Confidentialité et sécurité chez les fournisseurs de cloud
Cloud et protection des données après "Schrems II" ; est-ce que cela va encore ensemble ? Oui, si certaines règles sont respectées, cela reste possible. Cet article de blog décrit brièvement ce à quoi il faut faire attention en matière de "protection des données - fournisseurs de services informatiques en nuage".
"Schrems II" et les nouvelles clauses contractuelles types
Avec l'arrêt "Schrems II", la Cour de justice européenne a établi que le RGPD s'applique également dans les cas où, pour des raisons de sécurité nationale, les autorités ou les services secrets d'un pays peuvent y avoir accès. C'est le cas pour les États-Unis, pays d'origine des grands fournisseurs de cloud, et cela est diamétralement opposé à l'idée fondamentale de la protection des données.
Une première étape pour résoudre le problème consiste à conclure des clauses contractuelles standard avec l'importateur de données. Ainsi, la protection des données, le cloud et le RGPD peuvent encore être réunis. Par une décision d'exécution, la Commission européenne a publié le 4 juin 2021 de nouvelles clauses contractuelles types et a constaté qu'un niveau de protection efficace pouvait être établi par des mesures supplémentaires telles que l'anonymisation ou le cryptage, dont la clé devrait être détenue par l'exportateur de données.
Contenu des nouvelles clauses contractuelles types
Les nouvelles clauses contractuelles types combinent des clauses générales avec une approche modulaire. Le module 2 est particulièrement intéressant pour les entreprises qui attachent de l'importance à la protection et à la sécurité des données dans le cloud : responsable UE vers sous-traitant dans un pays tiers.
Outre les 18 clauses au total, il faut également tenir compte des annexes I à III. Il faut notamment y faire une description complète et concrète du transfert de données, décrire concrètement les mesures techniques et organisationnelles prises par l'importateur de données et énumérer les éventuels sous-traitants.
Dans le module 2, l'importateur de données est tenu de respecter les dispositions du RGPD. Conformément à son rôle de sous-traitant, l'accent est surtout mis sur son lien central avec l'exportateur de données.
Évaluation de l'impact du transfert
L'une des principales nouveautés des nouvelles clauses contractuelles types se trouve dans la clause 14 : "Législation et pratiques locales ayant une incidence sur le respect des clauses". Il existe désormais une obligation d'effectuer une "évaluation de l'impact du transfert", c'est-à-dire une analyse d'impact complète sur la protection des données au cas par cas. Dans ce cadre, il convient de répondre à la question de contrôle suivante : le fournisseur de services en nuage (importateur de données) peut-il et va-t-il réellement respecter les obligations qui lui sont imposées par contrat en vertu du RGPD ?
Les critères d'évaluation sont notamment les suivants
- les circonstances du transfert, les acteurs impliqués, les catégories de données à caractère personnel transférées, les canaux de transmission utilisés et l'emplacement de stockage.
- la législation et les pratiques pertinentes du pays tiers, en particulier les normes qui autorisent la divulgation de données aux autorités et aux services secrets ou leur accès aux données à caractère personnel
- Conformément au considérant 19, deuxième phrase, de la décision d'exécution, une norme de l'État tiers contraire aux clauses contractuelles types n'entraîne pas en soi une obligation de ne pas procéder au transfert. Le cryptage ou l'anonymisation permet de "remédier" à ce malus.
Et maintenant ?
D'ici le 27 décembre 2022, tous les transferts de données vers un pays tiers devront, sauf décision d'adéquation ou dérogation, être mis en conformité avec les nouvelles clauses contractuelles types et les mesures complémentaires et supplémentaires. 2B Advice se fera un plaisir de vous aider à relever ce défi. Nous vous aidons à respecter le RGPD de manière conséquente. Nous vous aidons à garantir à tout moment la protection et la sécurité des données, même dans le cloud.