Top 6 des meilleurs chargeurs de batterie de moto en 2020 Avis et guide d'achat
3 novembre 2020
10 grands widgets d'écran d'accueil iPhone pour vous aider à démarrer
3 novembre 2020
0

La portée du RGPD ne s'arrête pas aux frontières de l'Europe. L'utilisation de plates-formes cloud non européennes et de logiciels en tant que service en Europe est devenue beaucoup plus compliquée.

Protection des données et cybersécurité

La protection des données et la cybersécurité sont des sujets différents, mais liés. La cybersécurité est l'ensemble des technologies, des contrôles et des comportements qui se combinent pour former la réponse d'une organisation au risque de cybermenaces. La cybersécurité signifie empêcher les méchants d'entrer et les données à l'intérieur.

La protection des données est l'ensemble de la gouvernance et des contrôles – principalement des politiques et des procédures – conçus pour sauvegarde données personnelles et assurez-vous qu'elles sont utilisé dans la lettre de la loi.

Certaines des exigences de protection sont satisfaites par vos mesures de cybersécurité, et c'est le point où la protection des données et la cybersécurité se croisent. Protéger signifie également s'assurer que votre personnel ne fuit pas de données par de simples erreurs comme l'envoi d'une feuille de calcul au mauvais destinataire. Et c'est là que vos politiques et procédures de gouvernance des données entrent en jeu.

La manière dont ces documents sont structurés et les mesures qu'ils doivent appliquer sont régis par les lois et réglementations auxquelles vous devez adhérer. Cela est établi par la législation locale qui, à son tour, est fonction de la géographie et de la politique.

Les entreprises qui utilisent le cloud computing peuvent être basées à des milliers de kilomètres de leur gamme d'applications commerciales, de données et de serveurs. Une entreprise basée en Europe, par exemple, peut utiliser un service physiquement situé dans un centre de données aux États-Unis.

Le transfert de données personnelles vers des pays non européens est compliqué. Et c'est devenu plus compliqué.

RGPD

le Règlement général sur la protection des données 2016 est devenu exécutoire en 2018.

Ce qui concerne le RGPD, c'est le traitement, le stockage et la transmission de données personnelles ou d'informations personnellement identifiables (PII). En traitement signifie effectuer toute action sur ou avec des données personnelles. L'exécution d'une requête SQL compliquée pour extraire des enregistrements correspondant à un certain groupe démographique ou l'envoi d'un seul e-mail à un seul destinataire sont deux exemples de traitement.

Il existe une obligation légale pour les organisations qui traitent, stockent ou transmettent des données personnelles d'appliquer une gouvernance et des garanties satisfaisantes sur les données. Le but de cette exigence est de protéger et de faire respecter les droits et libertés des personnes concernées – les personnes auxquelles appartiennent les données.

C'est un parcours très rapide – le RGPD est 88 pages de bureaucratie laconique. Il y en a beaucoup, beaucoup à faire, et le diable est dans les détails.

Données personnelles

Les données personnelles sont toutes les informations relatives à un individu, qu'elles concernent sa vie privée, professionnelle ou publique. C'est une portée énorme. Il peut s'agir d'un nom, d'une adresse personnelle, d'une photo, d'une adresse e-mail, de coordonnées bancaires, de publications sur des sites Web de réseaux sociaux, d'informations médicales, de l'adresse IP d'un ordinateur, etc.

Et vous n’avez pas besoin de détenir suffisamment d’informations pour identifier une personne pour qu’elles soient classées comme données personnelles. C’est comme un puzzle numérique. Si vous détenez une seule pièce du puzzle qui pourrait être utilisée avec les autres pièces – même si elles doivent provenir ailleurs – pour identifier une personne, votre seule information est classée comme des données personnelles et doit être traitée conformément au RGPD .

En fait, c'est mondial

Le plus grand mythe du RGPD est qu'il ne s'applique qu'aux États membres du Union européenne et c’est quelque chose dont seules les organisations européennes doivent faire face.

