今夏、欧州司法裁判所(ECJ)がプライバシーシールドを無効化したことで生まれた衝撃波は、今もなお広がっている。この問題に関する欧州のCNILの最新の勧告は非常に啓発的である(L’Usine Digitale).
しかし、私は、多くの産業家が、多かれ少なかれ長期的に、このタイプのプロセスを持っていた人のための可能な標準条項によって保護されていると考えて、その結果を完全に理解していないことを懸念しています。確かに、これらの既存の条項が無効化によって直接争われていなくても、CJEUの判決を見れば、実際に法的なリスクがあることがわかります.
ル・プライバシーシールド・ラペル
プライバシーシールドは、プレイヤーが一定数の規定を尊重する限り、データの交換を認めるという欧米の協定だった。このように、ヨーロッパのユーザーは、米国内であろうとヨーロッパの領土内であろうと、同等のデータ保護を受けていると考えられていました。この協定は、すでに無効となっていた以前の協定に取って代わっていました。セーフハーバー」は、それ自体が当社のRGDP(Règlement Général des Données Privées)に準拠していないと考えられています。しかし、今回のキャンセルは、フェイスブックの利用者であるオーストリア国籍のシュレムス氏という個人が、自分のデータがフェイスブックアイルランドから同社の米国サーバーに転送されることを受け入れなかったという粘り強さによるものでもある。
ECJは再び、米国法の内部制限は欧州市民の個人データの保護を十分に保証するものではないと判断し、プライバシーシールドの導入を認めていた前回の判決を無効としている。
2015年に同じECJによるセーフハーバー協定の破棄が行われたことを考えると、この判決は驚くべきものではない。シュレムス氏のFacebookに対する当初の訴状は、すでにこの判決の発端となっています。30ページに及ぶ裁判所の命令では、その様々な理由が述べられています(LeMonde).
欧州CNILSからの推奨事項?
欧州のCNILSは、プライバシーシールドの無効化を管理するための一連の勧告を発表しました。実現可能なアプローチは一つではなく、目的に応じたデータ交換の最小化を常に念頭に置きながら、実行すべきアクションのセットがあります。
国際的にやり取りされるデータのグローバルな視点を提供する機関を設置することが望ましい(L’Usine Digitale)…
同等の保護を得るための規定を評価する必要がありますが、それができない場合にはデータの転送ができなくなる可能性があります。
可能な技術の中では、データの暗号化が一つのアプローチですが、データを異なるアクターに分散させ、誰も全体の情報を再構築できないようにすることもできます。 このオプションは、本当の頭痛の種になるリスクがあります…
どのような結果になるのでしょうか?
この無効化の影響の程度を評価することは依然として困難であり、企業はその影響を軽減するための行動計画を策定するのに苦労しているようだ。
最もリスクが高い企業は、その構造や組織の面で多国籍企業である。しかし、彼らだけではなく…
実際、給与計算など多くのビジネスソリューションにSaaS(Software As A Service)ツールを体系的に使用することは、企業をリスクにさらすことになります。選択されたソリューションがアメリカのものである場合、アメリカの担当者がデータを読み取れないようにするにはどうすればいいのでしょうか?
これらの問題は、アメリカ人の上司にヨーロッパ人の部下が報告している場合と同様の理由で、人事のパフォーマンス評価ソリューションにも生き生きとしたものがあります。確かに、アメリカ人が個人データへのアクセスを許可しないのはどうしたらいいのでしょうか?これらの問題は、古いデータ保護法ではすでに敏感で、多くの企業が無知や不注意(取られていないのを見ていない)から、準拠していませんでしたが、当時の罰金はばかげていましたが、RGPD(Règlement Général de Protection des Données)ではもはやそうではありませんでした …
この無効化の影響を必ずしも十分に受け止めていない分野がもう一つあります。これは製薬業界を含めた健康業界全体のことです.
その性質上、これらの企業は多くの個人情報を扱っており、実際、新しい治療法の発見と検証に必要な臨床研究に参加している患者のデータをすべて扱っています…しかし、15~20年前には、これらのデータはすべてラボのデータセンターに保管されていました。それ以来、彼らは皆、クラウドソリューション(電子 Trial Master File – eTMF)、規制情報管理システム(RIMS)、電子症例報告書(eCRF)ソリューション、DataWareHouse ClinicalまたはPharmacovigilanceシステムを使用してきました。これらのクラウドソリューションは、多くの場合、アメリカのクラウドプレイヤーであるGoogle、Amazon、Microsoftなどの「メジャー」向けにホストされています.
欧州のデータを確実に保護するとなると、それがどれほどの頭痛の種になるか想像がつくでしょう… ソフトウェアパブリッシャー、クラウドプロバイダー、データ処理プロバイダーなど、多くのプレイヤーが参加する中で、どのようにリスクを管理するか…
これらの問題は、最近のHealth Data Hubの事例(こちら)に見られるように、公共部門にも影響を与えますが、それ以外にも、BPI(こちら)の国家保証融資にアマゾンのクラウドを利用するなどの判断もあります。
結論から言うと
ほとんどの経済主体が必ずしも 2018 年 5 月に施行された RGPD の到着の結果の完全な測定を取っていない場合でも、この夏のプライバシー シールドの無効化は直接の結果であり、アメリカとヨーロッパの法律の間で私たちの市民の保護上の非同等性を肯定します.
逸話のように見えるかもしれませんが、経済的な影響もありますし、「地政学的」な影響もあります。GDRが提案した制裁の性質は、問題の企業の国際的な売上高の4%にも達する可能性があり、これはアメリカの巨人に対する報復手段となり、治外法権を行使することができる.
経済プレイヤーにとって、SaaSやクラウドソリューションの利用はもはやそれほど単純なものではないかもしれません。データセンターの再国際化への動きがあると言うのはまだ早いが、法的リスクを考えると、新しい技術的な解決策を見つけなければならないだろう…
