Malgré l’augmentation des amendes et l’invalidation du Privacy Shield par la CJUE, seule une entreprise sur cinq est actuellement en pleine conformité avec la réglementation européenne en matière de protection des données.
Tribune – Vérifier d’urgence l’état de leur protection des données et s’assurer que la digitalisation de leurs processus de communication garantit également la conformité avec le RGPD devient une priorité absolue pour les entreprises actives à l’international. Retarus, fournisseur majeur de services cloud qui soutient les entreprises dans le traitement de leurs données de communication en conformité avec la loi depuis des décennies, indique les facteurs clés à prendre en compte.
Selon un récent rapport publié par le cabinet d’avocats international DLA Piper, la valeur cumulée des amendes infligées pour des infractions au Règlement général sur la protection des données (RGPD) de l’UE a connu une hausse colossale de 40 % dans toute l’Europe au cours de l’année dernière. Depuis l’entrée en vigueur du RGPD en mai 2018, un total de 281 000 notifications de violation de données ont été signalées à travers l’Europe. Les amendes pour infraction à la réglementation vont jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global de la société sanctionnée. L’une des raisons de cette situation est l’incertitude juridique permanente qui l’entoure. L’arrêt de la Cour européenne (CJUE) sur le Privacy Shield ajoute encore de la confusion à ce sujet.
Retarus a compilé ci-dessous quelques conseils utiles sur le RGPD pour apporter un peu de clarté, en particulier pour les entreprises qui transfèrent des données personnelles au-delà des frontières de l’Union Européenne :
- Être transparent sur les données personnelles transmises
Les données personnelles comprennent toutes sortes d’informations sur une personne physique identifiée ou identifiable, telles que son nom, sa localisation, ses identifiants en ligne (par exemple ses adresses IP), ainsi que les éléments relatifs à son identité physique, psychologique, économique ou sociale. Elles incluent même les numéros de fax et les adresses emails. Ces données personnelles sont transmises lors des échanges d’e-mail, fax ou SMS. Par conséquent, les entreprises doivent être transparentes sur les données qu’elles possèdent ou recueillent, où elles les stockent, qui traite ces données, à qui elles sont transférées et si ces données sont traitées conformément au nouveau cadre juridique.
2. Vérifier si l’entreprise fait appel à des services informatiques fournis par des sociétés américaines
Si les entreprises font appel à des services informatiques fournis par des entreprises américaines, comme des hyperscalers, elles doivent vérifier très attentivement si leurs exportations de données répondent aux exigences du RGPD, notamment en matière de sécurité et d’archivage des emails.
3. Passer en revue les partenaires précédemment protégés par le Privacy Shield
En juillet 2020, la Cour européenne (CJUE) a déclaré invalide le Privacy Shield (l’accord de protection des données entre l’Europe et les États-Unis) et ce avec effet immédiat. Cette décision s’appuie sur le fait que les citoyens et les entreprises de l’Union Européenne ne bénéficiaient pas d’une protection suffisante contre l’accès des autorités américaines à leurs données.
Il est conseillé aux entreprises de vérifier si elles travaillent avec des sociétés qui étaient auparavant couvertes par le Privacy Shield. A cet effet, elles peuvent se référer au site web du cadre du Privacy Shield. Si tel est le cas, les entreprises doivent de toute urgence s’assurer de leur conformité au RGPD. En cas de doute, les entreprises peuvent demander au prestataire de services de délivrer un document confirmant que les données ne sont à aucun moment transférées aux États-Unis pour y être traitées, ni transmises à des prestataires de services aux États-Unis et que toutes les données sont traitées exclusivement dans l’Union Européenne.
4. Vérifier soigneusement les clauses contractuelles types ainsi que les règles d’entreprise contraignantes et les compléter si nécessaire
Selon le Conseil européen de la protection des données (CEPD), il n’est pas non plus nécessairement permis d’utiliser simplement les clauses contractuelles types (CCS) et les règles d’entreprise contraignantes (REC) comme base juridique pour l’exportation de données vers les États-Unis. Ceci vaut également pour les accords correspondants impliquant des pays comme la Chine ou la Russie. Le CEPD rappelle donc aux entreprises qu’il est nécessaire de prendre des « mesures supplémentaires » afin d’exclure complètement le droit d’accès des services de renseignement américains aux données personnelles, un point clé qui a été critiqué par la CJUE. Jusqu’à présent, seules des recommandations préliminaires pour assurer la conformité ont été émises par le CEPD. En outre, les entreprises sont autorisées à continuer de transférer des données vers les États-Unis conformément aux dispositions spéciales pour les situations spécifiques décrites à l’art. 49 du RGPD, pour autant que les conditions décrites dans le règlement soient remplies et respectées. À titre d’exemple, cela peut nécessiter une déclaration de consentement explicite de la part de la personne concernée.
5. Sélectionnez un fournisseur de services cloud approprié et qualifié
En choisissant le bon fournisseur de services cloud, les entreprises bénéficient de processus de communication performants, sécurisés et flexibles sur tous leurs sites. Dans le même temps, la protection des données conformément au GDPR ne devrait plus être un obstacle lors de la sélection de services cloud potentiels, surtout après que l’entreprise a déjà veillé à ce que tous les fournisseurs répondent à leurs exigences en matière de protection des données et de sécurité. Dans le meilleur des cas, le fournisseur peut garantir le traitement local des données au sein de l’UE, s’assurer que le traitement a lieu dans ses propres datacenters (même lors des activités de basculement ou de maintenance) et se tenir à l’écart des hyperscalers basés aux États-Unis.
Pour les entreprises qui souhaitent vérifier rapidement si elles sont en sécurité en matière de protection des données, Retarus a listé « 7 questions que vous devriez poser maintenant ». Les experts en communication d’entreprise de Retarus ont également mis à disposition un questionnaire, téléchargeable gratuitement, qui permet aux entreprises de vérifier facilement si un prestataire de services informatiques assure la protection des données conformément au RGPD.