La réalité est que si vous employez des Européens, avez des locaux en Europe, faites du commerce avec des entreprises ou des citoyens européens, le RGPD s'applique à vous. Le RGPD est un règlement qui protège les citoyens européens et leurs données personnelles et s'applique à toute organisation qui traite des données personnelles appartenant à des Européens. C'est comme ça Google a été condamné à une amende de plus de 50 millions USD.

Il existe quelques exceptions. Les entreprises non européennes de moins de 250 employés doivent toujours protéger les données et les utiliser conformément au RGPD, mais elles sont épargnées un peu de la paperasse et de la tenue de registres.

Et le mot qui appartiennent est intéressante dans ce contexte.

Nous avons l'habitude de penser en fonction de ma base de données, de ma feuille de calcul, de ma liste de diffusion, etc. Et c’est exact, ils vous appartiennent. Mais si mes données se trouvent dans l'un de vos systèmes numériques, légalement, elles sont mes données et vous avez un copie de celui-ci. Ce ne sont pas vos données. C'est à moi. Et j'ai droits de la personne concernée dicter ce que vous pouvez et ne pouvez pas faire avec ces données.

Il est révolu le temps où vous pouviez récolter des données sans souci, en faire ce que vous vouliez et les partager avec qui vous jugiez bon. Maintenant, vous avez besoin d'un base légale même à collecte les données en premier lieu, ainsi qu'une base légale pour les traiter.

Traverser les frontières

Le RGPD indique que vous ne pouvez transmettre des données personnelles à d'autres pays que si elles sont:

Si vous ne faites pas partie de l'Union européenne, ni de l'Espace économique européen, vous êtes classé pays tiers.

Jusqu'à présent, Andorre, l'Argentine, le Canada, les îles Féroé, Guernesey, Israël, l'île de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay sont des pays tiers avec des décisions d'adéquation.

Les données personnelles peuvent être transmises à l'un de ces pays tiers où elles seront traitées, stockées et transmises avec le même degré de protection et de gouvernance que si elles étaient traitées dans une région soumise au RGPD.

Deux noms sont absents de cette liste. Les États-Unis et le Royaume-Uni se distinguent par leur absence.

Le Royaume-Uni et le Brexit

Le Royaume-Uni est en train de sortir de l'Union européenne. Si le Royaume-Uni quitte l'Union européenne sans accord commercial lui permettant de rester un membre fonctionnel de l'Espace économique européen, il deviendra un pays tiers et nécessitera une décision d'adéquation sur un cadre et une législation appropriés en matière de protection des données.

Le Royaume-Uni a une législation prête pour cela. Chapitre deux du Royaume-Uni Loi sur la protection des données 2018 contient (plus ou moins) l'ensemble du RGPD. La législation est donc prête, elle est déjà inscrite dans le droit britannique, et elle doit sûrement être adéquate car elle est le RGPD.

Le problème est que le processus de décision sur l'adéquation est très lent.

Les États-Unis et le bouclier de protection des données

Les États-Unis ont une décision d'adéquation partielle. le UE-États-Unis. et Suisse-États-Unis. Cadres du bouclier de protection des données ont été conçus par le Département américain du commerce, la Commission européenne et le Administration suisse fournir un mécanisme acceptable de transfert de données à caractère personnel entre l'Union européenne, la Suisse et les États-Unis.

Les États-Unis ont reçu un partiel décision d'adéquation, car le bouclier de protection des données n'est pas une législation nationale et n'est pas obligatoire. Les organisations décident si elles doivent participer ou non. C'est opt-in.

En fait, il est plus juste de dire que les États-Unis eu une décision d'adéquation partielle.

Schrems 2

Le cadre du bouclier de protection des données a bien fonctionné. Il a permis aux fournisseurs de plateformes cloud américains et Logiciel en tant que service entreprises à commercer en Europe et à servir les clients européens même si leurs centres de données peuvent avoir été situés aux États-Unis.

