Le Privacy Shield et la protection des données personnelles

par
5
Consulter un avocat spécialisé en RGPD

Sommaire

  1. Le cloud computing : comment ça marche ?
  2. Du « Safe Harbour » au « Privacy Shield »
  3. Concrètement, qu’est-ce que ça change pour les entreprises ?
Consulter un avocat spécialisé en RGPD

En France, le cloud computing a fait une percée importante depuis quelques années. Selon une étude CloudIndex menée par Pierre Audoin Consultants (PAC), un tiers des entreprises ou établissements publics déclarent aujourd’hui recourir à des services de cloud computing.

Les principales motivations affichées par ces entreprises sont l’augmentation de la flexibilité et la réduction des coûts. A l’inverse, le principal obstacle reste la crainte liée à la sécurité et notamment à la localisation des données.

Le cloud computing : comment ça marche ?

 

Qu’est-ce que le cloud computing ?

Le cloud computing permet un accès omniprésent à un ensemble de ressources informatiques comme des applications ou des espaces de stockage.

Contrairement à ce que son nom laisse entendre, le cloud n’est pas une entité nébuleuse et immatérielle : les données déposées sur le cloud sont stockées physiquement dans des Datacenter, et gérées par des entreprises tierces.

Une entreprise française qui utilise les services d’entreprises américaines comme Dropbox ou Google drive verra ainsi ses données stockées au Etats-Unis, du moins en partie. Cela signifie que ces données seront soumises aux standards de protection américains.

Or ces standards ne sont pas les mêmes que ceux garantis au sein de l’Union Européenne.

Quelle est la réglementation européenne en matière de protection des données personnelles ?

En Europe, il existe une réglementation qui garantit un niveau élevé et uniforme de protection des données. Toute personne bénéficie par exemple d’un droit d’accès et de rectification de ses données personnelles ainsi que du droit de s’opposer au traitement de ses données.

En principe, il est interdit de transférer des données à caractère personnel hors de l’UE, à moins que le pays destinataire n’assure un degré de protection suffisant.

Plusieurs outils permettent de garantir ce degré de protection :

Les Binding Corporate Rules (BCR)

Il s’agit d’un code de conduite définissant la politique en matière de transfert de données personnelles depuis l’Union Européenne vers un pays tiers, au sein d’une même entreprise ou d’un même groupe. Les BCR doivent être validées par la Commission Nationale de l’Informatique et des Libertés (CNIL) qui évalue leur contenu et s’assure qu’elles offrent un niveau de protection suffisant.

Les clauses contractuelles types

Ce sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.

La Commission Européenne peut également passer des accords avec certains Etats, fixant un cadre qui assure un degré suffisant de protection des données personnelles. C’est ce qui a été fait avec le « Safe Harbour », suivi du « Privacy Shield » pour les Etats-Unis.

 

Du « Safe Harbour » au « Privacy Shield »

 

L’invalidation du Safe Harbour

Le Safe Harbour est un accord négocié en 2001 entre les autorités américaines et la Commission européenne établissant un certain nombre de principes de protection des données personnelles.

Les entreprises américaines devaient y adhérer pour pouvoir recevoir des données personnelles provenant de l’Union Européenne.

Cet accord a cependant été invalidé par la Cour de Justice de l’Union européenne (CJUE) dans un jugement du 6 octobre 2015.

La CJUE avait été saisie d’une plainte de Maximilian Schrems. Ce citoyen autrichien estimait que suites aux révélations d’Edward Snowden concernant la surveillance de masse pratiquée par la NSA depuis l’adoption du Patriot Act en 2001, les Etats-Unis ne pouvaient être considérées comme offrant un degré de protection suffisant des données personnelles.

Suite à l’annulation du Safe Harbor, la Commission Européenne s’est donc empressée d’adopter un nouvel accord avec les Etats-Unis : Le Privacy Shield.

L’adoption du Privacy Shield

Le Privacy Shield est entré en vigueur le 1er août 2016. Comme avec le Safe Harbour, les entreprises américaines qui souhaitent héberger des données provenant de l’UE doivent être inscrites sur un registre tenu par l’administration américaine.

Outre les différentes garanties de fond, le Privacy Shield prévoit également la création d’un médiateur américain auprès duquel les plaintes européennes pourraient être portées.

Concrètement, qu’est-ce que ça change pour les entreprises ?

 

Si vous êtes une entreprise établie en France et que vous voulez transférer vos données aux USA, vous devez aujourd’hui effectuer une déclaration classique à la CNIL.

Parmi la liste des garanties encadrant le transfert vous choisirez « Privacy Shield », après avoir vérifié que l’entreprise en question est bien enregistrée auprès de l’administration américaine.

Le Privacy Shield ne garantit cependant pas une sécurité juridique optimale.

En effet, il évince ce qui était le cœur de l’arrêt de la CJUE invalidant le Safe Harbour : la surveillance de masse via la collecte de données des utilisateurs. Sa conformité aux exigences européennes est déjà remise en cause par certains (notamment par les CNIL européennes et par Maximilien Schrems). Il n’est donc pas exclu qu’il soit à son tour annulé par la CJUE.

Pour anticiper une telle annulation, il est toujours possible de recourir aux BCR et aux clauses types, dont l’utilisation n’a pas été remise en cause par le Privacy Shield!

La protection des données est également un enjeu majeur pour votre image de marque et votre croissance. Une étude réalisée par le CSA en janvier 2014 montre en effet que 81% des français se disent préoccupés par la protection de leurs données personnelles. Pour renforcer la confiance de vos clients, pensez à rédiger une charte des données personnelles !

Maxime

Écrit par

Maxime

Après avoir travaillé en finance à l'international puis dans la grande distribution en France, Maxime est devenu dirigeant d'entreprise. En contact avec de nombreux entrepreneurs, sa mission est de simplifier l'accès au droit grâce au numérique et favoriser le développement de l'entrepreneuriat en France.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier