Par les bonnes grâces de Max Schrems, les accords légalisant les flux de données vers les Etats-Unis ont été invalidés. Quelles solutions d'ici la rédaction d'un nouveau texte, et à quel prix ?
4. Les transferts hors UE avant Schrems II
Un transfert ne peut
avoir lieu que dans les
cas suivants
Art. 44 RGPD
Décision
d’adéquation
(art. 45)
Législation nativement adéquate
Privacy Shield
Garanties
appropriées
(art. 46 & 47)
Instrument juridique entre
organismes publics
Règles d’entreprise
contraignantes (BCR)
Clauses Contractuelles Types
(CCT)
Code de conduite
Certification
Cas dérogatoires
(art. 49)
Consentement avec info spécifique sur les risques
Contrat
Intérêt public, défense de droits en justice, intérêts
vitaux
Transfert ponctuel + faible volume + intérêt légitime
impérieux du RT + DPIA + information CNIL
+95% des
transferts
hors UE*
*Estimation non officielle
7. Les transferts hors UE après Schrems II
Section 702 FISA et
Executive Order 12 333
Tous les transferts aux
Etats-Unis* effectués avec
ces mécanismes sont
concernés
*Logique valable pour tous les autres pays hors UE
8. Les transferts hors UE après Schrems II
Recommandations EDPB juin 2021
Sous peine d’illégalité du transfert il faut
mettre en œuvre :
▪ + Mesure technique quasi-obligatoirement (par ex.
chiffrement ou pseudonymisation)
▪ Et/ou Mesure juridique contraignante (par ex. utiliser les
CCT)
▪ Et/ou mesure organisationnelle (par ex. n’autoriser que le
transit des données hors UE)
Régulièrement impossible
Systématiquement très coûteux
9. Les transferts hors UE après Schrems II
Le recours à toutes les solutions américaines
Microsoft, Google, Amazon,… est actuellement illégal
Y compris lorsque vous avez demandé voire payé un
supplément pour avoir les centres de données
européens!
Relisez les petites lignes, ce qui est garanti en Europe ce
sont les données « at rest » mais jamais « in motion ».
Et quand bien même, la législation américaine permet à la
NSA de venir piocher dans des données hébergées en
Europe du moment que la société est américaine.
10. Les transferts hors UE après Schrems II
Le recours à toutes les solutions américaines
Microsoft, Google, Amazon,… est actuellement illégal
Pour preuve côté Microsoft, ce billet de blog officiel dans
lequel la firme se vend un peu. Cela donne en synthèse :
« Oui oui, nous sommes conformes. Mais bon d’ici 2022
nous allons quand même faire évoluer tout ça avant de
nous prendre un retour de bâton »
11. Les transferts hors UE demain ?
3 SOLUTIONS D’ICI 2025, DONT 2 AU PRIX FORT
Data umbrella ? Européanisation des GAFAM Cloud européen souverain
❑ Un remplaçant pour
le Privacy Shield ?
❑ Aucune nouvelle
tangible sur le sujet
❑ Données en Europe at rest et
in motion
❑ Equipes Microsoft hors
Europe ne peuvent pas
accéder aux données
❑ Données juridiquement et
techniquement en dehors du
champ d'action des autorités
américaines (créer des entités
juridiques indépendantes ?)
❑ Outils américains
encapsulés dans un
cloud européen
❑ Le service cloud fait
tampon entre les
Etats-Unis et l’Europe
12. ▪ Activer toutes les « mesures d’amélioration de conformité » disponibles nativement.
Par exemple pour Microsoft :
▪ Choisir les centres de données en Europe ;
▪ Activer la Customer LockBox (option M365 qui interdit à Microsoft d’accéder aux datas
sans votre autorisation même en cas d’intervention du support) ;
▪ Effectuer une analyse des risques pesant sur les personnes concernées ;
▪ Evaluer les coûts des solutions alternatives (chiffrement, changement pour une
solution européenne, etc.) ;
▪ Arbitrer, en étayant par écrit le raisonnement : tels risques résiduels VS tels coûts
pour améliorer la conformité // telles alternatives prochainement disponibles = statu
quo la plupart du temps
En attendant demain ?