Confidentialité et sécurité chez les fournisseurs de cloud

Cloud et Protection des données après "Schrems II" ; est-ce que cela va encore ensemble ? Oui, si certaines règles sont respectées, cela reste possible. Cet article de blog décrit brièvement ce à quoi il faut faire attention dans le domaine des "fournisseurs de services cloud de protection des données".

"Schrems II" et les nouvelles clauses contractuelles types

Avec le "Schrems arrêt II", la Cour de justice des Communautés européennes a établi que les RGPD s'applique également dans les cas où, pour des raisons de sécurité nationale, les autorités ou les services secrets d'un pays peuvent y avoir accès. C'est le cas aux États-Unis, pays d'origine des grands fournisseurs de services informatiques en nuage, et c'est diamétralement opposé au principe fondamental de la protection des données.

Une première étape pour résoudre le problème consiste à travailler avec l'importateur de données Clauses contractuelles types de la protection des données. Ainsi, la protection des données, Cloud et RGPD peuvent encore être réunies. Par décision d'exécution, la Commission européenne a adopté le 4.6.2021 de nouvelles dispositions relatives à l'utilisation de l'énergie nucléaire. Clauses contractuelles types et a constaté que des mesures supplémentaires telles que Anonymisation ou CryptageIl est important que les données soient traitées de manière à ce qu'un niveau de protection efficace puisse être établi, la clé se trouvant dans les mains de l'exportateur de données.

Contenu des nouvelles clauses contractuelles types

Dans les nouveaux Clauses contractuelles types des clauses générales sont combinées à une approche modulaire. Intéressant pour les entreprises soucieuses de la protection des données et Sécurité des données dans la Cloud Le module 2, "Responsable UE au sous-traitant dans un pays tiers", est particulièrement intéressant. État tiers.

Outre les 18 clauses au total, il faut également tenir compte des annexes I à III. Il convient notamment d'y faire une description complète et concrète du transfert de données, de décrire concrètement les mesures techniques et organisationnelles prises par l'importateur de données et d'énumérer les éventuels sous-traitants.
Dans le module 2, l'importateur de données est mis au courant des directives de la RGPD s'engage à respecter ses obligations. Conformément à son rôle de sous-traitant, l'accent est surtout mis sur son lien central avec l'exportateur de données.

Évaluation de l'impact du transfert

L'une des principales nouveautés de la nouvelle Clauses contractuelles types se trouve dans la clause 14 : "Législation et pratiques locales ayant une incidence sur le respect des clauses". Il existe désormais une obligation de procéder à une "évaluation de l'impact du transfert", c'est-à-dire à une évaluation complète au cas par cas. Analyse d'impact sur la protection des données. Il convient de répondre à la question de contrôle suivante : le fournisseur de services en nuage (importateur de données) peut-il et va-t-il remplir les obligations qui lui sont imposées par contrat en vertu de la directive sur la protection des données ? RGPD s'acquitter effectivement de cette tâche ?

Les critères d'évaluation sont notamment les suivants

• Circonstances de la TransmissionLes données à caractère personnel sont transmises à l'aide d'un système d'identification des personnes, des acteurs impliqués, des catégories de données à caractère personnel transmises, des canaux de transmission utilisés et de l'emplacement de stockage.
• La législation et les pratiques pertinentes du pays tiers, en particulier celles qui autorisent la divulgation de données aux autorités et aux services secrets ou l'accès à ces derniers. données à caractère personnel permettent.
• Conformément au considérant 19, deuxième phrase, de la décision d'application, une infraction aux dispositions de l'article 3, paragraphe 1, de la directive sur l'égalité raciale constitue une infraction pénale. Clauses contractuelles types de l'État tiers ne constitue pas en soi un impératif de non-transfert. Par Cryptage ou Anonymisation ce malus peut être "guéri".

Et maintenant ?

D'ici le 27.12.2022, tous les transferts de données vers un État tiersà condition qu'aucun Décision d'adéquation ou s'il existe une dérogation, aux nouveaux Clauses contractuelles types et des mesures complémentaires supplémentaires. 2B Advice se fera un plaisir de vous aider à relever ce défi. Nous vous aidons à RGPD de manière conséquente. Nous vous soutenons dans votre démarche, même Cloud, protection des données et Sécurité des données à tout moment.