Pourquoi il est nécessaire de respecter les lois ?

Co-écrit par Amandine Castagne, Yassine Elqotbi et Daniel Frolov.

Confidentialité et motivations

A lire aussi : Quand la loi est injuste la désobéissance est un droit ?

Depuis 2018, le GDPR a versé beaucoup d’encre. Néanmoins, peu de gens connaissent tous les aspects couverts par ce règlement récent. Pour beaucoup, le RGDP se limite à la petite fenêtre qui demande à accepter les cookies lorsqu’ils arrivent sur un nouveau site Web. L’une des autres limites pour les entreprises est la gestion, le traitement et le stockage des données, et c’est à ce dernier point que le bouclier de protection des données de l’UE et des États-Unis entre en vigueur.

Lire également : Comment arrêter les cours du CNED ?

Le RGPR réglemente la sécurité du stockage des données personnelles des citoyens européens. L’une des limites est la localisation des données. Elles ne peuvent être stockées en dehors de l’UE sans respecter certaines règles très précises et particulièrement contraignantes pour les entreprises. C’est à ces raisons pourquoi l’Accord du Bouclier de protection des données est né le 12. Juillet 2016 pour remplacer l’Accord « Safe Harbor ». L’objectif de cet accord était de faciliter l’envoi de données européennes aux États-Unis par le biais d’un mécanisme d’autocertification. Une fois que les entreprises ont été inscrites dans ce cadre juridique, elles peuvent transférer des données aux États-Unis beaucoup plus facilement.

Suite à deux plaintes déposées par la High Court of Ireland par Maximillian Schrems, une militante de la protection de la vie privée, l’affaire a été transmise à la Cour européenne de justice (Cour de justice européenne). Cette deuxième plainte a pris fin par l’invalidation du bouclier de protection des données. Le 16 juillet 2020, la Cour de justice de la Cour de justice des Communautés européennes a annulé l’accord sur la protection de la vie privée dans l’arrêt Schrems II au motif que les niveaux de protection convenus n’étaient pas suffisants.

La principale raison de cette invalidation est en fait l’accès illimité fourni par le gouvernement américain aux données des sociétés privées situées sur leur territoire. Par conséquent, dans la pratique, l’accès du gouvernement des États-Unis a préséance et rend la protection de la vie privée partiellement limitée. les conditions initialement fixées n’ont donc pas été remplies, ce qui a conduit la Cour à annuler sa validité.

Conséquences de l’invalidation

Dans cette décision, la Cour accorde la priorité à la protection de la vie privée des citoyens européens par rapport aux intérêts économiques soutenus par le bouclier de protection des données.

En effet, la Cour de justice européenne est préoccupée par l’intrusion des autorités publiques américaines dans la vie privée des citoyens. Deux fois apparaît derrière cette invalidation :

  • D’ une part, la Cour de justice européenne espère donner instruction aux pays tiers d’abandonner leur législation en matière de contrôle en les encourageant à adopter des dispositions au niveau requis par le RGDP.
  • D’ autre part, elle impose des restrictions supplémentaires aux transferts effectués par les entreprises qui stockent des données personnelles des Européens afin de s’assurer qu’elles ne tombent pas entre les mains de programmes de surveillance massifs à la suite de la Loi sur la surveillance du renseignement (FISA).

Ainsi, les entreprises qui partagent leurs données avec des partenaires américains, qui signent le bouclier de protection des données, sont illégales depuis la mi-juillet et doivent rechercher des solutions qui leur permettent de revenir rapidement à la base juridique. La Cour de justice européenne n’a pas de délai pour la mise en conformité et le texte du RGPR prévoit des pénalités allant jusqu’à 20 millions d’euros, soit 4% du revenu global d’une entreprise.

Les géants informatiques américains sont très préoccupés par cette mesure, la question se pose quant à la possibilité même de continuer à fournir leurs services aux Européens. Yvonne Cunnane, responsable de la protection des données chez Facebook, commente : « Nous ne voyons pas comment, dans ces circonstances, Facebook peut continuer à fournir des services Facebook et Instagram dans l’UE » et menace de retirer ses services à plus de 400 millions d’utilisateurs européens. Dans les nouvelles il y a pour Récemment, des questions se sont posées concernant l’hébergement des données de Doctolib sur AWS, signataire du service cloud d’Amazon Privacy Shield, ainsi que sur Health Data Hub, la base de données qui stocke les informations de santé françaises sur Microsoft Azure. Néanmoins, le Conseil d’État a validé le partenariat avec Doctolib pour la gestion actuelle des accords de vaccination Covid-19 et a également validé l’utilisation du Health Data Hub et demandé des garanties supplémentaires.

Ainsi, l’augmentation de la vie privée des Européens à la suite de cette invalidation du Bouclier de protection des données entraîne une première conséquence négative de nature juridique.

L’ autre conséquence négative est de nature économique. Wilbur Ross, ancien secrétaire au Commerce des États-Unis, a déclaré : « Nous espérons limiter les conséquences négatives pour les relations économiques transatlantiques de 7 100 milliards de dollars qui sont vitales pour nos citoyens, nos entreprises et nos gouvernements ».

Vie privée offrait un moyen bon marché aux entreprises qui cherchent à faire des affaires de l’autre côté de l’Atlantique. Plus de 5000 entreprises ont participé à ce bouclier de protection des données, dont 70% de petites et moyennes entreprises (PME), et elles ont donc déjà investi de l’argent pour se conformer à ce bouclier, dont un montant d’environ 1000€ par an. La nullité du bouclier de protection des données peut entraîner certains de ces investissements par des entreprises et des PME en particulier, qui n’ont pas les ressources nécessaires pour utiliser des outils juridiques plus complexes.

