Faites-vous appel à des tiers de confiance américains ? Si la réponse est positive, l’été 2020 a marqué un tournant pour votre entreprise. Avant la fin de l’année, il devient urgent de se conformer aux nouvelles décisions en vigueur. Parmi les choix cruciaux à faire, s’entourer de partenaires européens doit être priorisé. La raison est...
Faites-vous appel à des tiers de confiance américains ? Si la réponse est positive, l’été 2020 a marqué un tournant pour votre entreprise. Avant la fin de l’année, il devient urgent de se conformer aux nouvelles décisions en vigueur. Parmi les choix cruciaux à faire, s’entourer de partenaires européens doit être priorisé. La raison est simple : la fin du Privacy Shield.
Le 16 juillet 2020, la Cour de Justice Européenne a annulé l’accord qui encadrait le partage de données à caractère personnel entre l’Europe et les Etats-Unis. Le “Privacy Shield” permettait à plus d’un demi-million d’entreprises américaines d’échanger quotidiennement des données avec l’Europe… Pour un montant de plus de 7 000 milliards de dollars de transactions commerciales.
De leur côté, les entreprises européennes travaillant jusqu’alors avec des prestataires ou tiers de confiance américains se retrouvent face à de nombreuses incertitudes. Dans cet article, Avis Vérifiés décrypte les conséquences de l’annulation du Privacy Shield. Quels sont les impacts pour les entreprises choisies comme prestataire de collecte d’avis client ?
1. Qu’est-ce que le Privacy Shield ?
Impossible de ne pas avoir entendu parler du RGPD. Depuis 2016, le règlement général sur la protection des données encadre, renforce et unifie la protection des données à caractère personnel de tous les ressortissants de l’Union Européenne. Pour les entreprises ayant recours au transfert de données aux États-Unis, un mécanisme reconnu par la Commission européenne permettait les différents échanges : le Privacy Shield EU-USA, ou “Bouclier de Protection des Données UE-États-Unis”.
Cette solution semblait adéquate pour transférer de façon sécurisée des données, selon la législation européenne. Le Privacy Shield était composé d’une série d’engagements et de principes de protection des données à respecter par les entreprises américaines.
Cependant, l’été 2020 est venu marquer la fin de cet accord… Et le début des incertitudes, pour les entreprises faisant confiance à des prestataires comme des sociétés d’avis clients américaines.
2. Les conséquences de l’invalidation du Privacy Shield
Le 16 juillet 2020, la décision est rendue par la Cour de Justice de l’Union européenne. Le protocole du Privacy Shield est invalidé.
Au cœur de cette décision d’annulation se trouve un combat européen : la protection des données des citoyens. En effet, la plus haute juridiction européenne a décrété que l’accord du Privacy Shield ne garantissait pas un niveau de protection assez élevé, concernant les données traitées sur le territoire américain.
Les outils de surveillance et les programmes d’accès aux données déployés par les autorités publiques américaines posent problème. L’annulation a donc été rendue effective sans délai… Mais cela ne signifie pas que tous les échanges de données entre les États-Unis et l’Union européenne doivent s’arrêter dès maintenant ! Voici la nuance à comprendre :
- La décision ne concerne que les données à caractère personnel des citoyens européens (comme la collecte d’avis clients via un tiers de confiance américain).
- Les transferts jugés “nécessaires” ne sont pas concernés (comme l’envoi d’un e-mail, la réservation d’un billet d’avion ou d’un hôtel, etc.).
Pour les entreprises réalisant des transferts de données à caractère personnel, il est donc nécessaire de se conformer au RGPD et à cette invalidation du Privacy Shield. En cas de non-respect de cette décision, les entreprises encourent une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Pour éviter d’en arriver là, il faut revenir aux outils fournis par le RGPD tels que les Clauses Contractuelles Types (SCC) ou les Règles d’Entreprises Contraignantes (BCR).
3- Rester conforme au RGPD : mode d’emploi
Pour remplacer le Bouclier de Protection qui ne protège plus les données, les Clauses Contractuelles Types (SCC) ou les règles d’entreprise contraignantes (BCR) peuvent être des solutions à privilégier.
Ces outils spécifiques formalisés par la Commission européenne restent valables malgré l’invalidation du Privacy Shield. Toutefois, ils ne se suffisent pas à eux-mêmes. Les entreprises décidant de s’appuyer désormais sur les SCC ou les BCR pour transférer des données personnelles doivent s’assurer d’une « protection substantiellement équivalente » (« essentially equivalent »).
Le risque zéro n’est donc pas garanti en matière de protection des données.
Voici la marche à suivre pour se conformer au RGPD, par le biais de ces nouvelles mesures :
Source : Solutions Numériques. “Annulation du Privacy Shield : comment rester conforme au RGPD”
Ces démarches, bien plus contraignantes et difficiles à mettre en place que le Privacy Shield, soulèvent désormais une nouvelle question : ne faut-il pas plutôt se tourner vers des prestataires et tiers de confiance européens, pour simplifier le traitement des données et sa mise en conformité au RGPD ?
4- Pourquoi privilégier les tiers de confiance européens ?
L’annulation du Privacy Shield met en lumière une réalité controversée. De nombreuses entreprises européennes font appel à des prestataires américains, dont le respect en matière de protection des données personnelles n’est pas assuré.
La bataille juridique entre l’Europe et les Etats-Unis soulève de trop gros risques à prendre pour les entreprises… Qui n’ont ni temps ni argent à perdre en période de crise.
Prenons l’exemple d’une société, dont l’activité s’étend dans l’hexagone et/ou au-delà des frontières françaises. Pour déployer une solution comme de la collecte d’avis clients en France et à l’étranger, pourquoi solliciter un tiers de confiance américain, dont les pratiques réglementaires sont dénoncées ?
Plus que jamais, nous souhaitons sensibiliser à l’importance de…
- Respecter les grands principes RGPD définis par l’Union européenne.
- Ne prendre aucun risque légal ou financier, en sollicitant par exemple un prestataire américain suite à l’annulation du Privacy Shield.
- Protéger les données à caractère personnel de vos clients, en privilégiant des tiers de confiance certifiés et au cadre légal explicite.
—
Chez Avis Vérifiés, la protection des données personnelles est notre priorité. A ce sujet, notre politique de confidentialité stipule l’ensemble de nos engagements. De plus, notre solution et nos prestations de collecte d’avis en ligne sont certifiées NF Service depuis le 28 mars 2014. Nous respectons également la norme NF ISO 20488 et le référentiel de certification NF522.
Pour collecter, modérer et diffuser les avis des 6 000 sites web et 20 000 magasins nous faisant confiance, nous plaçons toujours la transparence, l’authenticité et la fiabilité au cœur de nos actions. Avec Avis Vérifiés, pas besoin de bouclier pour protéger chacune de vos données ! Pour en savoir plus sur nos solutions et notre politique RGPD, contactez-nous.