Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi SignBand de l'école Exia Cesi de Bordeaux (Prix Jeune pousse) et Dicodys de l'ECE Paris (Prix du public).

L'Image du jour

Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi ...

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Fin du transfert des données privées vers les US, quelles alternatives pour les entreprises

L’invalidation du Safe Harbor ne signifie pas la fin de la surveillance des données par les agences gouvernementales américaines. (crédit : D.R.)

L’invalidation du Safe Harbor ne signifie pas la fin de la surveillance des données par les agences gouvernementales américaines. (crédit : D.R.)

Même si la décision prise hier par la Cour de justice de l'Union européenne met un terme au transfert légal de données entre l'Europe et les Etats-Unis, les entreprises multinationales ne seront pas hors la loi du jour au lendemain. Néanmoins, selon des avocats spécialisés dans la confidentialité des données, elles feraient mieux de chercher des solutions de rechange sans tarder.

Hier, la Cour de Justice européenne a invalidé l'accord Safe Harbor sur lequel s’appuyaient des milliers d'entreprises pour déplacer les données personnelles de l’autre côté de l'Atlantique. Depuis les révélations sur la surveillance exercée par l’agence de sécurité nationale américaine (NSA), le tribunal estime que l'accord passé en 2000 ne suffit plus à garantir la vie privée des Européens dès l’instant où leurs données sont stockées aux Etats-Unis. Même si la loi peut rester dans le flou pendant des mois, voire des années, les entreprises devraient chercher des alternatives au Safe Harbor. C’est en tout cas l’avis des avocats qui se sont exprimés lors d'une téléconférence organisée par l'International Association of Privacy Professionals (IAPP), première association mondiale de professionnels travaillant sur la protection des données.

« Les entreprises qui font des affaires entre l’Europe et les Etats-Unis et qui ont appliqué l'accord de bonne foi, bénéficieront sans doute d’une courte période de grâce avant que les autorités chargées de la protection des données ne viennent frapper à leur portes », a déclaré Brian Hengesbaugh, du cabinet d'avocats Baker & McKenzie et ancien membre de l'équipe qui a rédigé le Safe Harbor Agreement. Selon lui, « une action immédiate contre ces entreprises serait considérée comme un abus d'autorité de la part de ceux qui sont chargés de l'application de la loi », a-t-il ajouté.

Un délai beaucoup trop court

Mais pour d’autres, notamment les grandes entreprises américaines et les fournisseurs de services, le délai risque d’être beaucoup plus court. « Dans les pays européens où elles stockent des données, ces entreprises devraient recevoir assez rapidement des demandes de la part des autorités chargées de la protection des données, pour expliquer comment elles justifient leurs transferts de données », a déclaré Eduardo Ustaran, du cabinet d'avocats londonien Lovells Hogan. « Les procès intentés par des particuliers ou des défenseurs des droits de la personne, comme celui initié par le citoyen autrichien Max Schrems qui a abouti à la décision de mardi, représentent une menace encore plus grande pour les entreprises qui stockent des données européennes aux Etats-Unis », a déclaré pour sa part Christopher Kuner, avocat principal spécialisé dans la protection des données au cabinet Wilson Sonsini Goodrich & Rosati de Bruxelles. « La décision de la Cour de Justice européenne va obliger les autorités chargées de la protection des données à enquêter sur toutes les plaintes », a-t-il ajouté.

Des alternatives au Safe Harbor

Les entreprises disposent déjà de solutions alternatives au Safe Harbor. Le groupe de travail de l’Article 29, composé de représentants des autorités nationales chargées de la protection des données, du Contrôleur européen de la protection des données (CEPD) et de la Commission européenne, a élaboré ce qu'il appelle des « règles d’entreprise contraignantes » qui s’appliquent aux transferts de données transatlantiques entre les entreprises. L'UE a également développé des « clauses types » qu’il est possible d'inclure dans les contrats passés avec des partenaires et des clients. « Les entreprises peuvent aussi rédiger leurs propres contrats ou établir des accords avec plusieurs parties », a déclaré l’avocat Eduardo Ustaran.

« L'utilisation d'un nouvel outil juridique ne signifie pas qu’il faut repartir de zéro. Certains textes de l'accord Safe Harbor peuvent être recyclés, et les « règles d’entreprise contraignantes » de l'UE sont assez similaires », a-t-il ajouté. Hier, Microsoft a annoncé que les « clauses types » de l'UE lui permettaient de continuer les transferts de données et de protéger juridiquement les clients de ses services cloud, notamment Azure Core Services et Office 365. 70 autres entreprises disent pouvoir s’appuyer sur les « règles d’entreprise contraignantes ».

Un travail d’identification des données critiques

Mais pour la majorité des 4000 entreprises qui dépendent du Safe Harbor, dont un grand nombre de petites et moyennes entreprises, il y a beaucoup à faire. « La plupart sont dans l’incertitudes », a déclaré l’avocat du cabinet londonien Lovells Hogan. Selon lui, elles devraient commencer par identifier les transferts de données critiques et chercher les alternatives possibles. « Chaque pays de l'Union européenne dispose de sa propre autorité de protection des données, et toutes n’ont pas forcément la même approche de la question », a déclaré l’avocat Christopher Kuner, du cabinet Wilson Sonsini Goodrich & Rosati de Bruxelles. Certaines pourraient estimer que le Safe Harbor est toujours adéquate.  Néanmoins, ce dernier déconseille aux entreprises de prendre un tel risque. Et, s’il est facile de télécharger les clauses contractuelles types, de les imprimer et de les signer, il leur recommande de s’assurer qu’elles peuvent les respecter et, si besoin, de les faire approuver par une autorité nationale chargée de la protection des données.

« La décision prise mardi va sans doute affecter les entreprises, mais les Etats-Unis et l'UE n’ont pas mis un terme à la plus grande menace qui pèse sur la confidentialité des données : la surveillance des données par les gouvernements », a déclaré Nuala O'Connor, présidente et CEO du Centre pour la démocratie et la technologie. « Je ne pense pas que la vie privée d’une personne est mieux protégée aujourd'hui qu'elle ne l'était hier », a-t-elle ajouté. « Les États-Unis et l'UE ont déjà commencé à travailler sur un nouvel accord Safe Harbor, mais compte tenu de certains sujets, notamment la question de l'espionnage exercé par les gouvernements, un Safe Harbor 2 n’est pas pour demain », a encore estimé Eduardo Ustaran.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité