De Internet néerlandais Cleanup néerlandaise a annoncé en août sur son site web Sécurité de base.co.uk a une application a été introduite qui vérifie à quie payset l’homme néerlandais overité néerlandaise fournit des services en ligne. De la mesures a montré que mais jusqu’à 1087 domaines, à partir desquels les gouvernements offrent des services en lignesont situés en dehors de l’UE/EEE. Ces résultats sont problématiques.
Dans ce blog, nous examinerons ce phénomène plus en détail et expliquerons pourquoi ces résultats sont si problématiques.
Plus précisément, qu’est-ce qui a été identifié aux Pays-Bas ?
Les mesures de Basicsecurity.nl ont montré que 3 % des domaines gouvernementaux utilisés par le gouvernement néerlandais proviennent des États-Unis, et que 10 % des serveurs de messagerie du gouvernement néerlandais sont également situés aux États-Unis. Plus précisément, sur 3957 adresses, certaines proviennent de serveurs de messagerie gouvernementaux :
- 1 en Asie
- 409 en Amérique du Nord
- 3547 dans l’UE
La plupart des adresses nord-américaines mènent à Google Servers, Google Cloud et Amazon.com, entre autres.
Peut-on être GDPR et de la courrier si les données en dehors de l’Europe sont stockées en dehors de l’Europe ?
Chaque site web ou fournisseur de courrier électronique traite intrinsèquement des données à caractère personnel, par exemple des adresses IP. À partir du moment où le responsable du traitement opère dans l’EEE, le transfert de données à caractère personnel vers des pays tiers est soumis au GDPR. Plus précisément, les dispositions du chapitre V du GDPR s’appliquent. Ce chapitre définit les obligations relatives aux transferts de données à caractère personnel vers des pays tiers ou des organisations internationales.
- Andorre ;
- Argentine ;
- Corée du Sud ;
- Les États-Unis (uniquement pour les transferts vers des organisations figurant sur la liste du
liste du cadre de protection des données
).
- Jersey ;
- Nouvelle-Zélande ;
- L’Uruguay ;
- Japon ;
- Royaume-Uni ;
À ce jour, de telles décisions ont été adoptées pour ces pays :
Il est également important de vérifier si la Commission européenne a approuvé une décision d’adéquation pour le pays tiers concerné.
- Canada (pour les traitements soumis à la loi canadienne sur la protection des renseignements personnels et la documentation électronique) ;
- Îles Féroé ;
- Guernesey ;
- Israël ;
- Île de Man ;
L’hébergeur du pays tiers devrait également être lié en tant que sous-traitant en vertu de l’article 28 du GDPR.
Analyse critique des mécanismes disponibles
Si le pays tiers ne dispose pas d’une telle décision d’adéquation, un accord devra être établi en vertu de l’article 46 du GDPR. Un modèle d’accord est mis à disposition par la Commission européenne. En outre, il est possible d’opter pour l’adoption de règles d’entreprise contraignantes. En outre, l’article 49 du GDPR permet de recourir à certaines dérogations statutaires.
Cependant, ces options ne sont pas infaillibles. Avant l’adoption du nouveau bouclier de protection de la vie privée entre l’UE et les États-Unis, ces articles utilisaient les clauses contractuelles types (CCN). À la suite de Schrems II, il est apparu clairement que ces CSC n’étaient pas suffisantes et que les agences de renseignement américaines pouvaient utiliser les données européennes sans restrictions. L’article 49 peut prévoir des bases légales de repli pour les transferts incidents, telles que le consentement explicite de la personne concernée, mais ces bases n’étaient pas utiles en l’espèce.
Complexités et contraintes liées à l’adoption de mesures supplémentaires
Toutefois, les orientations des régulateurs, notamment la recommandation 01/2020 de l’EDPB, expliquent qu’il incombe aux responsables du traitement d’analyser leurs transferts spécifiques, de prendre des mesures supplémentaires si nécessaire ou d’interrompre les transferts si de telles mesures sont impossibles.
La réalité a montré plus d’une fois qu’il n’y a pas de mesures techniques qui pourraient aider dans un environnement “cloud” ou “SaaS”, et cela peut inclure l’hébergement web. Ceci est d’autant plus problématique lorsque le responsable du traitement, comme le gouvernement néerlandais par exemple, détient des données personnelles sensibles.
Offres nouvelles Protection de la vie privée bouclier la solution ?
La plupart des serveurs web et des serveurs de messagerie sont situés en Amérique. C’est également ce que nous avons constaté dans les résultats des mesures du gouvernement néerlandais.
Comme nous l’avons déjà mentionné, le 10 juillet, la Commission européenne a adopté la décision d’adéquation du nouveau cadre UE-États-Unis de protection des données (“bouclier de protection des données”). La décision confirme que les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l’UE – pour les données à caractère personnel transférées vers l’Amérique. Sur la base de cette nouvelle décision d’adéquation, les données à caractère personnel peuvent être transférées en toute sécurité de l’UE vers les entreprises et organisations américaines participant au bouclier de protection de la vie privée, sans qu’il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données.
Cela signifie-t-il que les domaines web américains sont désormais sûrs ?
Nous n’osons pas encore répondre positivement à cette question. En effet, la stabilité de ce traité n’est pas encore très claire.
L’organisation de défense de la vie privée noyb a d’ailleurs annoncé son intention de contester à nouveau ce traité devant la Cour de justice des Communautés européennes. Les traités précédents entre l’UE et les États-Unis ont pris fin de la même manière.
Qui domaines Web sont-ils les mieux adaptés ?
Essentiellement, données personnelles ne quittent pas l’Europe en vertu du GDPRIl n’est toutefois pas interdit d’utiliser des serveurs situés en dehors de l’EEE. Pourtant, ce n’est pas une chose intelligente à faire. Il est important de noter que certains pays ont des lois complètement différentes. services de renseignement jusqu’à récemment sans restriction accès avaient accès aux données européennes et que les entreprises américaines étaient même obligées de les communiquer à la Commission européenne. les services de renseignement livrer. En tant que vos données sont traitées sur des serveurs situés en dehors de l’UE, volonté u non seulement devrait garanties que les données sont protégées de manière adéquatemais devrait u s’assurer que le service est également disponible sur tous les autres sites de l’Union européenne. domaines au GDPR satisfait.
Impact sur le transfert de données et les services
Si vous utilisez un fournisseur d’hébergement web dont les serveurs sont situés dans l’UE, vous pouvez être sûr que l’emplacement du serveur est au moins conforme du point de vue du “transfert de données”, ce qui est déjà une chose de moins à craindre. Vous devez néanmoins faire preuve de diligence raisonnable à l’égard de ces fournisseurs, car vous devez vous assurer que les autres aspects de leurs services répondent à vos obligations de conformité avec le GDPR.
Il serait donc judicieux de migrer un site web hébergé dans un pays tiers vers un serveur situé dans l’EEE ou dans un pays bénéficiant d’une décision d’adéquation claire et stable.
Pour plus d’informations à ce sujet, contactez un DPD accrédité .