Hébergement d'une solution de lancement d’alerte : pourquoi choisir l'Europe 

La crédibilité et la fiabilité sont essentielles en matière de lancement d’alerte. Les systèmes de lancement d’alerte traitent souvent des informations sensibles concernant les opérations d’un individu ou d’une entreprise. Suite à la mise en œuvre du Règlement Général sur la Protection des Données (RGPD) et à l’abrogation du Privacy Shield (voir ci-dessous), la protection des lanceurs d’alerte est désormais à l’honneur. En aucun cas, des entités externes ne doivent être en mesure de demander ou d’accéder aux informations dans les cas de lancement d’alerte. Pour cette raison, il est devenu de plus en plus important de choisir un hébergement européen de votre solution de lancement d’alerte. 

Dans ce guide, nous exposerons les conséquences de l’invalidation du Privacy Shield et de l’arrêt Schrems II pour les entreprises européennes. Nous mentionnerons également quelques éléments importants à prendre en compte lors du choix d’une solution de lancement d’alerte qui héberge et gère des données personnelles 

1. Qu’est-ce qu’une donnée personnelle ? 
2. Transfert de données en dehors de l’UE / EEE 
3. Le bouclier de confidentialité 
4. Arrêt Schrems II : Conséquences 
5. Quelles sont les clauses contractuelles types de l’UE ? 
6. Les entreprises américaines peuvent-elles traiter des données personnelles européennes ? 
7. Solutions à long terme pour les transferts de données 

1. Qu’est-ce qu’une donnée personnelle ? 

Les données personnelles comprennent toutes les informations sur une personne identifiée ou identifiable, y compris, mais sans s’y limiter : 

• Nom et adresse 
• Numéro de carte d’identité et numéro de passeport 
• Revenu annuel et salaire 
• Profil culturel 
• Adresse IP 

Les données sensibles nécessitent une protection supplémentaire car leur divulgation pourrait entraîner des risques importants pour les droits fondamentaux et la liberté de l’individu. Cela comprend des informations sur l’ethnicité, la sexualité, les convictions politiques et religieuses, des informations sur les soins de santé, des informations génétiques et biométriques, ainsi que des conditions sociales et des informations concernant la vie privée de la personne. 

Depuis la mise en œuvre du règlement général sur la protection des données (RGPD), tous les citoyens des États membres de l’UE peuvent bénéficier du même niveau de protection des données personnelles. Cela signifie également que vous pouvez transférer en toute sécurité des données personnelles au sein de la zone UE/EEE. Comme il n’existe pas de lois comparables en dehors de l’UE, les règles de transfert de données vers des pays tiers sont très strictes et les transferts de données personnelles ne sont autorisés que dans certains cas spécifiques. 

2. Transfert de données hors UE : qu’est-ce qu’un « pays tiers » ? 

Dans ce contexte, tous les pays en dehors de la zone UE/EEE doivent être considérés comme des « pays tiers ». En règle générale, les données personnelles ne peuvent pas être transférées vers des pays tiers. Cela s’applique également au recours à un fournisseur externe pour traiter ou stocker des données, y compris l’hébergement de solutions de dénonciation. 

Dans le cadre du GDPR, la protection des citoyens européens doit également s’appliquer lors du transfert de données personnelles vers des pays hors de l’UE. Votre organisation ne peut exporter des données vers des pays tiers que si les critères suivants sont remplis : 

• Le traitement des données personnelles est autorisé dans la situation spécifique (par exemple, l’exécution d’un contrat) 
  
• Il a été garanti que le pays destinataire dispose d’un niveau approprié de protection des données, conformément à une décision d’adéquation de la Commission européenne. La liste des pays tiers sûrs n’inclut pas les États-Unis. 
  
• S’il n’y a pas de décision acceptable, vous devrez assurer des garanties suffisantes pour la protection des données. Par exemple, par des dispositions spécifiques dans l’accord avec une partie non européenne (voir ci-dessous concernant les clauses contractuelles types de l’UE). 

• Il existe cependant plusieurs exceptions. Le plus pertinent est le consentement de la personne concernée. 

3. Qu’est-ce que le Privacy Shield ? 

Privacy Shield est une auto-certification aux États-Unis où les entreprises américaines peuvent attester qu’elles répondent à certaines exigences. Auparavant, l’UE avait convenu que le cadre du bouclier de protection des données garantissait un niveau de protection adéquat et constituait une base valable pour le transfert de données à caractère personnel de l’UE vers les États-Unis. 

Après un examen de l’accord par la Cour européenne de justice (voir Schrems II ci-dessous), il a été déterminé que le Privacy Shield n’offrait pas une protection juridique adéquate contre les programmes de surveillance et de renseignement. Les lois américaines pourraient permettre à certaines autorités américaines de demander l’accès aux données personnelles des citoyens de l’UE. 

4. Qu’est-ce que l’arrêt Schrems II et comment affecte-t-il les organisations européennes ? 

Le Privacy Shield a permis aux entreprises européennes d’utiliser les services cloud américains sans tenir compte des données personnelles collectées et stockées. Quelque 5 000 entreprises américaines (dont Facebook) ont également utilisé le Privacy Shield pour recevoir des données personnelles d’utilisateurs européens. 

