{"id":2872,"date":"2021-12-23T18:08:12","date_gmt":"2021-12-23T17:08:12","guid":{"rendered":"https:\/\/www.digdeo.fr\/articles\/?p=2872"},"modified":"2022-03-15T18:07:40","modified_gmt":"2022-03-15T17:07:40","slug":"quels-impacts-la-fin-du-privacy-shield-en-europe","status":"publish","type":"post","link":"https:\/\/www.digdeo.fr\/articles\/actualite\/quels-impacts-la-fin-du-privacy-shield-en-europe","title":{"rendered":"Quels impacts la fin du Privacy Shield en Europe?"},"content":{"rendered":"\n

La CJUE Cour de Justice de l’EU a pris un arr\u00eat\u00e9 l’\u00e9t\u00e9 2020 en invalidant le Privacy Shield EU-USA<\/strong> ou Bouclier de Protection des Donn\u00e9es<\/strong> entre l’Europe et les \u00c9tats-Unis d’Am\u00e9rique. Cet accord \u00e9tait n\u00e9 pour permettre une d\u00e9rogation du RGPD<\/strong> pour les soci\u00e9t\u00e9s am\u00e9ricaines qui sont dans l’incapacit\u00e9 de le respecter vis-\u00e0-vis du Cloud Act<\/strong> notamment.<\/p>\n\n\n\n

Qu-est-ce que le Privacy Shield?<\/h2>\n\n\n\n

Tout le monde a d\u00e9j\u00e0 entendu parler du RGPD (pr\u00e9sent\u00e9 par la CNIL)<\/strong><\/a> qui depuis 2016 d\u00e9finit, encadre et prot\u00e8ge les donn\u00e9es personnelles de tout ressortissant de l’Union Europ\u00e9enne partout sur la plan\u00e8te.<\/p>\n\n\n\n

En 2018 aux USA, le gouvernement \u00e9met une loi f\u00e9d\u00e9rale le Cloud Act<\/strong> pour Clarifying Lawful Overseas Use of Data Act<\/strong> sur l’acc\u00e8s aux donn\u00e9es de communication et donn\u00e9es personnelles. Elle permet aux instances de justice et aux administrations de contraindre les fournisseurs de services \u00e9tablis sur le territoire am\u00e9ricain \u00e0 fournir les donn\u00e9es stock\u00e9es sur des serveurs<\/strong> informatiques qu’ils soient situ\u00e9s sur le sol am\u00e9ricain ou dans des pays \u00e9trangers<\/strong>.<\/p>\n\n\n\n

Les entreprises am\u00e9ricaines se trouvent face \u00e0 une contradiction \u00e9vidente, elles ne peuvent respecter le Cloud Act et le RGPD en m\u00eame temps<\/strong>. S’installe alors une n\u00e9gociation entre l’Europe et les USA pour un accord commercial permettant d’apporter des garanties suppl\u00e9mentaires pour les donn\u00e9es des europ\u00e9ens malgr\u00e9 le Cloud Act.<\/p>\n\n\n\n

Toujours en vigueur le Cloud Act (pr\u00e9sent\u00e9 par Wikipedia)<\/a> permet l’acc\u00e8s aux donn\u00e9es sur des serveurs dans le monde entier \u00e0 toutes les administrations am\u00e9ricaines sans forc\u00e9ment avoir d’action judiciaire li\u00e9e \u00e0 la demande. On comprend alors ais\u00e9ment qu’une infrastructure de serveurs h\u00e9berg\u00e9s en France ou en Europe n’est pas un gage de s\u00e9curit\u00e9 si l’entreprise qui propose ces services est am\u00e9ricaine<\/strong>.<\/p>\n\n\n\n

Nous le verrons plus loin, cela pose des probl\u00e8mes \u00e9vidents pour l’actionnariat des entreprises et les contrats commerciaux que des entreprises europ\u00e9ennes peuvent passer avec des entreprises am\u00e9ricaines.<\/p>\n\n\n\n

