{"id":5954,"date":"2021-06-15T17:31:07","date_gmt":"2021-06-15T15:31:07","guid":{"rendered":"https:\/\/www.retarus.com\/blog\/fr\/max-schrems-verifiez-vos-prestataires-de-services"},"modified":"2024-05-07T19:41:24","modified_gmt":"2024-05-07T17:41:24","slug":"max-schrems-check-your-service-providers","status":"publish","type":"post","link":"https:\/\/www.retarus.com\/blog\/fr\/max-schrems-check-your-service-providers\/","title":{"rendered":"Max Schrems : v\u00e9rifiez vos prestataires de services"},"content":{"rendered":"
Le troisi\u00e8me \u00ab\u00a0Fireside-Talk\u00a0\u00bb de \u00ab\u00a0Privacy Provided\u00a0\u00bb avec le juriste autrichien et activiste de la protection des donn\u00e9es Max Schrems, ce matin, a \u00e9t\u00e9 consacr\u00e9e \u00e0 l’informatique d’entreprises et aux r\u00e9seaux. Selon Schrems, travailler avec des fournisseurs europ\u00e9ens est souvent la solution la plus facile, la plus s\u00fbre et la plus rentable pour les utilisateurs en mati\u00e8re de conformit\u00e9 au RGPD.<\/p>
Dans le pass\u00e9, le transfert de donn\u00e9es personnelles de l’Europe vers les \u00c9tats-Unis \u00e9tait possible en vertu de la loi sur la protection des donn\u00e9es gr\u00e2ce aux accords bilat\u00e9raux Safe Harbor et, plus tard, Privacy Shield. Toutefois, la Cour de justice de l’Union europ\u00e9enne a depuis d\u00e9clar\u00e9 ces deux accords invalides<\/a>, consid\u00e9rant que le niveau de protection des donn\u00e9es aux \u00c9tats-Unis n’est pas comparable \u00e0 celui de l’Europe. Depuis lors, de nombreuses entreprises europ\u00e9ennes ont \u00e9t\u00e9 contraintes d’avoir recours \u00e0 des clauses contractuelles types pour justifier un transfert de donn\u00e9es.<\/p> Selon Max Schrems, ces clauses contractuelles types (y compris les mises \u00e0 jour de juin 2021) sont toutefois nettement plus compliqu\u00e9es \u00e0 appliquer car, en principe, une \u00e9valuation au cas par cas doit \u00eatre effectu\u00e9e. N\u00e9anmoins, si l’entreprise qui re\u00e7oit les donn\u00e9es n’est pas un fournisseur de services de communications \u00e9lectroniques aux \u00c9tats-Unis, il devrait y avoir, en th\u00e9orie, moins de probl\u00e8mes en mati\u00e8re de confidentialit\u00e9. Pour illustrer son propos, Max Schrems a mentionn\u00e9 un cas concret. Par exemple, si le sid\u00e9rurgiste autrichien Voest transf\u00e8re des donn\u00e9es \u00e0 une filiale am\u00e9ricaine qui travaille uniquement l’acier sur son sol, le RGPD ne s’y oppose pas. Toutefois, il faut toujours garder \u00e0 l’esprit l’existence \u00e9ventuelle de sous-traitants impliqu\u00e9s aux \u00c9tats-Unis, qui font alors partie du domaine des communications \u00e9lectroniques.<\/p> Selon Max Schrems, il n’est pas toujours facile d’\u00e9valuer la situation des fournisseurs am\u00e9ricains dont le traitement des donn\u00e9es est g\u00e9ographiquement r\u00e9parti, comme c’est le cas dans les domaines de la messagerie \u00e9lectronique, de la s\u00e9curit\u00e9 ou de la fourniture de contenu. Cela soul\u00e8ve, entre autres, la question de savoir s’il s’agit d’un traitement de donn\u00e9es n\u00e9cessaire et indispensable qui est couvert par l’article 49 du RGPD<\/a>. Pour Max Schrems, la situation est pourtant tr\u00e8s claire : m\u00eame si les fournisseurs am\u00e9ricains de services dans le cloud exploitent leurs propres datacenters en Europe, cela ne prot\u00e8ge pas les donn\u00e9es qui y sont stock\u00e9es contre l’acc\u00e8s permis par la loi FISA. Tout simplement parce que cette loi n’a pas de limite g\u00e9ographique. Seules les donn\u00e9es auxquelles le fournisseur ne peut acc\u00e9der lui-m\u00eame sont s\u00fbres : par exemple, une sauvegarde chiffr\u00e9e stock\u00e9e dans le cloud et pour laquelle il n’y a pas d’acc\u00e8s local aux cl\u00e9s.<\/p> Max Schrems estime que le droit am\u00e9ricain et le droit europ\u00e9en sont diam\u00e9tralement oppos\u00e9s en mati\u00e8re de protection des donn\u00e9es. Pour l’essentiel, on ne pourrait y rem\u00e9dier qu’en modifiant les lois. Dans l’UE, il s’agirait de revoir la Charte des droits fondamentaux, ce qui semble extr\u00eamement improbable. \u00c0 moyen terme, on pourrait plut\u00f4t esp\u00e9rer une modification des lois am\u00e9ricaines de surveillance FISA et CLOUD Act (qui, par ailleurs, pourraient \u00e9galement servir \u00e0 l\u00e9gitimer l’espionnage industriel).