Maximilian Schrems, un militant autrichien de la protection des données, n’a pas approuvé le transfert de ses données personnelles par Facebook aux États-Unis. Cela est dû au fait que les lois américaines n’offrent pas une protection suffisante contre les activités de renseignement. Schrems a porté son cas devant l’autorité irlandaise de protection des données et, en juillet 2020, la Cour européenne de justice a statué que l’accord sur le bouclier de protection des données UE-États-Unis n’offrait pas une protection suffisante. L’arrêt indique clairement que le règlement général de l’UE sur la protection des données (RGPD) doit également être appliqué lorsque des acteurs commerciaux transfèrent des données personnelles en dehors de l’espace UE/EEE. 

5. Nouvelles clauses contractuelles types de l’UE 

L’arrêt Schrems II souligne que la protection RGPD pour les individus doit s’appliquer au transfert de données personnelles. Par conséquent, il est interdit de transférer des données vers des pays dont la protection des données personnelles est inférieure à celle garantie par l’UE. Les transferts de données ne sont possibles que si des mesures de protection suffisantes ont été prises. 

En juin 2021, la Commission européenne a adopté un nouvel ensemble de « clauses contractuelles types ». Il s’agissait de maintenir le même niveau de protection de la liberté individuelle et des droits fondamentaux qui s’applique au sein de l’UE, et de faciliter le respect de l’arrêt Schrems II. Pour répondre à toutes les exigences d’un transfert sécurisé des données personnelles, ces clauses peuvent encore devoir être complétées par des mesures de protection supplémentaires. Il appartient au responsable du traitement des données personnelles de l’organisation de décider au cas par cas. 

6. Est-il même possible pour des entreprises américaines de traiter des données personnelles européennes ? 

Les grandes entreprises américaines de services cloud, par exemple Microsoft (Azure et Microsoft 365), ont assuré à leurs clients qu’elles traiteraient et stockeraient toutes les données au sein de l’UE, se conformant ainsi au RGPD. 

Outre le processus de création de structures parallèles, rien ne garantit que ces entreprises pourront contourner la législation américaine. FISA – Foreign Intelligence Surveillance Act – est une loi fédérale qui permet aux autorités américaines d’accéder aux données personnelles européennes même si les serveurs de l’entreprise sont physiquement situés sur le territoire de l’UE. 

Maximilian Schrems est le fondateur de l’organisation à but non lucratif « None of Your Business (Noyb)« . L’objectif de l’organisation est de surveiller la conformité avec le RGPD et d’autres traitements de données potentiellement enfreignant la vie privée. Selon lui, les grandes entreprises américaines sont toujours soumises à la FISA et doivent se conformer aux autorités américaines si elles le demandent. L’agence suédoise de protection de la vie privée IMY a également ouvert plusieurs enquêtes après que Noyb a déposé des plaintes contre des entreprises suédoises. 

7. Quelles sont les solutions à long terme pour héberger un service de lancement d’alerte ? 

Actuellement, il n’existe pas de solution unique, simple et complète pour le traitement légal des données personnelles aux États-Unis ou dans tout autre pays en dehors de l’UE. Lorsqu’il choisit d’utiliser les clauses contractuelles types, le responsable du traitement doit toujours déterminer au cas par cas si des mesures de sécurité supplémentaires sont nécessaires. 

Des travaux sont en cours pour créer un écosystème numérique européen et un cloud de stockage de données, mais cela prendra du temps. Actuellement, la meilleure solution pour les entreprises européennes qui traitent des données personnelles est de choisir un fournisseur européen. Ce faisant, vous pouvez garantir que toutes les données sont stockées sur des serveurs au sein de l’UE/EEE et que toutes les exigences du RGPD sont respectées. Ceci s’applique également si le transfert est géré par un sous-traitant. 

Hébergement d’une solution de lancement d’alerte : la confidentialité des utilisateurs doit être garantie par des processus de traitement et de sécurité des données 

Il est extrêmement important que les entreprises privées et les organisations publiques soient conscientes du type de données qu’elles collectent et de la manière dont elles les gèrent et les stockent. Vous devez savoir dans quel environnement votre fournisseur de services gère les données organisationnelles, car vous n’avez peut-être aucune base légale pour le traitement des données personnelles en dehors de l’UE/EEE. En choisissant un prestataire européen pour l’hébergement de votre solution de lanceur d’alerte, est-il possible d’éviter un traitement de données ne garantissant pas la confidentialité des utilisateurs. Il est également beaucoup plus facile de répondre à toutes les exigences du règlement général sur la protection des données. 

Lorsqu’il s’agit d’héberger nos solutions de lancement d’alerte, Whistlelink entretient une relation de longue date avec GleSYS. GleSYS est une société scandinave avec des centres de données sécurisés à la pointe de la technologie, conformes à toutes les exigences légales. Avec une certification ISO 27001 dans les systèmes de gestion de la sécurité de l’information, GleSYS répond à toutes les exigences de sécurité, en particulier en ce qui concerne la confidentialité, l’exactitude et la disponibilité, ainsi que les lois applicables. 

Notre vision est de fournir à toutes les organisations le système de lancement d’alerte le meilleur, le plus sûr et le plus convivial du marché, et nous prenons la sécurité des données très au sérieux. Grâce à notre longue collaboration avec GleSYS, nous pouvons vous proposer un service de lancement d’alerte complet où toutes les données sensibles sont stockées sur des serveurs européens (suédois). 

Vous souhaitez en savoir plus sur un service de lancement d’alerte et des canaux de signalement internes sécurisés ? Découvez-en plus sur la directive européenne sur le lancement d’alerte ici et sur Légifrance.

Vous recherchez une solution de lancement d’alerte sûre et sécurisée ? En savoir plus ici.

Souhaitez-vous discuter d’un système d’alerte pour votre organisation ?

Contactez-nous ou réservez une démo gratuite !