Demo
Fr
Ch
Lu
BeInvalidation du Privacy Shield : quelles conséquences pour les entreprises et administrations françaises ?
La cours de Justice de l’Union Européenne invalide le Privacy Shield
INVALIDATION DU PRIVACY SHIELD :
QUELLES CONSÉQUENCES POUR LES ENTREPRISES ET ADMINISTRATIONS FRANÇAISES ?
Depuis le 16 juillet 2020 avec l’invalidation du Privacy Shield par l’Union européenne, les entreprises et administrations européennes contreviennent au RGPD en confiant des données personnelles à un éditeur ou hébergeur soumis au droit américain, sans l’accord formel des individus.
La cours de Justice de l’Union européenne invalide le Privacy Shield
Le 16 juillet 2020, la cours de Justice de l’Union européenne invalide le Privacy Shield.
Le Privacy Shield permettait à 5.000 hébergeurs et éditeurs américains d’être compatibles au RGPD alors qu’ils hébergeaient des données personnelles de citoyens européens hors UE. Cette dérogation avait été accordée car la commission européenne avait considéré, de manière surprenante, que la protection des données personnelles assurée par les lois américaines était équivalente à celle de l’Europe.
En juillet 2020, la Cour de Justice Européenne infirme cette position notamment à cause de l’existence du Cloud Act pour les données hébergées en Europe et d’autres lois américaines de « sécurité » (FISA, …) pour les données hébergées ou répliquées aux US.
Microsoft écarté pour le Health Data Hub français
Suite à l’invalidation du Privacy Shield, le conseil d’état demande à la CNIL, Commission nationale de l'informatique et des libertés, de travailler sur un mémoire portant sur le Health Data Hub français hébergé par Microsoft. Le 10 octobre 2020, la Cnil, demande l’arrêt du stockage des données de santé des citoyens français, par Microsoft. Cédric O, Secrétaire d'Etat chargé de la Transition numérique et des Communications électroniques, annonce alors, la recherche immédiate de solutions alternatives européennes. Cette décision intervient alors que des budgets conséquents sont engagés et les accords déjà signés avec Microsoft.
Le secrétaire d'Etat envisage-il, désormais, de confier l'hébergement du Health Data Hub à Gaia-X, le projet de cloud public franco-allemand ? Rien n’est encore acté.
Il est important de souligner qu’il s’agit de la première décision de ce type, rendue, pour atteinte au RGPD. Et elle ne sera manifestement pas la dernière puisque la prise de position de la CNIL s’appuie sur un argumentaire, établi pour les données de santé mais qui s’applique sur toutes données à caractère personnel.
Conséquences pour les entreprises et administrations européennes
Les entreprises et administrations européennes prennent désormais un risque en choisissant de confier des données personnelles à un éditeur ou un hébergeur de droit américain (même si ces données sont hébergées en France), sans accord formel des individus. Un nom ou un e-mail est une donnée personnelle.
Il est donc devenu dangereux, depuis le 16 juillet 2020, date d’invalidation du Privacy Shield, de stocker des données sur ses clients, prospects, employés … sur Aws ou Azure. Les entreprises ne respectant pas cette règle, encourent des amendes pouvant atteindre 20M€ et 4% du chiffre d’affaires mais aussi l’arrêt immédiat de l’utilisation des applications concernées.
Les entreprises européennes utilisant aujourd’hui des logiciels de sécurité américains en Saas, sont en risque. Ces derniers hébergent non seulement des données personnelles mais aussi des données sensibles. C’est le cas du proxy (stockage nominatif des sites web consultés par l’internaute). Il est donc contraire au RGPD d’utiliser un produit américain de passerelle de sécurité web dans le cloud.
Changer pour des alternatives européennes
Pour rester conforme à la RGPD et dans le respect de la loi, il est urgent que les entreprises européennes privées et publiques se tournent vers des fournisseurs et des éditeurs non américains pour l’hébergement de leurs données personnelles et le choix de leurs solutions SaaS.
Faire le choix des alternatives européennes permet de contribuer à l’indépendance stratégique française et européenne en cybersécurité. Mais également d’accroitre la qualité des solutions européennes disponibles en augmentant leurs capacités de développement.
Olfeo est un fervent défenseur de la souveraineté numérique européenne. Depuis plus de 19 ans, notre vision est alignée avec les attentes des entreprises exigeantes qui apportent une importance particulière à la confiance, à la protection des données personnelles et à la souveraineté.