Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Invalidation du Privacy Shield : les organisations professionnelles réclament des mesures contre l’insécurité juridiqueCrédits : BlackJack3D/iStock

L’Asic, Syntec Numérique et TECH IN France s’inquiètent vivement des conséquences de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne

Avec cet arrêt, la CJUE a considéré que les États-Unis n’offraient pas le niveau de protection adéquat pour traiter les données des personnes physiques installées en Europe. Théoriquement, les entreprises ne sont pas pour autant démunies puisque restent en lice les Clauses Contractuelles Types (CCT) notamment. 

Cependant, pour transférer des données vers ce pays tiers, les responsables de traitement sont tenus alors d’associer des garanties complémentaires pour s’assurer que les lois américaines (ou de n’importe quel autre pays hors UE) et la protection accordée aux citoyens soient équivalentes à celle en vigueur en Europe. 

« La CJUE exige désormais que les entreprises exportatrices évaluent elles-mêmes le niveau d’adéquation du pays tiers ne bénéficiant pas de décision d’adéquation valide, en tenant compte des lois du pays où se situe l’importateur, et en particulier des pratiques permettant l’accès auxdites données par les autorités publiques du pays en question », résument les organisations. 

Elles alertent sur la nécessité que « les autorités européennes et nationales mettent tout en œuvre pour proposer des mesures transitoires d’application immédiate qui permettront de sécuriser les entreprises dans l’attente d’un cadre protecteur stabilisé ». Elles réclament des autorités de contrôle des recommandations « précises, opérationnelles et adaptées » pour assurer ces transferts, et ce de manière cohérente pour éviter un patchwork d’interprétations. 

La Commission européenne est invitée à mettre à jour « dans les meilleurs délais » les CCT, « en prenant en compte la décision de la CJUE, afin de garantir la stabilité juridique de ce mécanisme de transfert vers les pays tiers ». 

Ces acteurs institutionnels sont priés enfin de se prononcer « sur les risques ou, le cas échéant, le niveau d’adéquation des pays tiers, afin de faciliter la mise en conformité des acteurs responsables souhaitant poursuivre leurs transferts vers des pays tiers jugés non adéquats et de garantir ainsi une approche harmonisée et cohérente pour toutes les organisations européennes ».

32 commentaires
Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 28/09/20 à 09:17:51

Les pauvres. :mdr2:

Avatar de erw_da Abonné
Avatar de erw_daerw_da- 28/09/20 à 09:22:55

Ce qu'elles laissent implicite c'est qu'elles n'envisagent absolument pas de ne pas transférer les données. On a des entreprises avec un business illégal qui réclament d'être protégées par la loi.

Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 28/09/20 à 09:30:37
erw_da

Il faudrait les envoyer faire un stage erasmus à Naples. :ouioui:

Avatar de Tiebor INpactien
Avatar de TieborTiebor- 28/09/20 à 09:51:36
erw_da

Oui, c'est ce que j'ai compris aussi... !!

Et quid des clients de ces entreprises? (notamment publics).
Mettons un hôpital. Si j'ai bien compris le RGPD, le responsable est et reste toujours le "responsable de traitement", autrement dit le directeur de l'hôpital. On ne change pas un SI en quelques mois, et on est souvent captif des fournisseurs. Si j'ai bien compris, il suffisait avant l'annulation du Privacy Shield de signer des clauses types et alors l'exportation de données aux EU n'étaient plus illégales. Mais maintenant, concrètement, on fait quoi? On est dans l'illégalité?
Je ne parle pas de ce qu'on va faire dans 6 mois, 2 ans ou 10 ans. Mais aujourdui, là tout de suite maintenant. Hier même.
Ce ne sont pas ces entreprises qui sont le plus victimes d'insécurité juridique, ce sont leurs clients (qui théoriquement peuvent aller en prison....)
Ou alors, j'ai pas tout compris.

NB: je précise que je ne suis pas contre la politique UE de protection des données, hein, bien au contraire. Tout cet imbroglio est pour la bonne cause, mais en attendant, la position des responsables de traitement me semble inconfortable...

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 28/09/20 à 09:52:44

Elles attendent quoi au final, une liste de pays avec des drapeaux verts, oranges et rouges, selon le niveau de protection ?
Ce sont elles qui ont décidé d'héberger NOS données dans des pays qui n'offrent pas de protection suffisante. Elles ont l'air de le découvrir, pourtant il y a eu les rélévations de Snowden, l'invalidation du Safe Harbor, et je passe sur les autres scandales de ces dernières années qui montrent ce que les hébergeurs états-uniens font de ces données. Donc elles ont eu tout le temps nécessaire pour prendre connaissance du niveau de protection, ou de trouver une solution de rechange.
Ils nous refont le coup du RGPD "ah on ne savait pas, laissez-nous encore deux ou trois ans pour nous adapter, promis cette fois on va le faire".

Avatar de Tiebor INpactien
Avatar de TieborTiebor- 28/09/20 à 10:01:22

Tu as raison, mais dans l'immédiat, c'est pas elle qui sont en danger juridique... ce sont les responsables de traitement (= leurs clients)

Avatar de popsy Abonné
Avatar de popsypopsy- 28/09/20 à 10:15:21

Tout bon DSI en suivant l'actualité sait depuis plusieurs années que les transferts vers les USA sont un peu touchy. Donc si il n'a pas prévu d'alternative, c'est quand même pas mal de sa faute. Dans ma boîte (avec un budget IT d'environ 0 €) on avait déjà des mesures en places pour réduire ça même si on a encore quelques dépendances vers des services potentiellement traités aux USA.
Donc à la place d'aller se plaindre ils devraient activement chercher à ne pas envoyer de données de citoyens européens aux USA.

Avatar de Tiebor INpactien
Avatar de TieborTiebor- 28/09/20 à 11:56:33

Oui, en théorie...
Mais il y a des domaines où les alternatives ne sont pas pléthoriques.
Et c'est pas comme si le lieu de traitement des données était le seul critère de choix d'une application....
"tout bon DSI" a une vision globale, mesure les impacts, et pondère les différents critères pour prendre une décision (décision qui, en termes de SI, peut par ailleurs prendre des années à être totalement mise en oeuvre).

Avatar de j34n-r0x0r INpactien
Avatar de j34n-r0x0rj34n-r0x0r- 28/09/20 à 12:34:15

Ça tombe bien vu que ça fait des années que ça traîne.

"Fait chier, j’ai encore un stock d’amiante, c’est encore les clients dont l’offre va diminuer qui vont en pâtir. Pauvres clients, bouhouhou "

Sans dec' :roll:

Avatar de Coeur2canard Abonné
Avatar de Coeur2canardCoeur2canard- 28/09/20 à 12:45:07

Bcp de ptites boites traitent de la donnée perso, et n'ont pas un grand DSI manitou qui gère à proprement parlé ces questions (peut-être que ceux qui ont bossé ds la ptite startup verront de quoi je parle).
Du coup oui, l'invalidation du PS pose question et crée de l'incertitude. Combien de boites traitent de la donnée perso sur du google drive (et pareil pr office 365, AWS et compagnie)... et n'ont pas le début de commencement dune réponse sur ce qui doit ou doit pas être fait. Oui je suis lecteur de NXI et je sais que des alternatives existent, mais peu sont finalement ds les clous, et les G docs restent pratiques pr bon nombre d'entre elles.
Tt ça pr dire que oui ça chouine, oui ok c'est peut-être pas si mal de mettre un coup de pied pr gicler les solutions de type gafam, ms qu'en attendant bien sûr que ca crée de l'incertitude et de l'inquiétude.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4