Cela a bien fonctionné jusqu'à ce que Schrems Maximilliens, un militant autrichien de la protection des données, a porté une affaire devant le Cour de justice de l'Union européenne (CJUE). Il a gagné l'affaire, et un le jugement a été rendu par la CJUE le 16 juillet 2020. Ceci a été suivi d'une déclaration de position de la Suisse Commissaire fédéral à la protection des données et à l'information.

L'affaire se résumait à savoir si le cadre du bouclier de protection des données était suffisamment solide pour justifier une décision d'adéquation, même partielle. En remportant l'affaire, Privacy Shield a été invalidé.

Une partie de l'affaire reposait sur les initiatives de collecte et de surveillance de masse des États-Unis, telles que PRISME et EN AMONT, et la capacité du Agence de Sécurité Nationale et d'autres agences similaires pour demander les données personnelles des clients à des sociétés américaines.

Maintenant quoi?

Shutterstock / Natalya Timofeeva

Les grandes organisations comme Google et Microsoft disposent de centres de données stratégiquement positionnés dans différentes régions telles que l'Europe, l'Afrique, le Moyen-Orient et l'Asie. Ceci est fait spécifiquement pour desservir ces régions à partir de ces régions. Mais avoir des centres de données en Europe ne résout pas le problème. La NSA peut toujours les forcer à transmettre les données, quel que soit l'emplacement du centre de données. Le simple fait d’avoir un centre de données en Europe ne résout rien.

Donc, pour résumer, les États-Unis sont un pays tiers sans décision d'adéquation et il semble extrêmement probable que le Royaume-Uni se trouvera bientôt exactement dans la même situation.

Il n'y aura pas de moyen simple pour le transfert de données personnelles entre des entreprises européennes et des entreprises britanniques ou américaines. Même au sein d'une société internationale ou d'un groupe d'entreprises, le transfert de données d'un bureau en Europe vers une succursale à Londres ou à New York sera compliqué.

Mais il doit y avoir un moyen pour une entreprise européenne de pouvoir envoyer des données à un pays tiers sans décision d'adéquation. Le comité européen de la protection des données ne pouvait certainement pas s'attendre à ce que le RGPD tombe comme une guillotine pour rompre les liens commerciaux existants avec, par exemple, le Moyen-Orient?

En fait, des dispositions existent pour cette même éventualité. Elles sont:

  • Les dérogations
  • Codes de conduite et mécanismes de certification
  • Règles d'entreprise contraignantes
  • Clauses contractuelles types

C'est quelque chose. Mais même ainsi, ce ne sera pas simple.

Les dérogations

Les dérogations sont des écarts spécifiques au pays par rapport à la lettre du RGPD qui ont été approuvés par la Commission européenne et l'Autorité de surveillance du pays en Europe. Chaque entreprise doit transmettre son propre dossier.

Les dérogations permettent une certaine flexibilité dans certaines conditions et constituent une dérogation tolérée et justifiée aux exigences habituelles. Malheureusement, ils doivent être appliqués de manière restrictive et ils ne peuvent pas devenir la norme. Ils sont par définition l'exception à la règle. En outre, ils se rapportent aux «activités de traitement occasionnelles et non répétitives».

Ainsi, les dérogations ne sont pas pratiques pour les transferts commerciaux réguliers de données personnelles.

Codes de conduite et mécanismes de certification

Le comité européen de la protection des données déclare que Codes de conduite et mécanismes de certification peut offrir des garanties appropriées pour les transferts de données à caractère personnel vers des pays tiers s'il existe des engagements contraignants et exécutoires de la part de l'entreprise dans le pays tiers.

Les associations et les organismes professionnels peuvent préparer des codes d'approbation et d'enregistrement. L'article 42 du RGPD stipule que «des mécanismes de certification de la protection des données, des sceaux ou des marques… peuvent être établis dans le but de démontrer l'existence de garanties appropriées fournies par les responsables du traitement ou les sous-traitants qui ne sont pas soumis au présent règlement.»

Un énorme travail devrait être consacré à un tel système.

