“Rassurez-vous Mr le Client, vos données sont bien protégées puisqu’elles sont soumises au Safe Harbor”. Cet argument tant utilisé, n’est plus applicable depuis le 6 octobre dernier et l’invalidation du Safe Harbor. Pourquoi ? Qui est impacté ? Quelle sont les solutions ? Nous allons répondre à toutes ces questions.
Pourquoi le Safe Harbor a-t-il été invalidé ?
Le 6 octobre dernier, la CJUE (Cour de Justice de l’Union Européenne) a invalidé le dispositif, dénommé Safe Harbor, qui avait pour tâche de protéger les données transférées vers des pays hors de l’Union Européene. Ce Safe Harbor, mis en place en 2000, avait tout de même déjà connu quelques perturbations. En effet, certaines sociétés, comme Google, respectaient le Safe Harbor mais pas les lois sur les protections des données dans les pays membres de l’UE.
Mais tout commença véritablement il y a deux ans, avec les révélations d’Edward Snowden sur le programme de surveillance Prism, conduit par la NSA (National Security Agency). Cependant, la goutte d’eau qui a fait déborder le vase a été apportée par Maximilian Schrems, qui a porté plainte contre Facebook pour violation des données personnelles. Cette plainte a donné lieu à l’Arrêt de la cour du 6 octobre qui annule le Safe Harbor.
Le constat est simple et sans appel : depuis le 6 octobre dernier, toutes les entreprises de l’UE qui font héberger leurs données chez un prestataire américain, labélisé Safe Harbor, dont les serveurs sont situés aux USA, sont dans l’illégalité. Elles encourent 5 ans d’emprisonnement et 300.000 € d’amende.
Quelles sont les conséquences commerciales ?
Les conséquences commerciales vont, une nouvelle fois, lourdement se faire ressentir. Déjà en 2013, avec les révélations de Snowden, un rapport publié par l’organisation américaine Cloud Security Alliance révélait le fait que 56% des entreprises non-résidentes américaines étaient moins enclines à s’adresser aux fournisseurs de Cloud basés aux Etats-Unis. Cela risque,hélas, de fortement augmenter à court terme.
Plus de 4 000 prestataires dans le monde sont touchés par cette invalidation. De petites entreprises aux mastodontes comme les GAFA*. Tout le monde est pris de court par ce vide juridique.
L’association Digital Europe, présidé par Peter Olson (VP d’Ericsson), qui représente l’industrie numérique, presse, dans un communiqué, les instances européennes de trouver une solution rapidement : « Nous demandons de toute urgence à la Commission Européenne et au gouvernement américain de conclure leurs négociations pour parvenir à un nouvel accord “Safe Harbor” aussi vite que possible. Nous demandons également à la Commission Européenne d’expliquer immédiatement aux entreprises qui fonctionnaient sous le régime du Safe Harbor comment elles doivent opérer pour maintenir leurs activités essentielles durant ce vide juridique ».
Du côté du droit, Juliette Chavane de Dalmassy, avocate experte en nouvelles technologies chez Cornet Vincent Segurel, affirme « Nous recommandons à toutes les entreprises réalisant des transferts de données aux Etats-Unis de procéder à un audit de tous leurs traitements de données afin de recenser les transferts de données vers les USA sur la base du Safe Harbor et de signer dans les meilleurs délais des contrats de protection des données à caractère personnel. »
Isabelle Falque Pierotin, présidente de la CNIL et du G29 (groupe des CNIL européennes) compte soutenir les plus petites entreprises « Pour les petites et moyennes entreprises, la CNIL et ses homologues vont se livrer à des opérations d’information et de communication. Il faut leur faire passer ce message. Nous allons les aider à gérer ce nouveau risque, en leur donnant des outils de compréhension juridiques et les aider à trouver des solutions »
Quelles solutions pour vos clients ?
Les européens estiment que les USA doivent changer leur législation pour permettre la mise en œuvre d’un « Safe Harbor 2.0 » au 31 janvier 2016. Voeu pieux ?
La CNIL propose deux solutions :
- Les Binding Corporate Rules, codes de conduite en matière de protection des données.
- Les Clauses Contractuelles Types, adoptées par la Commission Européenne facilitant la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert de données.
En attendant, ce sont les deux seules solutions permettant de poursuivre les transferts de données jusqu’au 31 janvier 2016
Et maintenant ?
Toute entreprise de l’UE, possédant des données employés, fournisseurs, clients ou partenaires basés en Europe doit réaliser un audit détaillé sur la façon dont ses données sont stockées et partagées, et vérifier que ses usages sont conformes aux exigences.
Bien du tracas pour vos clients qui risquent de les détourner de vos autres arguments commerciaux
Pour toujours plus de conseils pour vos ventes et stratégies marketing en B2B n’hésitez pas et contactez Dominique Josse par mail dominique@josse.biz ou par téléphone au +33 6.12.01.41.34. 🙂
*GAFA : Google, Apple , Facebook, Amazon.
Sales Café 
Plus une confirmation qu’une surprise, les « vrais acteurs SaaS » Américains réagissent : voir l’annonce toute récente de Workday par la voix de son Président Europe http://blogs.workday.com/an-enhanced-eu-support-policy-for-workday-customers/
J’aimeJ’aime