Fallen Privacy Shield: quelles conséquences pour les entreprises?

Le bouclier de protection des données est déchue. Cette règle, destinée à protéger la vie privée des citoyens européens, a permis aux entreprises de pouvoir déplacer les données des utilisateurs au-delà de l’Atlantique, dans des conditions précises. Comme expliqué par le garant de la confidentialité, il bouclier de confidentialité “est un mécanisme d’autocertification pour les entreprises établies aux États-Unis qui ont l’intention de recevoir des données personnelles de l’Union européenne. En particulier, les entreprises s’engagent à respecter les principes qui y sont contenus et à fournir aux personnes concernées (c’est-à-dire toutes les personnes dont les données personnelles des outils de protection adéquats ont été transférés de l’Union européenne), sous peine de radiation de la liste des entreprises certifiées par le département américain du commerce et d’éventuelles sanctions par la Federal Trade Commission “.

La Cour européenne a invalidé ce mécanisme le 16 juillet, ce qui posera des problèmes aux quelque 5 000 entreprises qui en ont fait usage.

Le bouclier de confidentialité a été démantelé: les conséquences pour les entreprises

L’abolition du bouclier de protection des données sur le papier devrait garantir une plus grande sécurité pour les citoyens européens, car elle renforce encore les garanties sur le traitement des données personnelles, beaucoup plus strictes sur le Vieux Continent: à titre de comparaison, il suffit de penser qu’aux USA il n’y a pas de règles telles que notre RGPD pour protéger les droits des citoyens. Dans la pratique, cependant, les conséquences de cette décision vont créer de nombreux problèmes tant pour les entreprises américaines qu’européennes: les entreprises américaines ne pourront plus traiter les données personnelles des utilisateurs. Cela signifie que pour être conforme et continuer à traiter les données de ceux qui vivent en Europe, ils devront déplacer à la fois le bureau et le serveur. Parmi les entreprises qui se sont appuyées sur le bouclier de confidentialité, on peut citer Facebook, Google, MailChimp. «Qu’ils adaptent et déplacent les serveurs», dira quelqu’un, pas à tort. Mais il ne faut pas oublier qu’il existe aussi de nombreuses entreprises européennes, avec siège et serveurs en Europe, qui s’appuient sur ces réalités: comment devrait se comporter une entreprise italienne qui utilise MailChimp pour la gestion de newsletters, par exemple?

Iubenda, un service qui adapte les politiques du site aux différentes réglementations régionales, a essayé de pour résumer la question, soulignant qu’il n’y a pas d’indications claires à ce sujet:

  • Normalement, pour transférer les données personnelles des utilisateurs de l’UE en dehors de l’UE, il est nécessaire de remplir les conditions énoncées aux articles 44-50 du RGPD (par exemple, si vous enregistrez des données personnelles de citoyens de l’UE sur un serveur aux États-Unis, vous devrez baser ce transfert sur l’un des mécanismes de conformité existants).
  • Avant cette décision, les entreprises américaines pouvaient adhérer au bouclier de protection des données et être certifiées en tant que destination sécurisée pour les données personnelles de l’UE. Une fois les données reçues, ces entreprises n’avaient besoin d’aucune autorisation spécifique pour cette activité.
  • La Cour européenne de justice a désormais déclaré ce mécanisme invalide. Cela signifie que les transferts basés sur le bouclier de protection des données doivent aller ailleurs pour se conformer.

Iubenda s’efforce actuellement de maintenir les politiques de confidentialité à jour et conseille à ses utilisateurs d’examiner tous les transferts de données effectués vers les États-Unis pour vérifier s’ils sont basés sur le bouclier de protection des données. Dans ce cas, il est nécessaire de vérifier si ce fournisseur propose une base juridique alternative pour justifier le transfert de données, comme par exemple les clauses contractuelles types intégrées dans le contrat avec le fournisseur, ou le consentement explicite.

.