Retour
12.01.2022
Bruno Murati
Blog
Infos produits

Invalidation de l’accord Privacy Shield : quelles conséquences pour le secteur public ?

Votre organisation utilise peut-être Google Analytics, Cloudflare, AWS, la suite Microsoft, etc. Qu'est-ce que cela signifie après l'invalidation de l'accord Privacy Shield par la Cour de justice européenne ?

L'accord Privacy Shield invalidé

Suite à l’invalidation de Safe Harbor en 2015, les organisations ont fondé leurs décisions d’autoriser le transfert de données vers des entités américaines sur les conditions prescrites dans l’accord Privacy Shield. Malheureusement pour de nombreuses organisations privées et publiques (mais heureusement pour la vie privée des citoyens de l’UE), l’accord de protection de la vie privée (Privacy Shield) a été invalidé le 16 juillet 2020 dans une affaire appelée Schrems II, dirigée par Max Schrems, un avocat et militant qui était étudiant lors de la contestation initiale.

Conséquences de l'invalidation du Privacy Shield

La conséquence pour les organisations qui ne sont pas conformes au RGPD (Règlement général sur la protection des données) est le risque d’une lourde amende si elles transfèrent des données aux États-Unis sur la base juridique désormais invalidée de l’accord Privacy Shield ou des Standard Contractual Clauses (SCCs).

Plus précisément, les contrôleurs de données ne peuvent pas utiliser de sous-traitants situés aux États-Unis ou contrôlés par une entité américaine. Il existe des exceptions, mais le contrôleur local doit vérifier la légitimité au cas par cas.

Les fournisseurs américains les plus courants sont ciblés par la FISA (Foreign Intelligence Surveillance Act). Cela inclut les « fournisseurs de services de communication électronique » américains et toutes les données circulant vers ou via les États-Unis, à moins qu’elles ne soient protégées contre les écoutes téléphoniques par la NSA. Les serveurs situés dans l’UE et ayant des liens avec une société américaine entrent dans la même catégorie.

Vous trouverez plus d’informations fournies par Max Schrems et NOYB sur leur site web qui fédère des groupes de défense des droits des consommateurs, des militants, et des initiatives de protection des données : https://noyb.eu/en/next-steps-eu-companies-faqs

Pourtant, aujourd’hui, les organismes publics et les entreprises continuent évidemment d’utiliser ces services, sans que les utilisateurs consentent explicitement au transfert de leurs données personnelles ou acceptent que ces données soient soumises aux programmes américains de surveillance de masse.

Même le géant monopolistique de la suite bureautique a été surpris en train de suivre les utilisateurs et de transférer des données aux États-Unis par « télémétrie », expliquant qu’un préjudice économique en résulterait si « désactivé » était le paramètre par défaut de « l’expérience connectée ». De toute évidence, cela ne vaudrait pas la peine de protéger la vie privée des utilisateurs à leurs yeux.

En raison de leur responsabilité envers les citoyens et de leur responsabilité dans la protection des données personnelles, les institutions publiques ont un rôle essentiel à jouer. Elles doivent donner l’exemple à toutes les organisations en choisissant des fournisseurs basés dans l’UE qui offrent non seulement la résidence locale des données, mais qui sont également respectueux de la vie privée.

Le point de vue du secteur public suédois

L’Agence suédoise de protection de la vie privée déconseille même aux entreprises d’utiliser les services cloud populaires de Microsoft, Azure AD et Teams.

L’Agence suédoise des impôts et l’Agence suédoise de contrôle ont décidé en mai 2021 d’analyser les plateformes de collaboration alternatives à Teams. Ils ont conclu que : « Bien qu’il n’ait pas été possible de décrire l’ensemble du marché de manière exhaustive, nous pouvons clairement voir qu’il existe des alternatives appropriées et légales aux services cloud américains. Certaines solutions semblent même plus performantes et sont déjà utilisées aujourd’hui par plusieurs organismes du secteur public, certaines depuis quelques années alors que d’autres ont été utilisées pendant la pandémie ».

L’Autriche reconnait que Google Analytics n’est pas conforme au RGPD

Selon le régulateur autrichien, les garanties ne sont pas suffisantes pour empêcher efficacement les services de renseignement américains d’accéder aux données, comme l’exige le respect de la norme du RGPD.

L’ONG NOYB, citée précédemment, a déposé une centaine de plaintes dans la quasi-totalité des pays de l’UE. Il est fort probable que des décisions similaires soient prises dans d’autres pays dans les mois à venir.

La CNIL française reconnait à son tour la non conformité de Google Analytics au RGPD

Après l’Autriche, la France se met au diapason en estimant que l’usage de Google Analytics est une violation du RGPD.

C’est effectivement le jeudi 10 février 2022 que la CNIL a rendu son verdict, équivalent à celui prononcé par son homologue autrichien. 3 sites français ont d’ores et déjà reçu une mise en demeure.

Ekara contribue à assurer votre conformité RGPD

Si vous lisez cet article, vous voudrez peut-être vérifier si votre solution de Digital Experience Management (DEM) est entièrement conforme au RGPD et vous assurer que vos données ne sont pas soumises à la surveillance américaine.
Lorsqu’il s’agit de suivre l’expérience offerte aux utilisateurs de services numériques, la tentation est manifeste de collecter des données sur le comportement des utilisateurs ; néanmoins, l’accent doit être mis sur le site Web ou l’application et les performances qu’il offre.

Ekara est la solution qu’il vous faut. Toutes ses technologies embarquées prennent en charge les deux aspects. Entièrement conforme au RGPD, toutes les données sont hébergées en Europe. De plus, la technologie JavaScript d’Ekara RUM (Real User Monitoring) choisit de s’abstenir de suivre la navigation des utilisateurs, se concentrant plutôt sur la façon dont les services numériques sont expérimentés.

Peu après la décision Schrems II, la ville de Stockholm en Suède a recherché des alternatives pour mesurer l’expérience délivrée aux utilisateurs ainsi que les temps de réponse de ses e-services. Alors que Google Analytics était utilisé avant l’invalidation de l’accord Privacy Shield, la ville de Stockholm a trouvé dans Ekara des avantages supplémentaires pour améliorer encore le cycle de vie des applications et les processus de développement.

Dans la région nordique, Ekara est déjà fournisseur d’organisations publiques majeures telles que la ville d’Helsinki, le dossier social et médical électronique finlandais (Apotti), l’autorité régionale des transports publics de la région de Skåne, l’Agence suédoise des contingences civiles (MSB), et plein d’autres.

Ensemble, nous croyons que nous pouvons aider toutes les organisations, qu’elles soient publiques ou privées, à protéger la vie privée de leurs utilisateurs dans l’Union européenne et au-delà.

 

Sources :
https://joinup.ec.europa.eu/collection/joinup/news/privacy-shield-invalidation
https://noyb.eu/en/next-steps-eu-companies-faqs
https://techlaw.se/vad-ar-foreign-intelligence-surveillance-act-fisa/
https://techlaw.se/sverige-esam-publicerar-rapport-om-digitala-samarbetsplattformer-for-offentlig-sektor/