Le mois dernier, l’autorité autrichienne de protection des données a donné le coup d’envoi en publiant l’application post-« Schrems II » la plus percutante décision à ce jour.

Les professionnels de la protection de la vie privée font la course pour évaluer, se conformer, appliquer et trouver une solution à long terme plus viable pour les transferts de données.

Les nombreux coureurs de notre plateau se rappelleront, peut-être avec quelques papillons nostalgiques, qu’un pistolet de starter peut signifier trois choses : 1) le départ de la course ; 2) une faute et une disqualification pour un ou plusieurs ; 3) que la ligne d’arrivée approche – un tour à faire.

Les professionnels de la protection de la vie privée doivent désormais aider leurs PDG, leurs conseils d’administration et les plus hauts responsables gouvernementaux impliqués dans les discussions sur le transfert de données à comprendre ces trois possibilités et les impacts potentiels de chacune.

La course : « Prêt. Ensemble. Aller. »

Si l’on considère la décision autrichienne comme le début de la course, il faut reconnaître que l’échauffement a été long et épuisant. Pendant plus de 18 mois, les régulateurs, les décideurs politiques et les entreprises ont envisagé toutes les possibilités pour remédier aux problèmes d’accès du gouvernement identifiés par la Cour de justice de l’Union européenne lorsqu’elle a invalidé le bouclier de protection des données UE-États-Unis le 16 juillet 2020 – l’impulsion de cette affaire et décision – et mis en œuvre ceux qu’ils pouvaient. Cela pourrait être le début de quelque chose de beaucoup plus grand.

Publicité

La décision de l’Autriche est la première d’une cascade de décisions probablement similaires à venir et est la première parmi 101 cas de substance similaire que NOYB a déposée dans toute l’UE. En réponse, le comité européen de la protection des données établi un groupe de travail et considéré conjointement comment traiter ces 101 cas. le néerlandais et danois Les APD ont publié des déclarations indiquant qu’elles envisageaient la décision autrichienne, tandis que des rumeurs ont circulé tôt selon lesquelles la France rendrait une décision ensuite. Cela suggère que le reste des décisions pourrait suivre une logique similaire.

Cette décision est également le premier test de la suffisance des sauvegardes pour remédier aux problèmes d’accès des gouvernements étrangers dans la pratique dans le secteur commercial. Entre juillet 2020 et janvier 2022, les DPA Publié conseils sur les mesures complémentaires, lancé enquêtes sur l’adéquation des protections de transfert de données, et Publié décisions axées sur le secteur public et les défaillances de processus — incapacité à mener une évaluation de l’impact du transfert, par exemple. Ils ont tardé à décider si ces protections remplissaient leur test dans la pratique en dehors du secteur public et des zones particulièrement sensibles.

Jusqu’à maintenant.

Les 101 cas NOYB sont également loin de tout. La décision de l’Autriche s’inscrit dans le cadre d’une intensification plus large de l’application du RGPD et de la volonté affichée des APD de porter des affaires qui exigent des changements dans les pratiques commerciales (le récent rapport de l’APD belge décision contre IAB Europe en est un bon exemple). Nous savons que cette décision inspirera d’autres plaintes concernant Google Analytics et les transferts de données plus généralement. Nous en avons déjà vu un tel plainte en France. D’autres enquêtes majeures, telles que Facebook de la Commission irlandaise de protection des données Cas peut également entraîner des décisions à court terme et percutantes.

Le tir disqualifiant : « Faux départ »

Que vous regardiez depuis les tribunes ou que vous vous teniez sur la piste, un tir disqualifiant est éventrée. Cela pourrait certainement être pour les flux de données ou les communications et les modèles commerciaux qui en dépendent. La question est de savoir qui ou quoi est sorti. Cela dépend si :

  • D’autres APD adoptent une approche similaire dans l’immédiat.
  • Les entreprises de l’UE reculent devant les entreprises américaines en raison du risque perçu d’application de la loi.
  • Les entreprises américaines elles-mêmes localisent les services ou quittent le marché de l’UE.

Nous voyons déjà des preuves des trois.

Les professionnels de la protection de la vie privée devraient informer les hauts dirigeants des risques matériels accrus auxquels leurs entreprises sont confrontées et de la nécessité d’une plus grande diligence raisonnable pour démontrer aux partenaires de l’UE qu’ils ont atténué les risques liés aux transferts de données dans la pratique. Ils doivent mener des évaluations de l’impact du transfert et mettre en œuvre et documenter les mesures supplémentaires recommandées par le comité européen de la protection des données lorsque cela est possible. Ils devraient également faire prendre conscience aux hauts dirigeants que le risque subsistera jusqu’à ce qu’une solution diplomatique soit trouvée – un nouvel accord transatlantique et des solutions à plus long terme et plus globales.

Pour bien comprendre comment la décision de l’Autriche modifie le calcul des risques, les équipes chargées de la protection de la vie privée doivent tenir compte de ses conclusions. Pour une analyse approfondie de la décision, voir le récent rapport de Gabriela Zanfir-Fortuna article de blog. Pour les principaux plats à emporter, voir ci-dessous.

En bref, la décision met en œuvre une vision large de ce qui constitue un transfert de données personnelles, une vision uniquement juridique du risque auquel il faut remédier et une vision étroite de ce qui constitue des garanties adéquates pour remédier aux lacunes identifiées dans les protections d’accès des gouvernements étrangers.

