mars 1, 2021

Mercatoshow.com

Monde des nouvelles complet

Transfert de données aux États-Unis après l’arrêt Schrems II – devons-nous abandonner Microsoft, les services Google? – Revue des médias

Le 16 juillet 2020, la Cour de justice de l’Union européenne a rendu un arrêt qui a fait secouer la tête (et pas seulement) à tout le monde européen de la protection des données personnelles. Conformément au dispositif de l’arrêt dans l’affaire Schrems II, le soi-disant bouclier de protection des données, c’est-à-dire la décision de la Commission européenne déclarant que les États-Unis garantissent un niveau approprié de protection des données à caractère personnel transférées depuis l’Europe, et que Les entrepreneurs de l’UE utilisant les services de fournisseurs américains, ainsi que les personnes concernées elles-mêmes, peuvent se reposer tranquillement. Avec la publication de l’arrêt, la CJUE a privé la base susmentionnée de dizaines, sinon de centaines, voire de milliers d’administrateurs de données à caractère personnel, rendant illégale le transfert d’innombrables quantités de données à ce moment-là. Et maintenant? Y a-t-il une alternative? Ou peut-être devrions-nous arrêter de coopérer avec les entités américaines?

Lorsque l’on commence à discuter de cette affaire, il convient de mentionner que l’arrêt de la CJUE dans l’affaire Schrems II, outre l’annulation du bouclier de protection des données, a abordé deux questions sensibles. Tout d’abord, il a été souligné que le niveau insuffisant de protection des données personnelles envoyées aux États-Unis résulte de la réglementation américaine régissant les fournisseurs de services de communications électroniques, qui obligent ces entités à divulguer toutes les données (y compris les données personnelles) aux autorités publiques. La Cour a estimé que cela était inacceptable du point de vue des normes européennes, imposées par les règlements de l’UE, en particulier le RGPD. La deuxième thèse non moins importante fait référence aux clauses contractuelles types ( Clauses contractuelles types). SCC est un ensemble de clauses contractuelles approuvées par la Commission européenne. Leur utilisation par le responsable du traitement en relation avec un sous-traitant (le soi-disant sous-traitant) extérieur à l’Espace économique européen a jusqu’à présent fourni une base juridique solide et, en même temps, une sécurité en ce qui concerne le transfert de données en dehors de l’EEE. L’arrêt Schrems II ne nie pas l’utilisation ultérieure de cet instrument, mais souligne qu’il ne s’agit pas d’un outil suffisant et que le transfert de données à caractère personnel en dehors de l’EEE nécessite des mesures supplémentaires pour garantir un niveau adéquat de sécurité des données des résidents de l’Union européenne.

READ  N26: une offre payante de 4,90 € pour le grand public et les indépendants

Pensez-vous que vous ne transférez pas de données aux États-Unis? Rien de plus faux!

Bien que l’arrêt Schrems II se réfère généralement à la question du transfert de données en dehors de l’EEE, la question la plus émouvante est le transfert vers les États-Unis. De nombreux entrepreneurs peuvent maintenant se sentir en sécurité, pensant qu’ils n’ont aucun contact commercial avec une entreprise américaine. Malheureusement, ce sentiment de sécurité est trompeusement trompeur, car la grande majorité des entités commerciales utilisent sans aucun doute des outils fournis par Google, Microsoft ou Facebook dans leurs activités. Ceci, à son tour, est inextricablement lié au traitement de quantités importantes de données personnelles de clients (y compris potentiels), de sous-traitants ou d’employés. D’autre part, le fait que les géants susmentionnés aient leur siège social aux États-Unis équivaut au fait qu’avec la création d’une page de fans d’entreprise sur FB ou l’utilisation de Google Analytics, les données peuvent être transférées aux États-Unis. Il est également important que les questions à l’étude incluent non seulement le transfert in extenso des données personnelles, mais également la situation dans laquelle une entité d’un pays tiers n’a accès qu’à nos informations. Un tel état de choses se produit, entre autres, contre les services cloud populaires.

Et quoi maintenant?

À la suite de l’arrêt Schrems II et de la confusion environnementale généralisée qui en résulte, il y a un certain nombre d’avis et de recommandations émis par les autorités de contrôle des pays européens. Et bien que le président de l’Office pour la protection des données personnelles reste muet sur cette question pour le moment, il convient de prêter attention à la nature des déclarations d’Allemands ou d’Irlandais, qui recommandent ou même ordonnent la suspension de la transmission de données en dehors de l’EEE. Les Suisses, en revanche, bien qu’ils ne soient pas juridiquement liés par ladite décision de la CJUE, déclarent dans leur position officielle que le bouclier de protection des données n’offre pas un niveau de protection adéquat pour le transfert de données personnelles de la Suisse vers les États-Unis. Les États et les transferts fondés sur cet instrument devraient être suspendus jusqu’à ce qu’un nouveau mécanisme juridique soit introduit à cet égard.

