1. Gestion
  2. Politique de confidentialité - RGPD
  3. Le Privacy Shield et la protection des données personnelles

Le Privacy Shield et la protection des données personnelles

Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD
Maxime Wagner
Écrit par Maxime Wagner
Cofondateur de Captain Contrat, Maxime a débuté en analyse de risque financier et a évolué sur des enjeux d'innovation dans la distribution. Il est diplômé de Centrale Lille et l'ESSEC.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

En France, le cloud computing a fait une percée importante depuis quelques années. Selon une étude CloudIndex menée par Pierre Audoin Consultants (PAC), un tiers des entreprises ou établissements publics déclarent aujourd’hui recourir à des services de cloud computing.

Les principales motivations affichées par ces entreprises sont l’augmentation de la flexibilité et la réduction des coûts. A l’inverse, le principal obstacle reste la crainte liée à la sécurité et notamment à la localisation des données.

 

 

Le cloud computing : comment ça marche ?

 

Qu’est-ce que le cloud computing ?

Le cloud computing permet un accès omniprésent à un ensemble de ressources informatiques comme des applications ou des espaces de stockage.

Contrairement à ce que son nom laisse entendre, le cloud n’est pas une entité nébuleuse et immatérielle : les données déposées sur le cloud sont stockées physiquement dans des Datacenter, et gérées par des entreprises tierces.

Une entreprise française qui utilise les services d’entreprises américaines comme Dropbox ou Google drive verra ainsi ses données stockées au Etats-Unis, du moins en partie. Cela signifie que ces données seront soumises aux standards de protection américains.

Or ces standards ne sont pas les mêmes que ceux garantis au sein de l’Union Européenne.

Quelle est la réglementation européenne en matière de protection des données personnelles ?

En Europe, il existe une réglementation qui garantit un niveau élevé et uniforme de protection des données. Toute personne bénéficie par exemple d’un droit d’accès et de rectification de ses données personnelles ainsi que du droit de s’opposer au traitement de ses données.

En principe, il est interdit de transférer des données à caractère personnel hors de l’UE, à moins que le pays destinataire n’assure un degré de protection suffisant.

Plusieurs outils permettent de garantir ce degré de protection :

Les Binding Corporate Rules (BCR)

Il s’agit d’un code de conduite définissant la politique en matière de transfert de données personnelles depuis l’Union Européenne vers un pays tiers, au sein d’une même entreprise ou d’un même groupe. Les BCR doivent être validées par la Commission Nationale de l’Informatique et des Libertés (CNIL) qui évalue leur contenu et s’assure qu’elles offrent un niveau de protection suffisant.

Les clauses contractuelles types

Ce sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.

La Commission Européenne peut également passer des accords avec certains Etats, fixant un cadre qui assure un degré suffisant de protection des données personnelles. C’est ce qui a été fait avec le « Safe Harbour », suivi du « Privacy Shield » pour les Etats-Unis.

 

Du « Safe Harbour » au « Privacy Shield »

 

L’invalidation du Safe Harbour

Le Safe Harbour est un accord négocié en 2001 entre les autorités américaines et la Commission européenne établissant un certain nombre de principes de protection des données personnelles.

Les entreprises américaines devaient y adhérer pour pouvoir recevoir des données personnelles provenant de l’Union Européenne.

Cet accord a cependant été invalidé par la Cour de Justice de l’Union européenne (CJUE) dans un jugement du 6 octobre 2015.

La CJUE avait été saisie d’une plainte de Maximilian Schrems. Ce citoyen autrichien estimait que suites aux révélations d’Edward Snowden concernant la surveillance de masse pratiquée par la NSA depuis l’adoption du Patriot Act en 2001, les Etats-Unis ne pouvaient être considérées comme offrant un degré de protection suffisant des données personnelles.

Suite à l’annulation du Safe Harbor, la Commission Européenne s’est donc empressée d’adopter un nouvel accord avec les Etats-Unis : Le Privacy Shield.

L’adoption du Privacy Shield

Le Privacy Shield est entré en vigueur le 1er août 2016. Comme avec le Safe Harbour, les entreprises américaines qui souhaitent héberger des données provenant de l’UE doivent être inscrites sur un registre tenu par l’administration américaine.

Outre les différentes garanties de fond, le Privacy Shield prévoit également la création d’un médiateur américain auprès duquel les plaintes européennes pourraient être portées.

Concrètement, qu’est-ce que ça change pour les entreprises ?

 

Si vous êtes une entreprise établie en France et que vous voulez transférer vos données aux USA, vous devez aujourd’hui effectuer une déclaration classique à la CNIL.

Parmi la liste des garanties encadrant le transfert vous choisirez « Privacy Shield », après avoir vérifié que l’entreprise en question est bien enregistrée auprès de l’administration américaine.

Le Privacy Shield ne garantit cependant pas une sécurité juridique optimale.

En effet, il évince ce qui était le cœur de l’arrêt de la CJUE invalidant le Safe Harbour : la surveillance de masse via la collecte de données des utilisateurs. Sa conformité aux exigences européennes est déjà remise en cause par certains (notamment par les CNIL européennes et par Maximilien Schrems). Il n’est donc pas exclu qu’il soit à son tour annulé par la CJUE.

Pour anticiper une telle annulation, il est toujours possible de recourir aux BCR et aux clauses types, dont l’utilisation n’a pas été remise en cause par le Privacy Shield!

La protection des données est également un enjeu majeur pour votre image de marque et votre croissance. Une étude réalisée par le CSA en janvier 2014 montre en effet que 81% des français se disent préoccupés par la protection de leurs données personnelles. Pour renforcer la confiance de vos clients, pensez à rédiger une charte des données personnelles !

 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier