Deux ans après, le Privacy Shield dépassé par l’évolution des marchés

Privacy-Shield_750x250

Entré en vigueur le 1er août 2016, le Privacy Shield constitue depuis la base légale du partage de données entre l'Union européenne et les États-Unis. L'accord a été renouvelé pour la deuxième fois le 19 décembre 2018. Cette décision ne représente pas plus d'une note de bas de page étant donné que toute autre notification supplémentaire aurait été surprenante. Si les nations occidentales n’avaient pas réussi à s'entendre sur un niveau commun de respect de protection des données, les dommages auraient pu être considérables.

Néanmoins, le chemin menant à cette prise de décision n’a pas été sans difficultés et des doutes continuent de subsister quant à l’avenir de cet accord. Bien que son renouvellement en 2017 soit passé inaperçu, le Parlement européen s’est montré plus stricte en 2018 en termes d’attentes. Il a notamment exigé que les États-Unis mettent en œuvre un certain nombre de mesures d'ici début septembre 2018 afin de garantir un niveau de protection acceptable. L’une d’entre elles exigeait notamment la nomination d'un médiateur chargé de gérer les situations de conflit - une mesure qui avait été planifiée dès le début mais qui n'avait jusqu’à présent pas été mise en œuvre.

Les États-Unis se sont donc conformés à cette exigence et à d'autres, car leur non-respect aurait eu pour effet de suspendre officiellement le bouclier de protection des données. Mais cette année, il sera intéressant de voir combien de temps l'administration américaine pourra continuer d’user de la patience de ses fournisseurs et de l'UE. L'UE, dans son dernier rapport, exigeait à nouveau la nomination d'un médiateur permanent d'ici le 28 février, en plus d'autres mesures visant à améliorer les garanties en matière de protection des données. Cette personne devra remplacer le titulaire actuel, qui occupe le poste à titre intérimaire. Ce poste est conçu pour garantir que les plaintes relatives à l'accès aux données personnelles par les autorités américaines soient traitées correctement. Pour rester compétitifs, la plupart des fournisseurs américains ont décidé de se conformer volontairement aux règles européennes plus strictes en matière de protection des données et ont proposé des clauses d’accord types à cet effet.

Développements globaux

Dans ce contexte, un aspect intéressant est la situation confuse qui existe en matière de protection des données et de sécurité des informations dans le monde, en particulier du fait que les marchés ont fondamentalement changé au cours des derniers mois.

RGPD et Microsoft donnent le ton

Avec l'entrée en vigueur du RGPD, la pression exercée sur les fournisseurs américains pour qu'ils se conforment aux normes de protection des données s'est accrue, et ce indépendamment du renouvellement du bouclier de protection des données. La protection des données serait-elle en train de devenir un produit d'exportation ? Cela aurait été impensable il y a quelques années et pourtant cette question en dit long sur le respect mondial à l’égard de la législation européenne. C’est un exploit considérable qui aura surement un effet sur les fournisseurs du monde entier.

Parmi ces fournisseurs, Microsoft donne notamment le ton dans ce domaine, ayant publié six principes qui, selon le Groupe, devraient être respectés dans les accords internationaux.

  • Contrôle : des outils simples et des propositions compréhensibles sont fournis aux utilisateurs pour qu’ils puissent garder un contrôle total sur leurs données
  • Transparence : elle permet aux utilisateurs de toujours prendre des décisions éclairées concernant les usages de leurs données
  • Sécurité : les données sont protégées avec un haut niveau de sécurité et des mesures de chiffrement
  • Protection juridique solide : Microsoft adhère à toutes les lois applicables en matière de protection des données et soutient la protection de la vie privée en tant que droit fondamental
  • Pas de publicité liée au contenu : Microsoft n'utilise pas le contenu des emails, rapports de chat, fichiers ou autre contenu personnel pour appliquer une publicité ciblée.
  • Politique basée sur les avantages : si les données utilisateur sont collectées, elles sont utilisées dans l'intérêt de l'utilisateur et pour améliorer le service.

Cet exemple montre que les entreprises doivent s'accorder sur des normes communes, en particulier celles dont l'activité est internationale. La protection des données n’est plus une préoccupation nationale, elle devient inexorablement un problème mondial - au même titre que la protection du climat et d’autres sujets.

Une application de la loi à l’échelle internationale

Cependant, il existe un revers de la médaille mis en évidence par un nouveau développement de la législation au niveau de l'UE. Actuellement, le transfert de données relatives à la criminalité aux autorités internationales est bloqué par les lois locales et par le manque de coopération entre les différentes autorités. L'UE veut changer cette situation et travaille actuellement sur un règlement concernant les preuves électroniques. L’objectif de la Commission européenne est de créer une alternative aux procédures d’entraide judiciaire formelles et de donner aux organismes d’enquête un accès plus rapide aux données. Le règlement autoriserait les services de répression des états membres de l’UE à exiger la fourniture immédiate de données d’utilisateur par des fournisseurs Internet et télécoms. Ces fournisseurs pourraient être situés dans d'autres États membres de l'UE, ainsi que dans des pays tiers hors de l'UE. Les données qu’ils pourraient demander incluraient des informations sur le compte, l’accès, les transactions et le contenu. Le plan a déjà suscité des critiques de la part entre autres des ministres allemands. Il semble étrange que la réglementation puisse être ainsi accélérée, dans la mesure où elle expose toujours les prestataires de services au risque de violer les lois locales d'autres pays.

Des principes insolubles

Le débat sur la vie privée reste passionnant. Cependant, quelles que soient les tendances globales, les principes suivants pour la protection des données sensibles et personnelles restent incontestables et indispensables :

  • Un stockage de données local
    Il est recommandé de stocker dans des pays disposant de niveaux de protection des données adéquats - tels que l'UE ou la Suisse -.
  • Une sécurité dans le traitement et la protection des données
    Des exigences techniques et organisationnelles doivent être satisfaites dans le cadre du RGPD, ce qui peut être justifié par divers certificats. Les entreprises devront s’assurer que le fournisseur de services lui-même n’ait pas accès aux données.
  • Un chiffrement
    Tant que les données sont chiffrées, elles ne peuvent être lues - par aucune partie.
  • Une transparence contractuelle
    Les couvertures devraient être réglementées par contrat, être transparentes et traçables.
  • Le principe de besoin de savoir
    Chaque employé de doit obtenir que l’accès et les autorisations réellement nécessaires à son travail.

 

Ceci pourrait également vous intéresser :

Les secrets commerciaux méritent d'être protégés - l'UE le sait aussi

Amenées à innover, les entreprises doivent être prudentes quant à leurs secrets commerciaux, notamment lorsque l’Union Européenne impose des lois à ce sujet.

Comment Brainloop se conforme au RGPD

Brainloop est là pour accompagner les entreprises qui doivent se conformer au RGPD. Ses solutions basées sur le Cloud répondent aux exigences réglementaires sur la protection des données.