Les articles de l'auteur L'Expert rgpd

L’article original de 2018 expliquait que le Privacy Shield permettait aux entreprises européennes d’utiliser des applications américaines, comme Dropbox ou Google Drive, pour traiter des données personnelles, à condition que ces entreprises soient certifiées et que le type de données transférées soit autorisé. Par exemple, Dropbox était certifié pour les données non liées aux ressources humaines (non-HR), ce qui signifiait que les données relatives aux employés ne pouvaient pas être stockées légalement sur cette plateforme.

Évolutions récentes concernant le Privacy Shield :

  • Invalidation du Privacy Shield en 2020 : Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield, estimant que les États-Unis n’offraient pas un niveau de protection des données personnelles équivalent à celui de l’Union européenne, notamment en raison des programmes de surveillance américains. 
  • Nouveau cadre de protection des données UE-États-Unis : En réponse à cette invalidation, l’Union européenne et les États-Unis ont négocié un nouveau cadre de transfert de données. Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation pour le Data Privacy Framework UE-États-Unis, permettant ainsi le transfert de données personnelles de l’UE vers les États-Unis en s’appuyant sur ce nouveau cadre. 

Implications pour l’utilisation des applications américaines :

  • Vérification des certifications : Les entreprises européennes doivent s’assurer que les fournisseurs américains qu’elles utilisent sont certifiés dans le cadre du nouveau Data Privacy Framework. Cette certification garantit que le fournisseur respecte les normes de protection des données établies entre l’UE et les États-Unis.
  • Types de données autorisées : Il est essentiel de vérifier les catégories de données couvertes par la certification du fournisseur. Par exemple, si un fournisseur est certifié uniquement pour les données non-RH, il ne serait pas conforme de lui confier des données relatives aux employés.
  • Clauses contractuelles types (CCT) : En l’absence de certification du fournisseur dans le cadre du Data Privacy Framework, les entreprises peuvent recourir aux CCT pour encadrer les transferts de données. Ces clauses standardisées, approuvées par la Commission européenne, établissent des obligations contractuelles pour assurer un niveau de protection adéquat des données transférées.

Recommandations :

  1. Audit des fournisseurs : Identifiez les applications américaines que vous utilisez et vérifiez leur statut de certification dans le cadre du Data Privacy Framework.
  2. Mise à jour des contrats : Si nécessaire, mettez à jour vos accords avec ces fournisseurs en intégrant les CCT ou en vous assurant qu’ils respectent les nouvelles exigences du cadre de protection des données.
  3. Surveillance continue : Restez informé des évolutions légales et réglementaires concernant les transferts de données internationales, car le cadre juridique peut évoluer en réponse à de nouvelles décisions judiciaires ou législatives.

En conclusion, bien que le Privacy Shield ait été invalidé, le nouveau Data Privacy Framework offre une base légale pour l’utilisation d’applications américaines, sous réserve de respecter les conditions établies et de s’assurer de la conformité des fournisseurs aux nouvelles normes de protection des données.

(article datant de octobre 2018)

Nous vous disons la vérité ici

Dans le cadre du RGPD et lorsque vous manipulez des données personnelles, vous vous demandez certainement si vous pouvez utiliser des applications américaines comme Dropbox, Google Drive ? La réponse se trouve dans le Privacy Shield.

Le Privacy Shield a été mis en place pour garantir la conformité de l’usage de ces applications pour les types de données autorisées. En effet, deux types de données sont autorisées ou pas : Les données RH et non-RH (RH voulant dire Ressources Humaines).

Par exemple, si vous interrogez la liste du Privacy Shield (https://www.privacyshield.gov/welcome) pour trouver le logiciel Cloud Dropbox, vous trouverez ces informations :

Privacy Shield - Dropbox - RGPD

La dernière colonne concernant les données couvertes (Covered data) indique uniquement « non-HR ». Cela signifie que Dropbox ne peux contenir des données RH, c’est à dire les données concernant les salariés d’une entreprise.
Evidemment, dans le cas de l’usage de Dropbox comme solution de sauvegarde externe ou de stockage, vous devez indiquer que les données sortent de l’UE, puisque les données sont susceptibles d’aller au USA. Pas contre, si vous sauvegardez ou stockez des données RH, vous n’êtes pas conforme à la loi RGPD.

Il va falloir trouver une autre solution, soit française, soit dans l’UE, soit autorisée par le Privacy Shield.

 

RGPD : Vous accompagner pour être conforme au RGPD

Depuis le 25 mai 2018, votre structure doit être en conformité avec le RGPD.
Théoriquement, vous risquez des sanctions pénales et une amende pouvant atteindre 4% de votre chiffre d’affaires annuel !
La CNIL est en mesure d’effectuer des contrôles dans votre établissements et notamment suite à des plaintes.

Afin de vous accompagner dans les meilleures conditions, nous vous proposons un programme sur mesure :

 

Etape 1 : L’état des lieux

Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, nous commençons par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre dans votre activité. Ce référencement est effectué sur le Registre des Traitements.

Nos experts identifient avec vous les processus concernés par le RGPD afin de calculer leur niveau de conformité et vous donnent les recommandations pour les modifications à apporter à vos outils et à vos processus.

Etape 2 : Plan d’actions et gestion des risques

Une fois l’audit effectué, il faut mettre en œuvre le plan d’action. Face à l’importance et à la diversité des travaux à mener, il importe de prioriser les actions en fonction de vos budgets.

Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données doivent être établies. Ceci entraîne une révision en profondeur de la politique de confidentialité.

Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne (Google, Dropbox, …) pour peu qu’ils gèrent des données de citoyens européens.

    Pour connaitre et exercer vos droits , notamment de retrait de votre consentement à l'utilisation de données collectés par ce formulaire, veuillez consulter notre politique de confidentialité.