Sécurité

Annulation du Privacy Shield : quels impacts pour les entreprises ?

Annulation du Privacy Shield : quels impacts pour les entreprises ?

La protection des données personnelles est un sujet épineux qui suscite de vifs débats depuis quelques années. RGPD, Cloud Act, Privacy Shield, les réglementations et les lois se succèdent pour garantir la sécurité et la confidentialité des données des utilisateurs.

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a annulé le Privacy Shield car elle estime qu’il ne respecte pas le niveau de sécurité exigé par le règlement général sur la protection des données (RGPD) et que les données des citoyens européens sont exposées à un risque de sécurité si elles sont traitées et archivées aux États-Unis.

Depuis 2016, cet accord entre les États-Unis et l’Europe instaurait une base juridique permettant aux entreprises américaines d’échanger des données avec l’Europe. Quelles étaient les mesures du Privacy Shield et quelles sont les conséquences de sa suppression pour les entreprises européennes ?

Qu’est-ce que le Privacy Shield ?

Approuvé en juillet 2016, le Privacy Shield (ou bouclier pour la protection des données) est un accord entre l’Europe et les Etats-Unis permettant aux entreprises américaines de transférer légalement aux Etats-Unis les données personnelles de leurs utilisateurs européens. Ce dispositif remplace le Safe Harbor, un « ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne » (CNIL).

Dans un monde dominé par les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), la majorité des entreprises du numérique est américaine et la quasi-totalité de ces entreprises (plus de 5000) ont eu recours au Privacy Shield afin de gérer et d’exploiter les données personnelles des citoyens de l’Union européenne (identité, comportement en ligne, données financières ou médicales, géolocalisation, etc.).

Contrairement aux Etats-Unis, l’utilisation des données personnelles est strictement réglementée en Europe. Ce « bouclier de protection de la vie privée » constituait donc une sorte de dérogation qui permettait aux entreprises américaines d’utiliser les données personnelles des Européens, si elles s’engageaient à respecter certaines mesures.

Les citoyens européens pouvaient notamment contacter directement les entreprises afin de faire valoir leurs droits. Celles-ci disposaient d’un délai de 45 jours pour leur répondre. Le Privacy Shield garantissait :

  • le droit à l’information et à la divulgation,
  • le droit d’opposition au traitement de ses données,
  • le droit de rectifier des données inexactes,
  • le droit à la suppression des données,
  • le droit de déposer une plainte ou un recours.

Pourquoi l’UE annule-t-elle le Privacy Shield ?

Le 16 juillet dernier, la Cour de justice de l’Union européenne a pris la décision d’annuler le Privacy Shield car elle considère qu’il n’est pas suffisant pour protéger les données personnelles des citoyens européens contre la NSA (National Security Agency ou « Agence nationale de la sécurité ») et les divers programmes de surveillance américains. La même chose s’était produite pour le Safe Harbor, ancêtre du Privacy Shield, également annulé car il n’était pas considéré comme suffisamment protecteur.

Dès son adoption, le Privacy Shield avait été critiqué par Max Schrems, un militant autrichien de la confidentialité des données personnelles, et par le G29, le groupe de travail qui rassemble les autorités de protection de la vie privée en Europe, qui le considéraient insuffisant. Cependant, selon la Business Software Alliance (association réunissant de grands fabricants de logiciels tels que Microsoft et Adobe, et qui lutte contre la contrefaçon des logiciels), le Privacy Shield était « l’un des rares moyens fiables de transférer des données de l’autre côté de l’Atlantique ».

C’est d’ailleurs Max Schrems, juriste et fervent défenseur de la vie privée, parti en croisade pour la protection des données personnelles contre les géants du web, qui est à l’origine de l’invalidation du Safe Harbor en 2015.

En mai 2018, l’entrée en vigueur du RGPD permet de renforcer la politique européenne pour la protection des données personnelles, mais son application rend les accords internationaux sur la protection des données plus compliqués. C’est parce que l’Union européenne estime que le Privacy Shield ne règle pas les problèmes de la confidentialité des données de manière durable et dans le respect du RGPD qu’elle a déclaré son invalidation.

Quelles sont les conséquences pour les entreprises ?

Depuis l’annulation du Privacy Shield, tout transfert de données vers les Etats-Unis est considéré comme illégal. De ce fait, toutes les entreprises européennes qui exportent des données sur le sol américain sont dans l’obligation de trouver une solution alternative, autrement dit de travailler avec des entreprises européennes, gérant les données en Europe. Même chose pour les organisations dont les prestataires ou les partenaires transfèrent ou hébergent leurs données aux Etats-Unis. Assurez-vous donc de bien savoir où sont hébergées vos données.

Désormais, les entreprises européennes qui souhaitent transférer des données dans des pays hors de l’Union européenne doivent, selon le RGPD, faire signer des clauses contractuelles avec les pays concernés. Ces clauses contractuelles encadrent les transferts de données personnelles hors de l’Union européenne et garantissent que les conditions de transfert sont en adéquation avec le RGPD. Cependant, aucun organisme de contrôle ne vérifiera la sécurité des données dans le pays destinataire, c’est à l’entreprise qu’incombe cette responsabilité.

Evidemment, le risque existe, notamment avec le Cloud Act qui permet aux instances judiciaires américaines de récupérer les données des entreprises américaines du numérique dans le cadre d’une enquête. Ainsi, afin de maintenir la souveraineté de leurs données, les entreprises européennes doivent éviter de collaborer avec des prestataires soumis au Cloud Act.

Enfin, les entreprises européennes ont un devoir d’information envers les personnes dont les données sont transférées en dehors de l’Union européenne. Son non-respect peut entraîner des sanctions.

Comment protéger vos données ?

L’un des meilleures solutions pour éviter le problème d’exportation de données hors de l’Europe, c’est de collaborer avec des entreprises et des prestataires de services français ou européens qui hébergent vos données sur le territoire français ou dans un pays européen.

En choisissant Wimi, vous faites confiance à une entreprise française qui considère que la sécurité, la confidentialité et la souveraineté de vos données sont des priorités.

New call-to-action