Annulation Privacy Shield

Suite à l’annulation du Privacy Shield, il y a 1 mois le 16 juillet 2020, quelles conséquences peut-on envisager ?
L’association de défense de la vie privée Noyb a déjà porté plainte contre 101 entreprises de l’EU.

https://noyb.eu/fr/101-plaintes-deposees-sur-les-transferts-ue-usa

Cette annulation conduit à penser que tous transferts vers les entreprises américaines relevant du Privacy Shield (Google, AWS, Microsoft…) sont désormais interdits.

Vous êtes juriste, DPI… comment voyez-vous l’impact de cette annulation ?

@celinem idéalement ne plus utilisé de service hébergé au USA (ou ayant une maison mère US) pour stocker des données personnelles.
Sinon, attendre de voir ce que vont donner les procés. :slight_smile:

Pierre

1 J'aime

Et ça je dirais que c’est une précaution à prendre depuis un moment… !

En ce qui me concerne aucun stockage distant.

Si cette annonce a fait étonnamment peu de vagues (peu d’articles sur ce sujet) au niveau du grand public, comment au niveau des entreprises, petites et grandes, cette annonce a été perçu.
Quelles conséquences pour les entreprises ?

Parce qu’au regard de cet arrêt tout transfert de données vers les USA est donc considéré comme illégal.
Il y a pas que le cloud qui est concerné mais aussi tout utilisation de services comme le pack Microsoft, les services Google comme GSuite, Gmail, G.Analytics…, la plupart des cookies de suivi sur les sites web, les informations stockées dans un CRM… (la liste est longue !) deviennent illégal.

En gros la fin du Privacy Shield est une bombe à retardement !

Un avis d’un DPO serait la bienvenue.

La FAQ du Comité Européen de Protection des Données du 24 juillet explique en des termes légèrement moins juridiques l’impact et les alternatives, voir cette traduction par la CNIL (ou l’original en anglais si vous préférez).

En résumé :

  1. soit il faut arrêter les transferts,
  2. soit il faut contacter un avocat et son service informatique pour s’assurer qu’on respecte le RGPD (puisqu’il y a une complémentarité entre les mesures techniques prises et les règles juridiques, je pense par exemple aux mesures de sécurité (techniques) des données), éventuellement en partie avec les CCT ou BCR (cf la FAQ) et/ou en essayant de faire valoir une dérogation (article 49 du RGPD),
  3. soit il faut notifier son autorité de contrôle (la CNIL en France) (cf la FAQ).

Je dis ça mais je ne suis pas juriste et en plus c’est vraiment au cas par cas.

Sinon une petite clarification juridique : il n’est pas illégal (dans l’absolu) de transférer des données personnelles vers les États-Unis, même maintenant avec l’annulation du Privacy Shield, c’est juste que les États-Unis ont perdu leur dérogation spéciale et se retrouvent désormais dans le « droit commun » des pays hors UE au regard du RGPD et cela demande donc une analyse technico-juridique plus poussée si on souhaite y faire des transferts.

Ou choisir des entreprises US qui sont conforme au RGPD. Elles fournissent généralement, à la demande de leurs utilisateurs ou clients, un document complet (data processing agreement / GDPR DPA) et signé par les deux parties.

Document attestant que cette entreprise US est bien en règle avec les mesures de la RGPD. Ainsi que les détails du processus de traitement des données importées par les utilisateurs de leur solution.

Merci pour vos réponses :slight_smile:

Le RGPD et le Privacy Shield sont 2 textes distincts.
L’un est une directive Européenne et l’autre un accord entre l’UE et les Etats-Unis qui autorise les transferts des données à caractère personnel de l’UE vers les États-Unis, sous condition de respecter certaines règles dont entre autre la protection, le consentement, la limitation… des données des européens.

Et si l’UE a décidé d’annuler le Privacy Shield c’est parce que justement cet accord ne respecte pas les exigences posées par le RGPD.
Et le RGPD n’est pas suffisant pour contrer le droit américain.

Vous voyez « l’embrouille », pour les entreprises US se disant être en conformité au RGPD ne suffit pas ou plus (ou sous certaines conditions : voir du côté des CCT, Clauses Contractuelles Types).
Comme vous le dîtes Sébastien, ca va vraiment être au cas par cas.
Annulation du Privacy Shield ! Quels impacts sur votre conformité au RGPD ?

Si l’annulation de cet accord implique que tout transfert (et pas seulement le stockage !) devient illégale, le simple fait d’envoyer un mail vers un compte Gmail devient interdit… et pour tous les services Google d’ailleurs mais aussi Microsoft, Apple, Adobe, AWS…
Pour reprendre le point 1 du résumé « arrêter les transferts » vers les US, c’est une bonne partie de nos services du quotidien qui s’arrêtent.

Prestataires, fournisseurs peuvent eux-mêmes transférer vers les USA, comment contrôler.
C’est faire porter un niveau de responsabilité bien lourd pour les petites et moyennes entreprises.

Sébastien, quand vous dîtes " il n’est pas illégal (dans l’absolu) de transférer des données personnelles vers les États-Unis, même maintenant avec l’annulation du Privacy Shield" je ne suis pas vraiment convaincue.
Même les CCT ou BCR posent problèmes puisque insuffisant pour contrer la primauté du droit américain :
Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaireC-311/18-DataProtection Commissioner contre Facebook Ireland Ltd etMaximillian Schrems

Je me suis peut-être mal exprimé, ce que je voulais dire est qu’il est possible de transférer des données personnelles vers les États-Unis au même titre que vers la Colombie ou l’Afrique du Sud à condition de bien examiner la législation en question et de mettre en place des mesures techniques et juridiques en conséquence. Après, je suis d’accord, il est compliqué de faire cette analyse sans moyens importants et sans avocat spécialisé, donc excluant de facto un grand nombre de petites entreprises.

Comme mesures techniques de protection, j’imagine qu’on peut par exemple être d’avis qu’utiliser les solutions Amazon pour du backup après chiffrement préalable robuste peut être acceptable. (IANAL)

La CNIL a une page listant des informations sur l’état de protection de chaque pays – pas tout à fait à jour puisque les É-U sont encore marqués comme « en adéquation partielle » en mentionnant le Pricacy Shield.

Merci Sébastien pour vos éclaircissements, j’en prend bonne note.
Pour le moment, cela peut être utile, même si ça me semble inabordable pour les petites et moyennes entreprises…

Mais ne pas oublier qu’avec l’extraterritorialité du droit américain, quelque soit les accords misent en place ils ne seront en aucun cas suffisants pour empêcher l’accès aux données par les autorités Américaines…

Vous proposez une solution technique, le chiffrement de bout en bout, et vous avez raison.
Mais - veuillez m’excuser si je vous semble provocatrice - tout dépend qui possède la clef.
Encore une fois le droit américain peut légalement, RGPD ou pas, demander l’accès à cette clef (si elle est possédée par un acteur US).
A moins d’avoir la clef de chiffrement chez un autre hébergeur, européen ou français.

Autre problème.
Si vous faîtes du stockage de données le chiffrement est possible, oui effectivement.
Mais si vous utilisez un service d’hébergement comme AWS (ou autres) pour y effectuer des traitements sur des données, le chiffrement est (pour le moment) impossible.
Pour effectuer les traitements, les données doivent être en clair.

Si le chiffrement est en partie une solution pour protéger nos données, cela n’est pas possible pour tous les services que nous utilisons… demandez donc aux utilisateurs de Gmail de chiffrer leurs messages (oups!).

A suivre !

Merci pour vos retours :slight_smile:

Proposé avec ❤ ️par Camille Roux