Views
3 months ago

ICTjournal juillet - août - septembre 2020

  • Text
  • Solutions
  • Selon
  • Responsable
  • Ainsi
  • Septembre
  • Netzmedien
  • Juillet
  • Gestion
  • Suisse
  • Entreprises

30 protection des

30 protection des données L’UE juge que les USA n’apportent pas des engagements suffisants pour la protection des données. Image: Pixabay Le transfert de données vers les USA devient risqué L’Union européenne a invalidé le Privacy Shield, l’accord qui encadrait le transfert de données vers les Etats-Unis. Une décision qui impacte l’accord similaire instauré en Suisse. Les entreprises doivent prendre des mesures pour répondre à cette nouvelle donne. Yannick Chavanne La nouvelle n’est pas passée inaperçue dans le flux de l’actualité estivale: mi-juillet, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield. En vigueur depuis 2016, cet accord venu remplacer le Safe Harbor encadrait le transfert de données personnelles des entreprises européennes vers les Etats-Unis. Typiquement lorsqu’une firme fait appel aux services cloud d’un GA- FAM. Dans le cadre de ce «bouclier de protection des données» transatlantique, l’UE estimait que les USA apportaient des engagements suffisants pour garantir un niveau de protection des données adéquat. Or, la décision récente de la Cour européenne est revenue sur la validité de cet accord suite à une nouvelle plainte de Maximillian Schrems, activiste autrichien déjà à l’origine de l’invalidation du Safe Harbor en 2015. L’invalidation du Privacy Shield s’explique par sa nonadéquation au règlement général relatif à la protection des données (RGPD). La CJUE estime désormais que les programmes de surveillance de la réglementation interne des Etats-Unis ne sont pas limités au strict nécessaire. La Cour observe en outre qu’en cas de litige, l’accord ne fournissait pas «une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union». Le Privacy Shield suisse également caduc L’invalidation du Privacy Shield a aussi des conséquences en Suisse, où un accord similaire était valide depuis 2017. Le Préposé fédéral à la protection des données ne s’est pas encore prononcé sur le sujet mais cet accord est aujourd’hui caduc, selon plusieurs experts suisses en la matière. «Ce qui s’applique au Privacy Shield européen après l’arrêt de la CJCE devrait également s’appliquer au Privacy Shield suisse», estime ainsi le juriste François Charlet. Pour Sylvain Métille, associé au sein de l’étude HDC, «malgré l’absence de réaction du Préposé fédéral à la protection des juilletaoûtseptembre 2020 www.ictjournal.ch © netzmedien ag

protection des données 31 données et du Conseil fédéral (en tout cas pour l’heure), le Privacy Shield entre la Suisse et les Etats-Unis n’est plus fiable et tout tribunal suisse arriverait aux mêmes conclusions que la CJUE». «Le Privacy Shield entre la Suisse et les Etats-Unis n’est plus fiable et tout tribunal suisse arriverait aux mêmes conclusions que la Cour de justice de l’Union européenne.» Que doivent faire les entreprises? Dans ce contexte, les entreprises suisses sont encouragées à prendre les devants. Pour l’Association Suisse des Délégués à la Protection des Données (ASDPO), il est dès à présent urgent pour les organisations concernées de recourir à un autre mécanisme pour encadrer les transferts de données vers les Etats-Unis, par exemple les clauses contractuelles types ou les règles contraignantes d’entreprise. Sylvain Métille, avocat associé au sein de l’étude HDC «Attention toutefois, les clauses contractuelles types semblent ne pas être valides vis-à-vis des entreprises américaines qui sont soumises à des lois de surveillance. Il faudra donc à l’avenir bien pondérer ce risque dans le choix d’un prestataire», souligne l’ASDPO. Sylvain Métille considère lui aussi qu’il y a désormais des risques à se reposer sur les clauses contractuelles types pour les données transférées vers les USA ou d’autres pays au niveau de surveillance élevé. RGPD: l’UE veut faciliter la mise en conformité des PME La décision de la Cour de justice de l’Union européenne va d’autant plus compliquer la tâche de PME qui peinent déjà à se conformer au RGPD, selon le premier bilan sur ce règlement publié par la Commission européenne. L’UE invite ainsi les autorités nationales à proposer des guides et outils digitaux permettant d’aider les entreprises dont la gestion des données ne constitue pas l’activité principale. L’élaboration de ces outils sera financièrement soutenue par l’UE. Certains gouvernements en ont déjà mis à disposition, précise la Commission, qui souligne cependant que ces efforts devraient être généralisés de préférence dans le cadre d’une approche européenne commune. L’UE appelle également les PME à avoir davantage recours aux aides existantes, dont des codes de conduite, des mécanismes de certification et des clauses contractuelles types. L’UE réfléchit par ailleurs à faire encore davantage respecter le RGPD en allégeant les contraintes des PME dont l’activité principale n’est pas le traitement de données. La révision de la LPD toujours en délibérations Pendant ce temps, en Suisse, le processus de révision de la LPD s’éternise. Alors que les délibérations de ce printemps auraient pu être décisives, les divergences persistent entre le Conseil des Etats et le National. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) espère la session parlementaire d’automne 2020 aboutira à une conclusion heureuse. LA TRIBUNE DU DPO Isabelle Dubois Experte en protection des données et ancienne Préposée à la protection des données et la transparence de l’Etat de Genève. adhocresolution.ch Flux transfrontières de données avec les Etats-Unis: appeler un chat un chat Lorsqu’un responsable de traitement souhaite transférer des servant ce droit aux seuls ressortissants américains. Le second, données personnelles à l’étranger, il doit s’assurer avant toute le Privacy Shield, n’empêche pas la violation des droits des personnes concernées: selon la Cour, les limitations de la protec- chose que le pays destinataire possède une législation d’un niveau sensiblement identique à celui de l’Union européenne ou tion des données qui découlent de la réglementation interne des de la Suisse. Sinon, il doit prendre des mesures complémentaires, parmi lesquelles on compte les clauses contractuelles. américaines, des données transférées depuis l’Union, ne sont États-Unis sur l’accès et l’utilisation, par les autorités publiques Bon. Pour faciliter le flux transfrontière avec les Etats-Unis tout pas suffisamment encadrées et violent le principe de proportionnalité, car les programmes de surveillance des autorités en garantissant un niveau suffisant de sécurité, ont dès lors été élaborés tout d’abord le Safe Harbor puis, en vigueur jusqu’il y américaines ne sont pas limités au strict nécessaire. a quelques semaines, le Privacy Shield, soit un ensemble de Bien sûr, on ne peut pas dire – et encore moins écrire – que clauses de protection conventionnelles négociées par les autoritéstorités de surveiller largement la population comme les données c’est la législation actuelle des Etats-Unis, et la volonté des au- Pourquoi ces cadres de sécurité ont-ils été annulés? Parce d’où qu’elles viennent, qui empêche le transfert d’être conforme qu’un examen judiciaire des garanties offertes par ces outils en aux règles européennes, et que toutes les clauses contractuelles a révélé l’insuffisance. Le premier, le Safe Harbor, ne permettait que des partenaires pourraient conclure n’y changeront rien. pas l’exercice du droit d’accès par les personnes concernées, ré- Mais on peut le penser. www.ictjournal.ch © netzmedien ag juilletaoûtseptembre 2020