Tout dépend de vous maintenant !

Tout dépend de vous maintenant !

Lorsque les organisations sont confrontées à des décisions difficiles et ne savent pas elles-mêmes comment s’attaquer au problème, elles ont recours à une tactique ancestrale : c’est à vous qu’elles font appel ! C’est ce qu’a fait le Comité Européen de la Protection des Données (CEPD) le 10 novembre 2020. Désormais, lorsque vous transférez des données vers un pays tiers que le CEPD ne juge pas adéquat, c’est à vous de mettre en place les garanties et protections nécessaires, sous peine de payer une lourde amende imposée par la CNIL.

Comment en est-on arrivé là ? Comme vous le savez, beaucoup de transferts de données sont effectués vers les États-Unis. Un citoyen européen, Max Schrems, s’est inquiété du fait que Facebook Irlande transfère des données à Facebook Inc. située aux États-Unis. L’affaire a finalement été portée devant la Cour de justice de l’Union européenne et le 16 juillet 2020, la Cour a invalidé le “Privacy Shield”, décision sur laquelle les États-Unis comptaient pour transférer des données depuis l’Union européenne. C-311/18

Alors, où cela nous mène-t-il ? Faire de la sécurité des données personnelles une condition du contrat ? Malheureusement, dans le cas des États-Unis, cela ne peut pas se produire. La loi de Foreign Intelligence Surveillance Act (FISA) (renforcée en mai 2020) l’emporte sur les protections offertes par les clauses contractuelles concernant le transfert de données personnelles, car la FISA ne fait pas partie du contrat.

La Cour confie aux responsables du traitement ou aux sous-traitants, la responsabilité de vérifier au cas par cas si le droit ou la pratique du pays tiers porte atteinte à l’efficacité des garanties et protections appropriées contenues dans l’article 46 du RGPD. Tout n’est cependant pas perdu, puisque la Cour laisse la possibilité aux exportateurs de mettre en œuvre des mesures supplémentaires pour combler ces lacunes et la porter au niveau requis par la loi européenne. Quelles sont ces mesures ? La Cour ne précise pas ces mesures, mais l’EDPB a donné des conseils précieux sur les mesures que vous pourriez mettre en place pour vous protéger et protéger vos clients.

Certains des conseils les plus utiles que le CEPD a donnés sont énumérés dans la section “Scenarios for which effective measures could be found” (Scénarios pour lesquels des mesures efficaces pourraient être trouvées, p.21 Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance. Adopté le 10 novembre 2020). Nous avons repris ce qui a été dit dans cette section et avons réduit et retravaillé le contenu de manière à donner une meilleure vue d’ensemble. Pour avoir un compte rendu plus détaillé, veuillez consulter le rapport complet.

Mesures complémentaires

  1. Un chiffrement/cryptage, selon l’état de l’art, solide et robuste est effectué avant la transmission ; ce cryptage doit être capable de résister à des attaques ou à la cryptanalyse dans le pays où les données seront transférées.
  2. L’exportateur de données doit pseudonymiser les données personnelles avant leur transfert. Il doit également avoir le contrôle exclusif de l’algorithme. Il convient de noter qu’il ne s’agit pas d’un simple cas de changement de nom, de lieu, etc., mais que le responsable du traitement est également tenu de procéder à une analyse approfondie de toute information que les autorités publiques du pays destinataire pourraient détenir.
  3. Si les données sont transférées vers un pays considéré comme ayant une protection adéquate mais que les données sont acheminées via un pays tiers, il convient d’utiliser un cryptage pour le transfert et d’exclure l’existence de portes dérobées, qu’il s’agisse de matériel ou de logiciel.
  4. Il pourrait y avoir des cas où des données personnelles sont transférées vers un pays tiers où une législation a été mise en place afin de protéger spécifiquement ces données. Par exemple, afin de fournir conjointement des traitements médicaux à un patient ou des services juridiques à un client. Dans de tels cas, le CEPD considère que si le cryptage du transfert est effectué, cela constitue une mesure supplémentaire efficace.
  5. Si le sous-traitant souhaite que les données personnelles soient traitées par deux ou plusieurs sous-traitants indépendants situés dans des juridictions différentes, il doit séparer les données de telle sorte qu’aucune partie reçue par un sous-traitant ne suffise à reconstruire les données personnelles en partie ou en intégralité. Notez que dans ce cas, des algorithmes robustes et sûrs sont nécessaires pour s’assurer que les données sont à l’abri de concurrents actifs.

Il convient également de noter que le CEPD a identifié deux scénarios dans lesquels aucune mesure efficace n’a pu être trouvée. Les deux scénarios sont les suivants : a) un exportateur de données utilise un fournisseur de services de cloud ou un autre sous-traitant pour faire traiter des données personnelles selon ses instructions dans un pays tiers et b) l’accès à distance aux données à des fins commerciales.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.