Quels sont les raisons de l’invalidation du Privacy Shield par l’Europe?<\/h2>\n\n\n\n

D\u00e8s 2017, le CNNum Conseil National du Num\u00e9rique fran\u00e7ais indiquait pourquoi le Privacy Shield doit \u00eatre ren\u00e9goci\u00e9<\/a>. Le conseil s’inqui\u00e9tait d\u00e9j\u00e0 sur les questions de surveillance des donn\u00e9es et des communications faites en masse par les USA. Les r\u00e9v\u00e9lations d’Edouard Snowden, ancien agent de la CIA, ont valid\u00e9 l’ampleur de cette surveillance, les m\u00e9thodes et logiciels employ\u00e9s.<\/p>\n\n\n\n

Le CNNum mettait aussi en \u00e9vidence l’asym\u00e9trie critique de la gestion des donn\u00e9es, le fait de poss\u00e9der et d’exploiter les donn\u00e9es par une force judiciaire et \u00e9tatique extra territoriale est anormale<\/strong>. Le grand public mais aussi les entreprises utilisent massivement les r\u00e9seaux sociaux et les outils de communication associ\u00e9s : WhatsApp, Instagram, Facebook, Twitter, Outlook, Office 365<\/strong>. Si on y ajoute l’h\u00e9bergement de donn\u00e9es d’entreprises de tout secteur sur les offres Amazon AWS, Google Cloud, Microsoft Azur, CloudFlare, GoDaddy<\/strong>, et bien d’autres, la quantit\u00e9 de donn\u00e9es \u00e0 disposition de la justice et des administrations am\u00e9ricaines est consid\u00e9rable.<\/p>\n\n\n\n

Il est essentiel de ne pas faire preuve de na\u00efvet\u00e9 et de ne pas r\u00e9p\u00e9ter les erreurs du pass\u00e9. La position de pr\u00e9dominance des acteurs extra-europ\u00e9ens sur le territoire de l\u2019Union peut \u00e0 ce titre justifier une approche prioritairement d\u00e9fensive.<\/p>CNNum Conseil National du Num\u00e9rique 2017<\/cite><\/blockquote>\n\n\n\n

Le Groupe de travail Article 29 d\u00e9nomm\u00e9 G29 qui estimait en 2016 le Privacy Shield comme un progr\u00e8s majeur, rencontre des difficult\u00e9s \u00e0 \u00e9valuer le respect de ce contrat aupr\u00e8s de plusieurs soci\u00e9t\u00e9s am\u00e9ricaines : documents qui se contredisent, non-r\u00e9ponse ou r\u00e9ponse vague \u00e0 des questions pr\u00e9cises.<\/p>\n\n\n\n

Tout cela m\u00e8ne le Groupe 29 a estimer ne pas avoir suffisamment de garanties sur le Privacy Shield. C’est le point de d\u00e9part de l’action judiciaire en Europe<\/strong> qui m\u00e8nera le 16 juillet 2020<\/strong> dans la d\u00e9cision C311-18, la Cour de Justice de l’Union Europ\u00e9enne CJUE a annul\u00e9 l’accord du Privacy Shield<\/strong>.<\/p>\n\n\n\n

Qui est concern\u00e9 par la rupture du Privacy Shield?<\/h2>\n\n\n\n

Tout ressortissant europ\u00e9en habitant ou non en Europe et toute entreprise europ\u00e9enne.<\/strong><\/p>\n\n\n\n

Vous \u00eates un particulier<\/strong> et vous utilisez des services am\u00e9ricains comme WhatsApp, Twitter, Instagram? Vous \u00eates en tord et vous vous rendez coupable d’envoyer des donn\u00e9es personnelles<\/strong> de vos amis \/ famille (photos, messages, communications) sur des entreprises qui ne respectent pas le RGPD<\/strong> et ce sans le consentement de vos correspondants.<\/p>\n\n\n\n

