webleads-tracker

Le RGPD, dernière ligne de défense ? | Spark Archives

Le RGPD, dernière ligne de défense ?

Dernière ligne de défense - Les postulats.

Le Règlement Européen sur la protection des données (RGPD) apporte beaucoup d’avancées sur la protection des individus et sur les modalités de traitement des données personnelles. Afin de porter la réflexion au-delà de nos préoccupations locales françaises, j’ai choisi de confronter à l’actualité deux objectifs du RGPD afin de mesurer les enjeux et les modalités pratiques d’application de ce fameux règlement. Nous allons ici nous intéresser à deux principes du RGPD cités dans l’un de nos précédents billets [1] :

  • L’applicabilité du RGPD hors de l’UE : si des données de citoyens européens sont collectées, stockées ou utilisées dans un pays non européen, elles resteront soumises au droit de l’Union, non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur. Tout transfert de données hors UE ne sera possible et autorisé que si un outillage assurant une protection suffisante et appropriée des personnes a été mis en place ;
  • Le renforcement de la coopération entre les différentes autorités de protection des données, avec prises de décision et sanctions unifiées…

Force est de constater que ces grands principes sont louables et constituent une forme de résistance face aux gros acteurs du traitement de donnés que sont les GAFA et bien au-delà les acteurs de l’internet ou les opérateur/éditeurs qui déploient des applications à des millions ou milliards d’abonnés dans le monde (De Microsoft à Snapchat en passant par les banquiers ou les assureurs)

Le cas pratique

Il est toujours bon de confronter les normes et règlements à la réalité du terrain qui réserve toujours des sources insoupçonnées de complexité.

Un procès qui oppose Microsoft au Gouvernement américain depuis 2013 montre un cas très concret de risque de contournement d’application du RGPD. Dans cette affaire les Etats-Unis demandent à leur Cour Suprême (et non pas à une quelconque autorité de protection des données européenne) d’autoriser le transfert aux Etats-Unis de données appartenant à un ressortissant non américain. De plus, lesdites données sont contenues dans des emails stockés dans un data center en Irlande.

En langage RGPD (l’article 48), toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre. Bien que des exceptions existent, dont le motif d’intérêt général reconnu par l’Union Européenne notamment, rien ne semble pouvoir justifier en l’espèce le transfert.  

Les pays européens suivent de près cette affaire et manifestent leurs inquiétudes. La commission européenne est même intervenue dans la procédure. L’Assemblée Nationale française a réagi récemment en adoptant une résolution le 31 décembre 2017 dans laquelle elle exergue « le risque que ferait porter un tel principe d’extraterritorialité du droit américain sur la souveraineté numérique de l’Union européenne ». La décision de la Cour suprême américaine est prévue en juin 2018…

Les enjeux

On aurait donc tort de penser que le RGPD ne vise qu’à protéger un peu plus les individus et à obliger les acteurs économiques à justifier de la pertinence du traitement et de la conservation des données. Les enjeux politiques et commerciaux sont désormais tout autres.

On comprend en effet qu’au-delà du consentement, de la protection des données personnelles ou du droit d’accès pour l’usager ou le client, l’organisation et la préservation des processus par lesquels les tiers peuvent avoir accès aux données personnelles représente un enjeu essentiel du RGPD dans un monde de plus en plus dématérialisé où il devient essentiel de savoir par qui, où et comment sont traitées vos données.

Les professionnels traitant les données ont donc tout intérêt à documenter et assurer un traitement des données dans le cadre proposé par le RGPD car les usagers, sensibilisés par l’actualité vont être de plus en plus regardants sur la transparence des traitements opérés et sur la localisation de leurs données.

J’en veux pour preuve un paradoxe frappant. Microsoft a reçu dans cette affaire le soutien d'IBM, Alphabet (Google), Apple, Verizon et Amazon notamment. Les fameux GAFA, principales cibles ayant conduit à la mise en œuvre du RGPD, font cause commune pour défendre les données de leurs utilisateurs dans ce bras de fer avec le Gouvernement américain conscients que si Microsoft perd, les clients n’auront plus aucune confiance dans les opérateurs qui s’évertuent désormais à communiquer sur leur grand sens de la responsabilité concernant les données personnelles de leurs utilisateurs.

Ce que nous enseigne cet exemple

La maitrise des modalités de traitement ou de transfert des données personnelles n’est pas si simple à mettre en place puisque les Etats non européens cherchent naturellement à contourner les réglementations Européennes et la résistance de l’Europe doit continuer à se structurer si l’on veut effectivement pouvoir « protéger » les citoyens européens.

Maitriser la gouvernance et l’emplacement des données devient un impératif si l’on veut pouvoir bénéficier des mécanismes de protection voulus par le RGPD. Les Clouds souverains et privés ainsi que l’hébergement en interne des données pour les opérateurs européens sont donc des solutions à privilégier à l’heure où l’emplacement d’un serveur en Irlande contenant des donnés pour un service de messagerie utilisable partout dans le monde pourrait constituer la dernière ligne de défense des européens face à la Cour Suprême des Etats-Unis.

Enfin, le respect du RGPD doit être vu, bien au-delà du risque de sanctions financières prévues par le RGPD, comme un moyen de préserver l’image de marque et donc le risque économique qui pèse sur votre activité si vous perdiez la confiance de vos clients.

Sébastien CUQ
Responsable Commerce International SPARK Archives

[1] https://www.spark-archives.com/fr/protection-des-donnees-Route-RGPD

Nous contacter

Adresse : La Boursidière - BP 159

92357 Le Plessis-Robinson Cedex

Contact : +336 76 99 26 97

Sebastien.cuq@kleegroup.com

Email : sparkarchives@kleegroup.com

Du même Auteur

 
Tags:  RGPD

Ajouter un commentaire

Plus d'information sur les formats de texte

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Mark language-dependent sections with == marker == where marker is either a valid language code or a special code such as all or other.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <pre>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Nous contacter

Adresse :
La Boursidière
BP 159
92357 Le Plessis-Robinson Cedex
 
Téléphone :
+33 (0)1 46 29 25 25
Email :
e-mail icon
Twitter icon
Facebook icon
Google icon
LinkedIn icon

Spark Archives, une solution éditée par KLEE GROUP

Contact

Spark Archives
La Boursidière
92357 Le Plessis-Robinson Cedex

+33 (0)1 46 29 25 25

sparkarchives@kleegroup.com

Nous rejoindre

Découvrez nos offres de stages et nos offres d'emploi et postulez en ligne !

Nous suivre