« Symplify est une société SaaS Martech qui héberge deux suites de produits : l’automatisation du marketing et l’optimisation de la conversion. Si vous souhaitez obtenir de l’aide pour mieux impliquer le cycle de vie de vos clients, veuillez nous contacter ici. »

Imaginez ceci : la CJUE (Cour de justice de l’Union européenne) a invalidé le bouclier de protection des données UE-États-Unis avec effet immédiat, ce qui signifie que les entreprises ne peuvent plus transférer de données personnelles vers les États-Unis sur la base du bouclier de protection des données. De plus, les entreprises américaines opérant sur le sol européen et hébergeant des données en Europe sont également considérées comme non conformes au RGPD. Du jour au lendemain, il pourrait ne plus être légalement possible d’utiliser des services cloud ou des installations d’hébergement affiliés à des entreprises américaines, si vous stockez des données personnelles couvertes par le RGPD. Si vous opérez sur le marché européen et traitez des données personnelles pour le compte de vos clients, vous pourriez être dans l’erreur ici.

C’est une ouverture de film assez puissante et le début d’une histoire qui va changer le monde dans lequel nous vivons. Il a tous les éléments qui constituent un véritable blockbuster.

Le nom du film ? Schrems II – c’est la suite dont vous n’avez jamais entendu parler. Revenons-y plus tard…

Alors, que regardez-vous ? C’est la nouvelle réalité pour les entreprises opérant au sein de l’UE et tout a commencé avec une personne, Maximilian Schrems, un avocat autrichien et sans doute le perturbateur numéro un en matière d’interprétation et de protection de la manière dont les données personnelles sont traitées.

Dans ce qui ne peut être décrit que comme le David contre Goliath des temps modernes, Schrems a fait campagne contre Facebook pour violation de la vie privée et le transfert présumé de données personnelles à la National Security Agency américaine dans le cadre du programme PRISM de la NSA. Et a gagné.

La décision a fondamentalement anéanti le bouclier de protection des données, permettant le chevauchement de la législation européenne et américaine, laissant maintenant un trou noir à sa place, avec de nombreuses questions qui restent sans réponse. Le CEPD (Comité européen de la protection des données) et la DPC (Commission de protection des données) ont déclaré qu’ils avaient l’intention de fournir des éclaircissements supplémentaires aux parties prenantes et des orientations pratiques sur les mécanismes de transfert de données personnelles, conformément à l’arrêt. Mais cela pourrait prendre un certain temps. **Le CEPD a depuis clarifié sa position conformément à la décision Schrems II** 2021-03-21.

En attendant, nous nous appuyons sur les principes fondamentaux du RGPD et sur son objectif de protéger et de servir les individus au sein de l’UE. Deux ans après le RGPD, il s’impose comme quelque chose de bénin, et il a mis en évidence un sujet brûlant : que font les entreprises de nos données personnelles ? Et plus important encore, que ne devraient-elles pas faire ?

Avec Schrems II fraîchement sorti de presse, il est parfaitement clair que le transfert de données personnelles à un tiers, qui dans ce cas ne peut garantir la sécurité desdites données, est en violation directe du RGPD.

Il y a actuellement plus de cent plaintes déposées contre des entreprises basées dans l’UE parce qu’elles continuent d’utiliser Google Analytics et Facebook Connect sur leurs sites web – et ce faisant, transfèrent des données à Google et Facebook aux États-Unis. Selon la décision de juillet, de tels transferts sont illégaux car Facebook et Google sont soumis aux lois de surveillance américaines et doivent donc divulguer les données des utilisateurs européens aux services de renseignement américains. Le prix pourrait s’avérer assez élevé, les autorités de protection des données pouvant infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel en cas de violation des règles du RGPD sur le transfert de données. Et cela s’ajoute aux éventuelles demandes de dommages et intérêts des utilisateurs concernés.

Alors, serez-vous affecté par cela ? Eh bien, cette question a principalement été répondue par la CJUE qui a essentiellement rejeté le principe même du bouclier de protection des données, arguant que les États-Unis ne limitent toujours pas la surveillance des citoyens de l’UE à ce qui est « strictement nécessaire ». La décision est de nature tellement binaire qu’il est difficile de répondre à la question autrement que par un « oui » retentissant.

Resterez-vous conforme au RGPD si vous continuez à stocker des données personnelles sur un service cloud ou une plateforme appartenant à une entreprise américaine, bien qu’hébergée au sein de l’UE ? La réponse, à la lumière de cette décision, est non.

« Jusqu’à présent, les grandes entreprises américaines de données répètent comme un mantra qu’elles évaluent la situation et veillent à ce que les données des utilisateurs soient protégées sur la base des CCT. Ces phrases vides ne changent rien au fait que les lois américaines sur la surveillance donnent aux autorités telles que la NSA le droit d’accéder à de grandes quantités de données transférées aux États-Unis. Jusqu’à présent, il n’y a que le silence sur ce conflit entre les contrats avec les clients de l’UE et les lois américaines ». – Marco Blocher, avocat spécialisé dans la protection des données chez noyb

Pour en revenir au début et à Schrems. Si vous n’avez pas vu le premier film, Schrems I (alerte spoiler ; la décision a invalidé la sphère de sécurité), ne vous inquiétez pas – vous êtes maintenant passé à la suite – Schrems II, où la décision a invalidé le mécanisme du bouclier de protection des données (qui a remplacé la sphère de sécurité). La couverture en direct est un véritable suspense. Qui sait, un troisième volet pourrait suivre…

Générique. Fin.

Chez Symplify, nous accordons de l’importance à l’intégrité des données personnelles et, sur la base de la décision de la CJUE, nous avons apporté des modifications à la manière dont nous stockons les données personnelles de nos clients, en les gardant en sécurité et hors de portée des tiers non autorisés. Si vous voulez en savoir plus sur la façon dont nous assurons la sécurité de vos données personnelles, n’hésitez pas à nous contacter.