L’invalidation du Privacy Shield

 
Invalidation Privacy shield
 

Le 16/07/2020, la Cour de Justice de l’Union Européenne (CJUE) , dans son arrêt dit « Schrems II » (C-311/18), a prononcé l’invalidation du Privacy Shield.
 
Concrètement, il n’est plus possible de s’appuyer sur ce dernier pour transférer les données vers les États-Unis.
C’est illégal, et sans délai !

 

Le privacy Shield, c’est quoi ?

Avant le 16/07/2020, il était possible de transférer des données vers les États-Unis sous couvert du Privacy Shield.
 
Le Privacy Shield était une décision d’adéquation adoptée en 2016 par la Commission Européenne permettant le transfert de données entre l’Union Européenne et les entreprises américaines adhérant à ses principes de protection des données sans autre formalité.
Mais alors que faire ?

 

Comment la décision affecte le transfert de données ?

La CJUE a tout de même validé les CCT qui encadrent les transferts en dehors de l’UE vers les États-Unis (ou tout autre pays tiers).
 
Il faut donc revoir tous les contrats, et y intégrer les CCT de la Commission Européenne. Malheureusement, les CCT ou les BCR seules ne suffisent plus, elles sont inopérantes.
 
Les États-Unis ont une législation sur la protection des données assez incomplète, qui est loin d’offrir le même niveau de protection que l’Union Européenne.
Pour preuve le CLOUD Act permet aux autorités américaines (sous certaines conditions) d’avoir accès aux données de citoyens du monde si elles se trouvent sur des serveurs de société relevant du droit américain, peu importe la localisation de ces serveurs.
 
Il faut donc comprendre que les données sur les serveurs de Microsoft ou Amazon Web Services situés en France peuvent être accessibles par le FBI. Et ces sociétés ne sauraient s’y soustraire.
 
C’est une des raisons principales pour lesquelles la CJUE a invalidé le Privacy Shield. Pour rappel, en 2016, l’ex-G29 était déjà préoccupé par le CLOUD Act dont le Privacy Shield n’éliminait pas le risque.

 

Nos recommandations

Il va donc falloir amorcer une transition pour ne plus utiliser de logiciels SaaS made in USA (qui sont clairement montrés du doigt), tout rapatrier en Europe, et utiliser des équivalents Européens (Tixeo pour la visioconférence, Olvid pour la messagerie instantanée, …).
 
Il est également possible d’utiliser des solutions open-sources à installer en Europe (cloud ou on-premise).
 
Avec un peu de temps, de volonté et de recherche, vous finirez par les trouver !
 
En ce qui concerne les données de santé : on s’interdit de les héberger chez des opérateurs américains (tels Azure, AWS) , même s’ils sont certifiés ou agréés Hébergeurs de Données de Santé en France.
 
Ainsi, on suit les recommandations de la CNIL, et on se tourne par conséquent vers des OVH, AZ Network ou encore Bretagne Télécom pour héberger sa solution (voir la liste).

 

Article rédigé par Frédéric – 07/12/2020