Il est difficile de passer à côté de cette nouvelle : le Privacy Shield est mort.
Cet accord, qui a légalisé sans contraintes les échanges de données entre l’Union Européenne et les Etats-Unis, a été abrogé par la Cour de Justice de l’Union Européenne. Cette décision a été principalement motivée par les dispositions énoncées dans le RGPD, cette bible européenne qui garantit les droits liés aux traitements des données personnelles.
Nous ne reviendrons pas sur le Privacy Shield et sa raison d’être, car nous l’avons déjà abordé sur notre blog auparavant (on vous en parlait en 2016 ici, et ici).
En revanche, nous allons essayer de présenter clairement les impacts immédiats de la décision, les choix que vous devez faire, et les actions à mener.
Des impacts non-négligeables, et une opportunité
Vu que l’abrogation du Privacy Shield a été motivée par les dispositions du RGPD, les impacts premiers de la disparition de ce cadre légal va porter sur tous les traitements portant sur les données personnelles.
Lors de votre analyse d’impact de vos traitements des données personnelles, vous avez identifié les localisations où sont menés les différents traitements. Et vous avez alors identifiés les traitements opérés aux États-Unis. Et votre DPO vous a alors confirmé qu’il n’était pas nécessaire de procéder à une sécurisation complémentaire, car en vertu du Privacy Shield, les Etats-Unis sont reconnus comme un pays offrant le même degré de protection des données personnelles.
L’abrogation du Privacy Shield signifie donc que tous vos traitements concernés sont à ré-analyser, et à sécuriser si nécessaire.
De même, cela signifie que l’accord contractuel avec votre fournisseur doit être renégocié : non plus standardisé au regard du Privacy Shield, mais basé sur les clauses contractuelles types proposé par la Commission Européenne (qui ne doivent pas être modifiées). Avec des mécanismes complémentaires qui permettent au responsable du traitement de pouvoir protéger efficacement les données hébergées aux Etats-Unis, pays identifié comme à risque pour les données personnelles.
Ne sous-estimez pas cette phase là : dans le cas d’une plainte d’un de vos utilisateurs vis à vis de ses données personnelles, vous êtes responsables de la non-sécurisation du traitement. Si l’infraction est grave, votre amende sera de 4% du CA mondial du groupe dont vous faites partie.
L’opportunité pour vous est donc de reprendre le contrôle sur ce que vous faites, dans quelles conditions vous le faites, et où vous le faites.
Si la décision est motivée par le RGPD, elle s’applique néanmoins à l’ensemble des traitements. Y compris les “simples” transferts de données, qui sont considérés comme des traitements à part entière.
Bref, penchez-vous sur l’hébergement de vos services, de leur PRA; motivez vos DPO et votre département juridique. Vous avez besoin d’eux plus que jamais dans votre quotidien.
L’heure des choix
Vous avez cédé aux sirènes du Cloud. On vous en félicite.
Vous avez reçu les avances des GAFAM, et d’autres acteurs américains qui vous ont certifié que “tout va bien”.
Vous devez maintenant vous en assurer. Quitte à revoir certains choix stratégiques?
L’abrogation du Privacy Shield vous met face à vos choix de partenaires, et à votre stratégie SI. Ainsi qu’aux usages Shadow IT de votre entreprise…
Il est nécessaire de valider vos choix à l’aune de cette décision. Car n’oublions pas que si le Privacy Shield est né, c’est d’abord car il remplace le Safe Harbor, accord du même type avec les mêmes visées… Rien ne garantit que le remplaçant du Privacy Shield (car il y en aura un, toujours aussi peu pertinent) restera en vigueur pour des années. Et puis, encore faut-il que vous n’ayez aucun incident pendant cette période d’absence d’accord UE-USA…
Le marché a évolué : pour vos traitements et vos solutions, avez-vous la possibilité de rapatrier l’hébergement dans l’Union Européenne? Pouvez-vous faire la migration de vos usages vers des solutions fonctionnellement identiques mais proposées et développées dans l’Union Européenne? Faut-il examiner l’offre Gaia-X, ou la mettre définitivement de côté (ou, plus probablement, revenir voir le catalogue dans 1 an) ?
Le choix plus global que vous devez assumer est celui de votre dépendance : dans quelle cadre préférez-vous gérer votre dépendance à un ou plusieurs fournisseurs? Dans quelle mesure avez-vous les capacités, ou pouvez-vous acquérir les capacités, pour gérer l’incertitude?
Cette stratégie d’approvisionnement de vos usages Cloud a toujours été un point critique et sous-estimé dans l’adoption du Cloud. Vous avez aujourd’hui le choix de prendre le sujet à bras le corps.
La feuille de route
Nous avons déjà identifié des actions dans les parties précédentes : audit de vos traitements de données personnelles, renégociations contractuelles avec vos fournisseurs, sécurisation et documentation de vos traitements, définition de la stratégie des usages Cloud, politique d’approvisionnement des usages Cloud, mapping de vos compétences critiques pour gérer l’incertitude, veille d’actualité,…
Néanmoins, ces propositions doivent avant tout être taillées sur mesure par rapport à vos besoins et vos usages. Avec l’abrogation du Privacy Shield, refuser de se poser ces questions devient une faute : les circonstances sont particulièrement favorables à un rééquilibrage des relations avec vos fournisseurs et à votre montée en compétence sur la gestion du Cloud.
Car le choix du Cloud est surtout perçu comme une possibilité de s’abstraire de la gestion quotidienne des infrastructures. D’avoir un partenaire pour assurer l’exploitation et la maintenance du SI, quitte à sacrifier la transparence du fonctionnement et la maîtrise du SI. Et ce, avec plaisir et sans douter des risques encourus.
La disparition de ce cadre juridique est un brutal retour à la réalité : cette vision naïve du Cloud n’a jamais été une réalité durable, et n’est aujourd’hui plus possible.
Même si vos infrastructures sont dans les nuages, vous devez malgré tout mettre les mains dans le cambouis. Donc à vous de jouer !