  • Un code de conduite et un mécanisme de certification appropriés devraient être élaborés par les associations professionnelles ou les organismes professionnels du pays tiers.
  • Le code devrait être évalué et approuvé par le comité européen de la protection des données.
  • Les entreprises représentées par l'association ou l'organisme professionnel dans le pays tiers devraient adopter le code et être en mesure de prouver leur conformité.
  • Les entreprises participantes devront être examinées et, si elles réussissent, certifiées. Cela nécessite la création d'un organisme de certification.
  • Les entreprises participantes devraient alors être surveillées pour assurer la conformité continue avec le code.

Il n’existe pas de codes de conduite approuvés aux États-Unis ni au Royaume-Uni, bien que le Royaume-Uni Bureau des commissaires à l’information déclare avoir mis en place des processus pour accepter les candidatures. Ne vous attendez pas à une rotation rapide.

Règles d'entreprise contraignantes

Les règles d'entreprise contraignantes sont des règles internes qui définissent la politique internationale des groupes multinationaux d'entreprises et des organisations internationales concernant les transferts transfrontaliers – mais toujours au sein de la même organisation – de données personnelles.

Les règles d'entreprise contraignantes sont détaillées et complètes et très similaires aux contrats. Il existe un ensemble standard d'informations et de sujets dont l'inclusion est obligatoire. Les règles d'entreprise contraignantes doivent être soumises à l'examen et à l'autorisation de l'autorité de surveillance du pays européen.

Les règles d'entreprise contraignantes sont complexes et prennent du temps à créer, mais pour une multinationale ou une grande organisation internationale, elles simplifieront considérablement les transferts de données une fois qu'elles seront mises en œuvre.

Clauses contractuelles types

L'entreprise européenne et l'entreprise du pays tiers doivent accepter d'utiliser un contrat de clauses contractuelles types approuvé par la Commission européenne. Ces contrats fournissent des garanties supplémentaires de protection des données qui sont nécessaires en cas de transfert de données à caractère personnel vers un pays tiers.

Les clauses contractuelles types doivent être signées par les deux parties. S'ils ne sont pas signés, ils ne sont pas considérés comme étant en place.

Des clauses contractuelles types peuvent être incluses dans un contrat plus large et des clauses supplémentaires peuvent être ajoutées, pour autant qu'elles ne contredisent pas, directement ou indirectement, les clauses contractuelles types. Vous ne pouvez pas ajouter de clauses au contrat pour essayer de remplacer les exigences des clauses contractuelles standard que vous n'aimez pas.

Vous pouvez modifier les clauses contractuelles types pour prendre en compte une situation spécifique ou particulière. Une fois modifiées, bien entendu, ce ne sont plus des clauses contractuelles standard. Ils deviennent ad hoc clauses contractuelles et avant de pouvoir être utilisées, elles doivent être autorisées par l’autorité de contrôle de la protection des données de l’entreprise européenne.

La Commission européenne a produit des séries de clauses contractuelles types, et sur les quatre options disponibles, elles semblent être la meilleure solution générale.

Est-ce la solution?

Peut-être. Il est difficile d’imaginer comment des entreprises comme Microsoft, Amazon et Google pourront convenir et signer une copie des clauses contractuelles standard pour chaque entreprise européenne qui souhaite travailler avec elles.

Certains fournisseurs de logiciels en tant que service ont inclus des clauses contractuelles standard dans leurs conditions générales. Mais leur libellé répondra-t-il aux exigences de la Commission européenne? Un autre problème est la signature. Les fournisseurs de services espèrent que votre acceptation de leurs conditions générales tient lieu de signature.

Cela pourrait bien nécessiter un scénario de test pour créer un précédent avant que cela ne devienne clair.

Autres articles

5 juin 2024

Le Scénario Pédagogique dans le Milieu des Formateurs

En savoir plus
16 mai 2024

Les Meilleurs Buzz sur TikTok : Qu’est-ce qui Fait le Succès ?

En savoir plus
8 avril 2024

Développement des compétences émotionnelles en entreprise : l’importance des ateliers de développement d’équipe efficaces

En savoir plus
//]]>