Vous \u00eates une entreprise<\/strong> et vous h\u00e9berger vos serveurs et donn\u00e9es de vos applications ou service de messagerie email chez des op\u00e9rateurs comme Office 365, Amazon AWS, … Vous \u00eates en tord m\u00eame si les serveurs sont situ\u00e9s en Irlande, France ou tout autre pays europ\u00e9en. Vous vous rendez coupable de faire transiter \/ stocker des donn\u00e9es personnelles<\/strong> de vos utilisateurs ou clients chez des entreprises qui ne peuvent pas garantir le respect du RGPD<\/strong>.<\/p>\n\n\n\n

Quels cons\u00e9quences de l’invalidation du Privacy Shield?<\/h2>\n\n\n\n

En tant que particulier il faut r\u00e9duire l’usage des plateformes am\u00e9ricaines<\/strong>, il existe des alternatives d\u00e9centralis\u00e9es ou europ\u00e9ennes pour tous les r\u00e9seaux sociaux ou la fourniture d’email.<\/p>\n\n\n\n

Pour les entreprises, la CNIL a pr\u00e9cis\u00e9 que vous pouvez continuer \u00e0 utiliser ces services si et seulement si vous obtenez un contrat reprenant tous les \u00e9l\u00e9ments du RGPD<\/strong>. Or dans la pratique les h\u00e9bergeurs am\u00e9ricains ne font pas ce type de contrat<\/strong> car cela les forcerait \u00e0 ne plus respecter leurs lois am\u00e9ricaines dont le Cloud Act. Ils doivent respecter leurs lois et en cons\u00e9quence ils ne peuvent pas vous faire d’exception<\/strong>.<\/p>\n\n\n\n

Je participe en ce moment \u00e0 des n\u00e9gociations contractuelles pour utiliser un service fourni par un GAFAM.[…]

ils nous font un gros rabais, mais bon s’agissant d’un GAFAM je pousse ma bo\u00eete \u00e0 exiger de tr\u00e8s grosses garanties pour la protection des donn\u00e9es et \u00e0 refuser leurs clauses types qui sont r\u00e9dig\u00e9es avec les pieds.[…]

\u00c7a fait plusieurs semaines que \u00e7a dure et ce matin on avait un appel avec GAFAM pour r\u00e9pondre \u00e0 nos inqui\u00e9tudes.

On pensait parler \u00e0 des juristes, mais non, on se retrouve face \u00e0 une \u00e9quipe commerciale[…]

Ils nous garantissent oralement que les donn\u00e9es sont prot\u00e9g\u00e9es, loin de la NSA ou d’autres agences \u00e9tatiques mais refusent par contre de mettre \u00e7a par \u00e9crit\u2026[…]

Bref des belles paroles mais sans garanties s\u00e9rieuses. Et beaucoup d’inqui\u00e9tudes quand on pose des questions de fond.<\/p>DPO d’une grande soci\u00e9t\u00e9 fran\u00e7aise https:\/\/mastodon.xyz\/@Roka\/107439878262786818<\/a><\/cite><\/blockquote>\n\n\n\n

Pour rappel m\u00eame une adresse IP est une donn\u00e9e personnelle<\/strong>, faire transiter un flux par une soci\u00e9t\u00e9 am\u00e9ricaine devient de fait ill\u00e9gal. Le stockage de donn\u00e9es soumises au RGPD le devient aussi.<\/p>\n\n\n\n

Par contre pour toutes donn\u00e9es non soumises au RGPD, IA sur des photos de fleurs, calcul scientifique, business intelligence peuvent toujours \u00eatre h\u00e9berg\u00e9es et trait\u00e9es chez ces soci\u00e9t\u00e9s.<\/p>\n\n\n\n

Quelles solutions pour h\u00e9berger l\u00e9galement des donn\u00e9es RGPD ou sensibles?<\/h2>\n\n\n\n

Plus que jamais il est important de respecter le RGPD<\/strong> car les sanctions sont \u00e9normes et l’impact de l’image de la soci\u00e9t\u00e9 envers vos clients peut ruiner tous les efforts marketing et nuire durablement \u00e0 votre soci\u00e9t\u00e9.<\/p>\n\n\n\n