Tribunes

Comment l'UE et les États-Unis vont modifier l'accord-cadre Safe Harbor en cinq points

Enza Iannopollo, chargée de recherche chez Forrester, est spécialisée dans le domaine de la Sécurité et des Risques (S&R).

Adieu « Safe Harbor », bienvenue au « EU-US Privacy Shield ». Le cabinet Forrester en analyse les conséquences pour les entreprises en cinq points et cinq plans d'action.

PublicitéAprès quelques mois de négociations, les autorités européennes et nord-américaines se sont enfin mises d'accord sur un nouvel accord-cadre Safe Harbor, le « EU-US Privacy Shield ». Les entreprises américaines qui se plieront aux exigences de ce nouvel accord pourront une fois de plus transférer vers les États-Unis les données à caractère personnel de citoyens européens à des fins de stockage et de traitement. La commission européenne a récemment publié le texte définitif de l'accord cadre et au cours des prochains mois, les autorités européennes et américaines devront prendre des mesures supplémentaires pour appliquer l'accord, ce qui donne aux entreprises le temps de prendre leurs dispositions. Les professionnels de la sécurité et des risques (S&R), ainsi que de la confidentialité des données, doivent prendre en compte ces modifications afin d'aider leurs services numériques à s'y préparer.

De façon plus précise, vous devez être conscient des éléments suivants :

1. Le nouvel accord « EU-US Privacy Shield » est un cadre qui repose sur des principes.

Il s'appuie sur les sept principes de confidentialité de l'accord-cadre Safe Harbor, et exige des entreprises qu'elles s'engagent par le biais d'« obligations rigoureuses » à protéger les données personnelles des citoyens européens, notamment en observant des règles plus strictes en matière de partage de données avec des tiers.

Action : Les entreprises devront toujours auto-certifier leur conformité à ce cadre, et les professionnels du S&R et de la confidentialité devront veiller à apporter des preuves de leurs pratiques en publiant des avis de confidentialité sur le site web de leur entreprise.

2. Les entreprises qui enfreignent les règles s'exposent à une interdiction de transférer des données.

Le département américain du Commerce (DoC) aura pour mission de vérifier que les entreprises honorent leurs engagements, notamment en vérifiant régulièrement que leurs pratiques en matière de traitement des données sont publiées sur leur site Internet. La Federal Trade Commission (FTC) aura pour mission de faire respecter la loi.

Action : Les professionnels de la Sécurité et des Risques doivent veiller à ce que ces exigences soient remplies car les pénalités infligées aux entreprises qui ne respecteront pas l'accord seront élevées : ces dernières risqueront par exemple d'être rayées de la liste des entreprises autorisées à transférer des données à caractère personnel entre l'UE et les États-Unis.

3. Les entreprises doivent rapidement traiter les plaintes des consommateurs concernant l'utilisation ou le traitement de leurs données.

PublicitéL'accord « EU-US Privacy Shield » prend très au sérieux les plaintes déposées par les consommateurs à propos de la manière dont sont gérées les données à caractère personnel : les entreprises doivent répondre à ces plaintes dans les délais définis. En outre, les autorités chargées de la protection des données dans les différents pays européens (Data Protection Authorities - DPA) pourront transmettre ces réclamations à la FTC. Un mécanisme gratuit de règlement des litiges sera également mis en place.

Action : Les professionnels de la Sécurité et des Risques ne doivent pas s'y tromper : ces nouvelles exigences viennent s'ajouter à celles que le règlement général sur la protection des données (General Data Protection Regulation - GDPR) leur imposera au cours des deux prochaines années. Par conséquent, il est essentiel qu'ils établissent des procédures standard de gestion de ces plaintes et partagent des accords de niveau de service (Service Level Agreement - SLA) crédibles pour éviter des procédures juridiques et la perte de leurs clients.

4. Les entreprises doivent modifier la façon dont elles traitent les données de leurs collaborateurs.

Si l'accord Safe Harbor n'a jamais eu pour objectif de superviser la gestion des données des collaborateurs, un grand nombre de multinationales l'ont utilisé dans ce but. Selon le nouvel accord, les entreprises doivent s'adresser aux autorités européennes chargées de la protection des données (DPA) pour obtenir des indications concernant le transfert international des données relatives aux collaborateurs européens, ce qui sera difficile à double titre. Primo, de nombreuses entreprises utilisent des outils standardisés pour gérer les fiches de paie, les ressources humaines ou la collaboration des employés sur des serveurs basés aux États-Unis. Secundo, il est de notoriété publique que les diverses autorités des pays européens chargées de la protection des données émettent des avis divergents à ce sujet.

Action : Les professionnels de la Sécurité et des Risques, ainsi que les responsables des ressources humaines, doivent immédiatement évaluer leurs risques en fonction, d'une part, de la nationalité de leurs collaborateurs et, d'autre part, de la capacité de leurs actuels fournisseurs d'outils de collaboration et de gestion des employés à se conformer aux exigences des autorités chargées de la protection des données concernées.

5. La surveillance des gouvernements reste une question ouverte.

L'engagement du gouvernement américain à résister à la tentation de surveiller de façon massive les citoyens européens demeure l'un des éléments fondamentaux de l'accord « EU-US Privacy Shield ». Cependant, cet engagement n'a pas force exécutoire. A contrario, l'UE et les États-Unis examineront chaque année l'évolution de ces pratiques de surveillance, ce qui implique que l'UE puisse invalider l'accord d'une année sur l'autre. Les clients européens peuvent également utiliser la Loi américaine sur les recours juridiques (US Judicial Redress Act) pour poursuivre le gouvernement américain par l'intermédiaire d'un médiateur dont le poste sera bientôt créé.

Action : Les professionnels de la Sécurité et des Risques doivent définir des canaux et des périodes pour communiquer sur ce sujet en toute transparence avec leurs clients. Les normes en vigueur dans l'industrie (ISO 27018*, par exemple) ou les accords de niveau de service (SLA) des entreprises qui permettent d'informer les clients des demandes de divulgation des données, contribueront à instaurer le degré de confiance indispensable entre les entreprises et leurs clients. Étudiez également les rapports relatifs à la transparence publiés par les géants de l'Internet ; vous y trouverez de précieuses informations.

* Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII