Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?

Cabinet de conseil
en systèmes d’information
Transferts hors UE : bientôt le
bout du tunnel, mais à quel prix ?

Avant Schrems II
Après Schrems II
Demain ?
En attendant ?
Sommaire

Avant-propos : Schrems II
Directive
Adoption Safe
Harbor
Annulation Safe
Harbor (Schrems I)
Adoption Privacy
Shield
Annulation Privacy
Shield (Schrems II)
Data umbrella ?
1995
2001
2015
2016
2020
2022

Les transferts hors UE avant Schrems II
Un transfert ne peut
avoir lieu que dans les
cas suivants
Art. 44 RGPD
Décision
d’adéquation
(art. 45)
Législation nativement adéquate
Privacy Shield
Garanties
appropriées
(art. 46 & 47)
Instrument juridique entre
organismes publics
Règles d’entreprise
contraignantes (BCR)
Clauses Contractuelles Types
(CCT)
Code de conduite
Certification
Cas dérogatoires
(art. 49)
Consentement avec info spécifique sur les risques
Contrat
Intérêt public, défense de droits en justice, intérêts
vitaux
Transfert ponctuel + faible volume + intérêt légitime
impérieux du RT + DPIA + information CNIL
+95% des
transferts
hors UE*
*Estimation non officielle

Les transferts hors UE après Schrems II

Section 702 FISA et
Executive Order 12 333
Tous les transferts aux
Etats-Unis* effectués avec
ces mécanismes sont
concernés
*Logique valable pour tous les autres pays hors UE

Recommandations EDPB juin 2021
Sous peine d’illégalité du transfert il faut
mettre en œuvre :
▪ + Mesure technique quasi-obligatoirement (par ex.
chiffrement ou pseudonymisation)
▪ Et/ou Mesure juridique contraignante (par ex. utiliser les
CCT)
▪ Et/ou mesure organisationnelle (par ex. n’autoriser que le
transit des données hors UE)
Régulièrement impossible
Systématiquement très coûteux

Le recours à toutes les solutions américaines
Microsoft, Google, Amazon,… est actuellement illégal
Y compris lorsque vous avez demandé voire payé un
supplément pour avoir les centres de données
européens!
Relisez les petites lignes, ce qui est garanti en Europe ce
sont les données « at rest » mais jamais « in motion ».
Et quand bien même, la législation américaine permet à la
NSA de venir piocher dans des données hébergées en
Europe du moment que la société est américaine.

Le recours à toutes les solutions américaines
Microsoft, Google, Amazon,… est actuellement illégal
Pour preuve côté Microsoft, ce billet de blog officiel dans
lequel la firme se vend un peu. Cela donne en synthèse :
« Oui oui, nous sommes conformes. Mais bon d’ici 2022
nous allons quand même faire évoluer tout ça avant de
nous prendre un retour de bâton »

Les transferts hors UE demain ?
3 SOLUTIONS D’ICI 2025, DONT 2 AU PRIX FORT
Data umbrella ? Européanisation des GAFAM Cloud européen souverain
❑ Un remplaçant pour
le Privacy Shield ?
❑ Aucune nouvelle
tangible sur le sujet
❑ Données en Europe at rest et
in motion
❑ Equipes Microsoft hors
Europe ne peuvent pas
accéder aux données
❑ Données juridiquement et
techniquement en dehors du
champ d'action des autorités
américaines (créer des entités
juridiques indépendantes ?)
❑ Outils américains
encapsulés dans un
cloud européen
❑ Le service cloud fait
tampon entre les
Etats-Unis et l’Europe

▪ Activer toutes les « mesures d’amélioration de conformité » disponibles nativement.
Par exemple pour Microsoft :
▪ Choisir les centres de données en Europe ;
▪ Activer la Customer LockBox (option M365 qui interdit à Microsoft d’accéder aux datas
sans votre autorisation même en cas d’intervention du support) ;
▪ Effectuer une analyse des risques pesant sur les personnes concernées ;
▪ Evaluer les coûts des solutions alternatives (chiffrement, changement pour une
solution européenne, etc.) ;
▪ Arbitrer, en étayant par écrit le raisonnement : tels risques résiduels VS tels coûts
pour améliorer la conformité // telles alternatives prochainement disponibles = statu
quo la plupart du temps
En attendant demain ?

Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?

Contenu connexe

En vedette

Transferts hors UE : bientôt le bout du tunnel, mais à quel prix ?