<\/p> D’ailleurs, un rapport de Bloomberg<\/a> va dans ce sens. Brad Smith, cadre sup\u00e9rieur et avocat de Microsoft, regrette que les citations secr\u00e8tes des entreprises technologiques am\u00e9ricaines d\u00e9truisent la confiance des clients europ\u00e9ens et rendent les affaires plus difficiles. Des m\u00e9dias ont \u00e9galement rapport\u00e9 que les g\u00e9ants Apple et Microsoft avaient \u00e9t\u00e9 contraints par des agences gouvernementales de c\u00e9der des donn\u00e9es sur les opposants politiques du pr\u00e9sident pendant le mandat de Donald Trump. Avec, dans chaque cas, l’obligation de garder le secret et l’interdiction d’informer les personnes concern\u00e9es.<\/p> En r\u00e9ponse \u00e0 la question de savoir si une entreprise europ\u00e9enne pouvait transmettre ses obligations en mati\u00e8re de protection des donn\u00e9es \u00e0 son prestataire de services am\u00e9ricain et ainsi s’abstenir de toute responsabilit\u00e9, M. Schrems a d\u00e9clar\u00e9 que les promesses de conformit\u00e9 au RGPD ne pouvaient \u00eatre v\u00e9rifi\u00e9es qu’au prix de grands efforts. Jusqu’\u00e0 pr\u00e9sent, personne ne les a v\u00e9rifi\u00e9es et n’a engag\u00e9 de poursuites. Par ailleurs, il existe des assurances responsabilit\u00e9 civile correspondantes, mais elles sont de toute fa\u00e7on tr\u00e8s co\u00fbteuses et leur validit\u00e9 n’est absolument pas prouv\u00e9e. Dans le cas des polices d’assurance dites \u00ab D&O \u00bb pour les cadres sup\u00e9rieurs, il convient de v\u00e9rifier les clauses de protection des donn\u00e9es, comme c’est le cas pour de nombreuses polices d’assurance de protection juridique, car celles-ci peuvent \u00eatre exclues.<\/p> Max Schrems estime qu’une modification du RGPD est souhaitable, notamment parce que la r\u00e9glementation actuelle ne pr\u00e9voit aucune diff\u00e9renciation en fonction de la taille des entreprises. Max Schrems a ainsi rappel\u00e9 que seules les grandes entreprises disposant de d\u00e9partements de lobbying importants ont particip\u00e9 \u00e0 sa cr\u00e9ation. Et personne \u00e0 Bruxelles ne veut certainement d’une nouvelle campagne de lobbying en ce sens.<\/p> Max Schrems conseille aux entreprises d\u00e9stabilises par l’invalidation du Privacy Shield de ne pas d\u00e9penser leur argent en conseils juridiques, mais d’interroger elles-m\u00eames leurs prestataires de services et de les mettre \u00e0 l’\u00e9preuve. Pour vous y aider, Retarus a regroup\u00e9 les points essentiels \u00e0 interroger sur son site Web<\/a> et met \u00e0 votre disposition un questionnaire<\/a> (PDF) avec lequel vous pouvez tester vos prestataires de services. Dans sa conclusion, Max Schrems assure que dans la majorit\u00e9 des cas, la solution la plus simple, la plus s\u00fbre et la plus rentable consiste bel et bien \u00e0 travailler avec un prestataire de services europ\u00e9en.<\/p> ","protected":false},"excerpt":{"rendered":" Le troisi\u00e8me \u00ab\u00a0Fireside-Talk\u00a0\u00bb de \u00ab\u00a0Privacy Provided\u00a0\u00bb avec le juriste autrichien et activiste de la protection des donn\u00e9es Max Schrems, ce matin, a \u00e9t\u00e9 consacr\u00e9e \u00e0 l’informatique d’entreprises et aux r\u00e9seaux. Selon Schrems, travailler avec des fournisseurs europ\u00e9ens est souvent la solution la plus facile, la plus s\u00fbre et la plus rentable pour les utilisateurs en mati\u00e8re de conformit\u00e9 au\u00a0RGPD.<\/p>\n","protected":false},"author":14,"featured_media":5541,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[66,8],"tags":[3889,3850,3644,3645],"dipi_cpt_category":[],"class_list":["post-5954","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","category-news","tag-datenschutz","tag-dsgvo","tag-max-schrems","tag-privacy-provided"],"acf":[],"yoast_head":"\nClauses contractuelles types : une proc\u00e9dure compliqu\u00e9e<\/h2>
Des avis juridiques divergents<\/h2>
Incertitude g\u00e9n\u00e9rale<\/h2>
Questionner les prestataires de services<\/h2>