READ  Accor a étudié un mariage avec Intercontinental English

Malgré les diverses suggestions et lignes directrices présentées récemment par la doctrine et les praticiens, le document le plus attendu de ces derniers mois s’est avéré être les recommandations officielles émises le 10 novembre 2020 par le Conseil européen de la protection des données. Le titre exact de l’étude EDPB est “Recommandation 01/2020 sur des mesures complémentaires garantissant la conformité du transfert avec le niveau européen de protection des données à caractère personnel”ce qui indique parfaitement son essence. Les recommandations sont une sorte d’instruction à agir lorsqu’il s’avère que nous traitons déjà le transfert de données personnelles en dehors de l’EEE ou que nous prévoyons un tel transfert. Dans l’introduction du document d’orientation, le CEPD souligne en particulier que les clauses contractuelles types ne sont “pas dans le vide” et devraient constituer une mesure de sécurité, mais pas la seule. Bien que le Conseil ne fournisse pas de recette toute prête pour laquelle des outils spécifiques de sécurité des données sont appropriés, il indique six étapes grâce auxquelles chaque administrateur pourra évaluer individuellement ses besoins à cet égard.

Pas à pas

La première étape, selon l’EDPB, est d’analyser et d’évaluer «votre transfert». Cela signifie la nécessité de décomposer une opération spécifique en facteurs premiers et de déterminer où sont exactement dirigées les données dont nous sommes l’administrateur, si leur champ d’application est limité et adapté à la finalité pour laquelle ces données sont transférées et traitées dans un pays tiers. et surtout si nous sommes en mesure de leur assurer un niveau de sécurité approprié. La deuxième étape consiste à vérifier l’instrument juridique sur lequel repose la légalité du transfert de données à caractère personnel. Le catalogue de ces bases est prévu au chapitre V du RGPD et énumère, entre autres, une décision pertinente de la Commission européenne. La troisième étape consiste à contrôler les réglementations ou pratiques en vigueur dans le pays tiers et à déterminer si elles n’affectent pas l’efficacité des mesures de sécurité appliquées à un transfert spécifique de données à caractère personnel. La raison de la création de ce point est la législation américaine, sur la base de laquelle les pouvoirs publics ont accès non seulement aux données créées aux États-Unis, mais aussi aux données provenant d’autres pays, y compris l’Europe. Selon le contenu des recommandations, il s’agit d’une circonstance qui ne peut pas être approuvée et l’évaluation de la législation locale, la destination du transfert, doit être minutieusement effectuée et documentée à cet égard. La quatrième étape se concentre sur l’identification et l’adoption de mesures complémentaires appropriées dans le cas où l’étape précédente présente des risques découlant des dispositions légales examinées. À son tour, la cinquième étape concerne les activités formelles qui y sont liées. A titre d’exemples de mesures, tout d’abord, le cryptage (avec la clé de décryptage côté administrateur) et l’anonymisation des données transférées sont mentionnés. Cependant, aucune de ces mesures ne peut être appropriée dans certaines circonstances. Dans ce cas, l’EDPB recommande de suspendre ou de ne pas transférer. Dans la dernière étape, nous trouvons une recommandation pour une surveillance continue du transfert de données vers des pays tiers et son évaluation progressive, qui peut changer en raison d’un changement de statut factuel ou juridique.

READ  Uber Eats: elle pensait avoir commandé gratuitement depuis mars, son frère payait sans le savoir

Le monde après Schrems

Si l’activité de l’EDPB doit être appréciée, il convient également de préciser qu’elle n’apporte pas grand-chose de nouveau au statut juridique actuel, se référant à tout ce que nous savons déjà. Néanmoins, ils seront certainement un balisage utile en prévision du mouvement de la Commission européenne, qui a le pouvoir de créer un nouvel instrument pour remplacer le bouclier de protection des données, fébrilement attendu par toute l’Europe.

Auteur: conseiller juridique Robert Nogacki

Cabinet d’avocats Skarbiec spécialisé en protection de la propriété, conseil stratégique aux entrepreneurs et gestion de crise.

Newseria n’est pas responsable du contenu et des autres matériels (par exemple infographies, photos) fournis dans le “Bureau de presse”, dont les auteurs sont des utilisateurs enregistrés tels que des agences de relations publiques, des entreprises ou des institutions publiques.