne pour la protection des données. Si cela n’est pas le cas, l’interlocuteur à le devoir d’informer l’entreprise exportatrice des données de son incapacité à respecter la législation.

Les SCC

Bien que la CJUE ait invalidé l’accord du Privacy Shield, elle a par ailleurs confirmé la validité des clauses contractuelles types ou SCC (Standard Contractual Clauses). ( Voir Communiqué de presse )

C’est donc une première alternative pour les entreprises qui souhaitent poursuivre les échanges avec les USA. Les Clauses Contractuelles Types sont des modèles de contrats de transfert de données personnelles adoptées par la Commission européenne. Les modèles de clauses contractuelles types sont toujours d’actualité et peuvent être utilisées dans l’attente d’une prochaine mise à jour.

On distingue les Clauses Contractuelles Types encadrant les transferts

Ces clauses permettent encore aux entreprises européennes de partager légalement des données hors UE, notamment avec les USA. Cependant, avec les lois d’extraterritorialités américaines, rien ne garantit que ce sera toujours le cas les mois ou années à venir.

Le RGPD

Il reste à ce jour la meilleure protection juridique qui assure aux entreprises européennes la non-violation des données échangées hors EU vers les USA. Mais faut-il encore que les sociétés américaines acceptent de s’y référer également.

Lire aussi Les enjeux du RGPD face à l’utilisation croissante du cloud public

Et qu’en est-il de l’innovation technologique européenne ?

Une autre alternative, serait d’adopter des solutions de sécurité made in Europe, qui assurent :

  • Les échanges des données sensibles en toute confiance
  • Le travail collaboratif entre les interlocuteurs par voies sécurisées inter ou hors EU.
  • La protection des données avant même qu’elles ne soient stockées dans des cloud publics majoritairement américains.
  • La sécurité du transport et du partage des données
  • L’authenticité et l’intégrité des données partagées
  • Le contrôle d’accès aux données exclusif par le propriétaire de ces données.

A l’instar de notre solution de partage et stockage sécurisé PARSEC , l’Europe et plus précisément la France, ne manque pas de solutions innovantes permettant de maintenir la souveraineté des Etats et des entreprises. Aussi, ces solutions de plus en plus open source apportent la transparence, l’agilité et la mobilité que n’offrent pas des solutions propriétaires.

Sources

Cour de justice de l’Union européenne : La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

Privacy Shield Program Overview | Privacy Shield

Les Clauses Contractuelles Types de la Commision Européenne | CNIL

CNIL : Le privacy shield

InfoCuria : JUDGMENT OF THE COURT (Grand Chamber) – 16 July 2020

Par Parsec

Sur le même sujet