Close

L’onde de choc de l’invalidation du Privacy Shield suite…

Source: Pixabay

L’onde de choc crée par l’annulation du Privacy Shield cet été par la Cour de Justice de l’Union Européenne (CJUE)n’a pas fini de se propager. Les dernières recommandations des CNIL européennes en la matière sont assez éclairantes (L’Usine Digitale).

Cependant, je crains que nombre d’industriels n’aient pas pris la pleine mesure des conséquences à plus ou moins long terme, pensant être protégés par les éventuelles clauses standards pour ceux qui avaient ce type de processus en place. En effet, même si ces clauses existantes n’ont pas été remises en cause directement par l’invalidation, si l’on reprend le rendu de la CJUE, on s’aperçoit qu’il y a là un vrai risque juridique important.

Le Privacy Shield Rappel

 

Le Privacy Shield était un accord entre les US et l’Europe qui permettait l’échanges de données à partir du moment où les acteurs respectaient un certain nombre de dispositions. On considérait qu’ainsi, les utilisateurs européens disposaient d’une protection équivalente de leurs données qu’ils soient aux US ou sur le territoire européen. Cet accord venait déjà remplacer un précédent accord qui avait été invalidé. Le « Safe Harbor », lui-même considéré comme non conforme à notre RGDP (Règlement Général des Données Privées). Mais cette annulation est aussi due à la persévérance d’un individu, M. Schrems, ressortissant autrichien, utilisateur de Facebook, qui n’acceptait pas que ses données soient transférées de Facebook Irlande vers les serveurs américains de l’entreprise.

Une nouvelle fois, la CJUE constate que des limitations internes au droit américain ne garantissent pas suffisamment la protection des données personnelles des citoyens européens, et elle invalide donc la décision précédente qui avait permis la mise en place du « Privacy Shield ».

Cette décision qui n’est pas surprenante, compte tenu de l’annulation de l’accord « Safe Harbor » en 2015 par la même CJUE. La plainte initiale de M. Schrems à l’égard de Facebook en était déjà à l’origine. L’arrêté de la cour d’une trentaine de pages, en donne les différentes raisons (LeMonde).

 

Quelles recommandations des CNILS européennes?

 

Les CNILS Européennes ont publié un ensemble de recommandations pour gérer l’invalidation du Privacy Shield. Il n’y a pas une seule approche possible, mais plutôt un ensemble d’actions à mettre en place, avec toujours à l’esprit la minimisation de l’échange des données en fonction des finalités.

Il est souhaitable de mettre en place une instance afin de permettre d’avoir la vision globale des données échangées à l’international (L’Usine Digitale)…

Il est nécessaire d’évaluer les dispositions permettant d’obtenir une protection équivalente, mais il peut s’avérer que cela soit impossible, dans ce cas le transfert de données sera impossible.

Parmi les techniques possibles, le chiffrement des données est une approche, mais on peut également s’assurer que les données soient dispatchées sur différents acteurs, aucun d’entre eux ne pouvant reconstituer l’information globale… Cette option, risque d’être un vrai casse-tête…

 

Quelles conséquences ?

 

L’ampleur des conséquences de cette invalidation restent difficiles à évaluer, et il semble que les entreprises aient encore du mal à mettre en place un plan d’action pour en atténuer les effets.

Les entreprises les plus à risques sont les multinationales par leur structure et leur organisation. Mais ce ne sont pas les seules…

En effet le recourt systématique à des outils SaaS (Software As A Service) pour nombre de solutions métiers, comme par exemple la paie, mettent les entreprises à risque. Comment pouvez-vous garantir que les données ne soient pas lisibles par des personnels américains lorsque la solution retenue est américaine ?

Ces problématiques sont tout autant vivaces pour les solutions RH d’évaluation de la performance, pour les mêmes raisons que précédent dans le cadre d’un subordonné européen rapportant à un manager américain. En effet comment ne pas autorisé l’accès aux données privées par un américain ? Ces problématiques étaient déjà sensibles avec les anciennes lois Informatique et Libertés, et nombre d’entreprises n’étaient pas conformes, par ignorance ou par désinvolture (pas vu pas pris), mais à l’époque les amendes étaient ridicules, ce qui n’est plus le cas avec le RGPD (Règlement Général de Protection des Données) …

Il y a un autre secteur qui ne prend pas nécessairement toute la mesure des impacts de cette invalidation. Il s’agit de toute l’industrie de la Santé, dont les industries pharmaceutiques.

Par nature ces industriels manipulent nombre de données personnelles, en effet toutes les données des patients participants à la recherche clinique nécessaire à la découverte et à la validation de nouvelles solutions thérapeutiques… Mais là, où il y a encore 15-20 ans l’ensemble de ces données étaient stockées sur des data centers appartenant à ces labos, depuis, tous ont recours à des solutions Cloud (electronic Trial Master File – eTMF), Regulatory Information Management System (RIMS), des solutions de Cahiers d’Observations électroniques appelés Case Report Form (eCRF), ou encore des systèmes de DataWareHouse Clinique ou de Pharmacovigilance. Ces solutions cloud sont souvent américaines, ou bien hébergées par des acteurs du cloud américains comme Google, Amazon, Microsoft pour les « majeurs ».

Vous devinez le casse-tête que cela devient, lorsqu’il faut s’assurer que les données des européens soient protégées… Comment gérer le risque avec la multitude d’intervenants : éditeurs de logiciels, fournisseurs de cloud, prestataires de traitement des données…

Ces problématiques touchent aussi le secteur public comme l’ont montré la récente affaire sur le Data Hub Santé (ici), mais aussi d’autres décisions comme l’utilisation du cloud Amazon pour le Prêt Garanti par l’Etat par la BPI (ici)…

 

En conclusion

 

Même si la plupart des acteurs économiques n’ont pas forcément pris la pleine mesure des conséquences de l’arrivée du RGPD qui est entré en application en mai 2018, l’invalidation du Privacy Shield cet été en est la directe conséquence, en affirmant la non-équivalence sur la protection de nos citoyens entre la loi américaine et européenne.

Si cela pouvait paraître anecdotique, cela a des impacts économiques et je dirais même « géopolitiques ». La nature des sanctions proposées par le RGPD pouvant aller jusqu’à 4% du CA international de l’entreprise mise en cause, cela devient un outil de rétorsion à l’encontre des géants américains, comme peuvent l’être leurs lois extraterritoriales.

Pour les acteurs économiques, le recours aux solutions Saas et cloud pourrait ne plus être aussi simple. Il est encore trop tôt pour affirmer que l’on pourrait avoir un mouvement de ré-internalisation des Data Centers, mais face aux risques juridiques de nouvelles solutions technologiques devront être trouvées et cela pourrait permettre aux acteurs du cloud européen de se faire une place importante dans un futur assez proche…

scroll to top