Selon la Chambre de commerce des États-Unis, 295 milliards de dollars ont été liés au commerce transatlantique des services numériques en 2018, l’UE ayant exporté 107 milliards de dollars aux États-Unis et 188 milliards de dollars. USD. L’échange de services numériques ne fait qu’augmenter avec le temps, alors que nous évoluons vers un monde de plus en plus numérique et que les entreprises, en particulier les PME, utilisent les services cloud américains. Engagements signant la Garde la vie privée des deux côtés de l’Atlantique provenant de secteurs qui ne sont pas nécessairement l’informatique (p. ex. les transports et la santé) sera également compromise dans leurs activités.

****1 Excédent commercial US-UE dans les principaux services numériques, divisé par filiale (2018)

Outre les problèmes administratifs juridiques et économiques causés par l’invalidation du bouclier de protection des données, la question se pose de la viabilité des transferts de données vers d’autres pays tiers, en particulier la RPC. En tant que tel, depuis décembre 2020, la Commission irlandaise de la protection des données s’intéresse beaucoup à Tiktok. Il soupçonne l’utilisation du non-respect du RGDP en transférant certaines des données personnelles des citoyens européens vers la Chine.

Il est donc clair que les entreprises doivent s’adapter rapidement au nouveau contexte des transferts de données vers les États-Unis. À cette fin, EDPB propose ( Comité de protection des données) un certain nombre de solutions pour être cohérentes avec le RGPR : Recommandations 01/2020 et 02/2020 :

Solutions et bonnes pratiques

Les bonnes pratiques, à noter conformément aux règles, sont les suivantes :

  1. Cartographie des transferts de données : L’entité doit être en mesure de cartographier les transferts de données à caractère personnel et d’identifier les pays tiers vers lesquels ces informations sont envoyées.
    • Agir au cas par cas et identifier toute la chaîne  : chaque transfert est étudié individuellement. La gestion des données du fournisseur et du sous-traitant doit également être vérifiée.
    • Réduireau minimum les données à transférer : l’exportateur de données doit veiller au respect du principe de « minimisation des données » (données suffisantes, pertinentes et limitées)
  1. J’ identifie. Instruments de transfert utilisés :
    • Cas 1 « Pays ou région suffisants » : aucune autre mesure n’est requise si la région fait toujours partie de la « liste des décisions de la Commission européenne sur l’adéquation du niveau de protection ». La carte du site Web de la CNIL donne un aperçu rapide de la liste des pays appropriés :
    • Cas 2 « Pays ou zone insuffisants et transferts réguliers et répétés » : l’article 46 du RGPR contient un certain nombre d’instruments de transfert contenant des « garanties appropriées » pour le transfert de données. D’autres mesures peuvent s’avérer nécessaires pour garantir que l’entreprise bénéficie d’un niveau de protection similaire.
    • Cas 3 « transferts occasionnels et non répétés »  : l’article 49 du RGDP présente des cas d’exception.
  1. Évaluer l’instrument de transfert par rapport aux lois ou pratiques du pays tiers  : il est nécessaire de vérifier que la législation du pays n’affecte pas le niveau de protection et de transfert d’informations.
    • La recommandation 02/2020 du CEPD sur les garanties essentielles européennes pour les mesures de surveillance permet d’évaluer les garanties essentielles en matière de protection des données.
    • Référence aux lois et réglementations en matière de protection des données dans le monde : Manuel des lois du monde sur la protection des données de DLA Piper
    • Évaluation des mesures de protection et des risques : Une bonne pratique consiste à reformuler chaque exigence de sécurité identifiée par la DGPE et à l’aligner sur le contexte de votre entreprise. Ces exigences se rapportent aux plans et procédures existants et définis dans les plans et procédures.
  1. Identifier et adopter des mesures supplémentaires  : si aucune mesure ne satisfait aux exigences de l’UE, le transfert doit être suspendu et achevé.
    • Différences entre les États des États-Unis : Les niveaux de protection des données varient selon les États des États-Unis. Par exemple, la California Consumer Privacy Act (CCPA) en Californie est plus proche des exigences du RGPR et peut aider à se conformer aux exigences.
  1. Déter/veiller à ce que des mesures supplémentaires aient été introduites  : (voir article 46 du RGDP)
  2. Réévaluer périodiquement le niveau prévu de protection des données à transférer vers un pays tiers  : en cas de nouveaux développements susceptibles d’affecter le niveau de protection des données à caractère personnel transférées, il est nécessaire de réévaluer les mesures de protection.
    • N’ oubliez pas de tracer  : nous devons conserver la preuve du travail accompli pour signaler à la CNIL.

Il est donc évident que l’invalidation du Bouclier de protection des données par la Cour de justice européenne pour mieux faire respecter le RGPR auprès des autorités américaines est une bonne nouvelle pour la protection des données personnelles des citoyens de l’UE. Mais cela est dû à des conséquences économiques négatives, en particulier pour les PME des deux côtés de l’Atlantique.

Bien qu’il existe d’autres solutions recommandées par la Cour de justice européenne pour remédier à l’invalidation du bouclier de protection des données, elles sont plus coûteuses et plus complexes à mettre en œuvre. En outre, GDPR Ces solutions sont fondamentalement incertaines qu’elles sont incompatibles avec la loi américaine sur la surveillance. Mais les négociations ont été bloquées en raison de l’élection présidentielle américaine pourrait bien conduire à une nouvelle protection de la vie privée.

L’ Europe, préoccupée par le Cloud Giants et leur niveau de protection des données, lance le projet Gaia-X. Il a été initié par la France et l’Allemagne et vise à créer une infrastructure européenne de données. L’objectif est de développer un cloud européen conforme à la norme GDPR, contrairement aux opérateurs de cloud américains et chinois.