La chute du Privacy Shield sans conséquences ? Les entreprises n’ont pas rapatrié leurs traitements de données critiques ou métiers en Europe.

Un an après l’annulation du Privacy Shield, avez-vous fait le choix de rapatrier des traitements de données critiques ou métiers en Europe ? Intéressante question ! Plus significatives encore, les réponses… Si l’étude (deuxième édition du Baromètre trimestriel de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), qui sonde les DPO) est réduite au territoire français, les tendances observées devraient être similaires en région BeLux.

La majorité des répondants, soit 52 %, ne sont pas encore à l’aise avec l’impact de la chute du Privacy Shield. Plus important : ils n’ont pas encore organisé l’éventuel rapatriement du traitement de leurs données critiques ou métiers en Europe. 22 % n’ont pris aucune initiative, relève notre confrère Solutions Numériques. 30 % attendent une meilleure visibilité sur le contexte réglementaire. Ils ne sont au final que 14 % à avoir fait le nécessaire.

Stratégies perturbées

Il est manifeste que les DPO et les professionnel(le)s de la protection des données personnelles ont le sentiment qu’il y a encore du chemin à parcourir avant de considérer leurs organisations comme conformes au GDPR et autres mesures de protection des données privées. A noter que 13 % des répondants jugent que les réglementations changeantes (chute du Privacy Shield, Cookies Wall, etc.) perturbent les stratégies de protection des données personnelles mises en place jusqu’ici.

Cependant, il est très positif de noter que 30 % des répondants se sentent écoutés et utiles, indicatif qu’il sera utile de suivre sur les prochaines éditions.

Réviser les CTT

Si le jugement de la CJUE a invalidé le Privacy Shield, il n’a pas interdit le recours aux CCT (Clauses Contractuelles Type). Il a cependant tenu à préciser comment interpréter la notion de «garanties appropriées» exigées par l’article 46 du GDPR en indiquant que lors d’un transfert de données, «les garanties appropriées, les droits opposables et les voies de droit effectives […] doivent assurer que les droits des personnes […] bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne […]» et que «l’évaluation du niveau de protection […] doit, notamment, prendre en considération […] en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers […] les éléments pertinents du système juridique de celui-ci».

La Commission européenne a donc proposé de réviser les CCT en conséquence. Cette évolution était très attendue, en particulier par les DPO, impatients de disposer d’un outil fiable pour assurer la conformité des transferts. Plus particulièrement vers les États-Unis d’où sont issues les multiples solutions technologiques sur lesquelles s’appuient les entreprises, comme les suites collaboratives ou l’hébergement externalisé de données.