  • Qu’est-ce qu’un transfert de données personnelles ? La décision constate que « les numéros d’identification Google Analytics en question ici peuvent être des données personnelles (sous la forme d’un identifiant en ligne). »* Elle atteint cette détermination en considérant « l’unicité des numéros d’identification », la possibilité qu’ils puissent être « combiné avec d’autres éléments » et utilisé par « certains organismes » pour « distinguer les visiteurs du site Web » et déterminer « s’il s’agit de nouveaux visiteurs ou de visiteurs récurrents du site Web ». La décision précise qu’un identifiant peut être considéré comme une donnée personnelle même si le destinataire lui-même ne peut pas lier cet identifiant à un individu tant que quelqu’un d’autre pourrait le faire en utilisant « des moyens légalement autorisés et des efforts raisonnables ». Cela implique bien plus que les identifiants de cookies.
  • A quels risques faut-il remédier ? La DPA explique qu’« il faut examiner si les « mesures supplémentaires » prises par la [recipient] combler les lacunes de protection juridique identifiées dans le cadre de l’arrêt (CJUE) du 20 juin 2020 – c’est-à-dire les options d’accès et de surveillance des services de renseignement américains. Cela découle d’une référence au paragraphe 70 du projet de recommandations plutôt qu’aux recommandations finales du comité européen de la protection des données, qui prévoit que «[a]Toute mesure supplémentaire ne peut être considérée comme efficace au sens de l’arrêt de la CJUE « Schrems II » que si et dans la mesure où elle corrige les lacunes spécifiques identifiées dans votre évaluation de la situation juridique dans le pays tiers. Bien qu’il ne soit pas clair pourquoi la décision cite le projet plutôt que les recommandations finales du comité européen de la protection des données, il convient de noter que la décision se concentre uniquement sur la résolution des lacunes juridiques dans le pays tiers plutôt que sur les lacunes « dans les lois et pratiques applicables à votre transfert », ce qui est l’expression utilisée dans les recommandations finales de l’EDPB. La décision met l’accent sur la nécessité de combler les lacunes de la protection juridique, en laissant de côté s’il existe des lacunes dans la protection dans la pratique.
  • Qu’est-ce qui constitue une protection adéquate ? La décision stipule que tant que le destinataire américain « a la possibilité d’accéder aux données dans [] texte brut [], les mesures techniques prises ne peuvent être considérées comme efficaces… ». Cela découle de la conclusion de la décision selon laquelle les mesures contractuelles et organisationnelles, y compris les rapports de transparence et « l’examen attentif de chaque demande d’accès aux données », peuvent ne pas être efficaces puisque les demandes de renseignements américaines autorisées ont été jugées par la CJUE incompatibles avec les droits fondamentaux. Cela découle également de la conclusion de la décision selon laquelle les garanties techniques, y compris la protection des données en transit et le cryptage des données au repos, peuvent ne pas être efficaces puisque la FISA 702 permettrait au gouvernement d’exiger des données en « possession, garde ou contrôle » du destinataire, y compris le clé cryptographique. Cela suggère que seule l’incapacité technique d’accéder aux données personnelles en texte brut peut être jugée adéquate lorsque ces données pourraient légalement être exigées en vertu de la FISA 702 ou d’autres lois étrangères problématiques.

Étant donné que de nombreuses opérations commerciales nécessitent un accès aux données en clair, la question essentielle est de savoir qui ou quoi pourrait être soumis à la FISA 702 ? Alors que le gouvernement américain a tenté Pour aider les entreprises à répondre à cette question, ce qui compte maintenant, c’est la façon dont les autorités de l’UE y répondent. Le 25 janvier, la conférence des commissaires allemands à la protection des données a publié un opinion d’expert par Stephen Vladeck sur le champ d’application de la FISA 702. Les questions posées par Vladeck et les réponses qu’il a apportées ont mis en lumière le large éventail d’entreprises qui sont confrontées à des risques à court terme d’examen réglementaire, d’amendes et de pertes d’affaires si les entreprises de l’UE craignent l’un ou l’autre et se tournent vers des fournisseurs de services nationaux.

Les autorités allemandes ont posé des questions sur l’applicabilité de la FISA 702 à des entreprises aussi diverses que les banques, les compagnies aériennes, les hôtels et les compagnies maritimes, et Vladeck a répondu que dans certains contextes, oui, cela pourrait s’appliquer à chacun. Les autorités allemandes ont également posé des questions sur les données détenues par des entreprises en Europe ayant des liens avec les États-Unis, conformément au raisonnement de l’intérimaire allemand Wiesbaden décision. Ici, la réponse est plus nuancée, mais la série de questions démontre que l’examen réglementaire et le risque commercial ont une portée considérable.

Le dernier tour : « Sprint »

Les négociateurs américains et européens qui construisent un remplacement pour le Privacy Shield se disputent depuis plus d’un an, mais, il semble certainement ils viennent d’entendre le coup « un tour à faire ». Ils semblent maintenant sprinter vers la ligne d’arrivée.

Pour les entreprises et les régulateurs, une solution diplomatique ne peut pas venir assez vite. Les recommandations du CEPD sur les mesures supplémentaires ont clairement indiqué que les entreprises ne pouvaient pas répondre aux préoccupations de la CJUE et des DPA avec les seules lois américaines sur la surveillance. La décision autrichienne a montré à quel point leurs options pratiques sont devenues limitées et à quel point les entreprises des deux côtés de l’Atlantique en paieront le prix sans solution politique.

La question restante est de savoir combien de temps ils franchiront la ligne et à quel point le terrain pourrait être différent au moment où ils le feront.

*Toutes les citations sont tirées de la traduction automatique de la décision autrichienne, publiée sur le site Web de NOYB.

Photo de Jacek Dylag sur Unsplash

Rate this post
Publicité
Article précédentAurora Mobile remporte le prix de la meilleure entreprise SaaS 2021 dans le cadre du 5e panneau d’affichage annuel de l’industrie chinoise des logiciels et des services d’information
Article suivantDe quelle saison Fortnite s’agit-il actuellement ?
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici