Le Privacy Shield est désormais de l’histoire ancienne

Autre raison invoquée : les risques liés au CLOUD Act (Clarifying Lawful Overseas Use of Data). Celui-ci permet aux autorités américaines d’accéder aux données d’entreprises non américaines et de leurs succursales, même si elles sont stockées ou traitées en dehors des États-Unis.

En tant que directeur informatique, vous êtes directement responsable des données de vos clients, employés et partenaires commerciaux, même si vous externalisez le traitement des données. En cas d’infraction, l’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, un niveau sans précédent. Les autorités peuvent en outre stopper les transferts de données illégaux. Les dirigeants peuvent être tenus personnellement responsables, tandis que les assurances pour administra- teurs et dirigeants ont des limites.

Quelles sont les mesures à prendre ? L’EDPB (Comité Européen de la Protection des Données) et la Commission européenne n’ont pas encore formulé de recom- mandation définitive à ce sujet. C’est pourquoi, nous souhaitons à travers ce guide, vous présenter les informations les plus importantes de manière compacte. Voici 7 questions que vous devez vous poser :

Par données personnelles, on entend toute information relative à une personne physique identifiée ou identifiable : nom, emplacement, identifiants en ligne (par exemple l’adresse IP), des faits concernant l’identité physique, psychique, économique ou sociale, ainsi que numéros de fax et adresses e-mail qui en font partie. Un transfert de données personnelles se produit, par exemple, lors d’une correspondance par e-mail, fax ou SMS.

Vous devez donc répondre à ces questions : Quelles sont les données que vous possédez ou collectez ? Où sont-elles enregistrées ? Qui traite ces données et où sont-elles transférées ? Disposez-vous d’une base légale pour tout cela ?

Celles-ci comptent notamment Google, Facebook, Twilio, Zoom, Slack, Proofpoint, Dropbox, Microsoft et LinkedIn. Si c’est le cas, vérifiez que vos exportations de données sont conformes aux exigences du RGPD, par exemple, dans le domaine de la sécurité et de l’archivage des e-mails.

Sur le site web du Privacy Shield Framework, vous trouverez une liste de toutes ces entreprises.

Le Privacy Shield n’est plus valide et il n’existe pas de période de grâce. Si vous collaborez actuellement avec l’une de ces entreprises, vous devez rapidement clarifier si ces entreprises respectent les exigences du RGPD. En cas de doute, vous devriez demander une attestation certifiant qu’à aucun moment du traitement, des données sont transférées aux États-Unis ou à des prestataires établis aux États-Unis.

Selon une déclaration de l’EDPB du 24 juillet 2020, la législation américaine ne garantit pas un niveau de protection équivalent en ce qui concerne les CCT (clauses contractuelles types) ou les BCR (règles d’entreprise contraignantes). Cet avis vaut aussi pour les accords correspondants avec les pays tels que la Chine ou la Russie.

Convenir individuellement de CCT et de BCR avec chaque prestataire américain, représente une charge administrative et juridique importante. En outre, des mesures complémentaires sont nécessaires. En novembre 2020, l’EDPB n’a émis que des recommandations préliminaires pour la mise en œuvre (celles-ci ne sont actuellement disponibles qu’en anglais). Les risques liés au CLOUD Act demeurent en cas d’utilisation de CCT et de BCR.

En principe, oui, dans la mesure où les conditions sont remplies. Mais les obstacles à franchir sont importants : un consentement individuel éclairé, spécifique et explicite doit être donné.

Texte de l’article 49 du RGPD

Faites le pas et éliminez dès aujourd’hui les risques pesant sur la protection de vos données grâce aux services de plateforme innovants de Retarus. L’ensemble des données de tous nos clients européens sont exclusivement traitées dans des datacenters européens situés à Francfort, Munich et Zurich. Même en cas de basculement ou d’entretien, nous assurons un traitement au sein de l’Union européenne. Retarus n’utilise aucun hyperscaler américain tel que Google, AWS ou Azure. Retarus, dont le siège se trouve en Allemagne, est dirigée par son fondateur depuis sa création et aucune entreprise étrangère n’est impliquée.

Si vous le souhaitez, vous pouvez transférer votre trafic d’e-mail, SMS et fax vers le « Retarus Enterprise Cloud » en 24 heures seulement. Obtenez un aperçu rapide de nos services et découvrez comment nous vous aidons à mettre en œuvre les exigences de conformité.

La situation en matière de protection des données semble actuellement complexe et obscure. Mais nous ne devons pas oublier que toute ce changement a du bon : car vos données commerciales sensibles seront ainsi mieux protégées. Après tout, le RGPD est crucial !