Mylène Blin

Le texte Safe Harbor, et son remplaçant Privacy Shield, fait à nouveau les gros titres – et oui, votre sujet favori. Si vous deviez choisir entre vous enfiler une saison de Game of Throne ou lire l’histoire de Privacy Shield, il n’y aurait pas photo : Privacy Shield l’emporte. A-t-on déjà écrit des livres de chevet plus fascinants ?

Car oui, si vous faites de l’email marketing en Europe, vous êtes directement concerné : on parle de protection des données.

L’actualité juridique vous donne mal à la tête ? Pas de panique. Chez Mailjet, on a suivi le dossier de près pour vous tenir informés. Asseyez-vous et rattrapez toute l’histoire avec notre résumé de l’affaire.

Précédemment, dans la série Safe Harbor…

Vous vous souvenez peut-être qu’à l’automne dernier, la Cour de Justice Européenne a invalidé Safe Harbor, une auto-certification qui était utilisée jusque là pour réglementer les transferts de données entre les Etats-Unis et l’Union Européenne.

Il y a eu plusieurs rebondissements depuis : un nouveau texte a été créé in extremis en février 2016, appelé Privacy Shield. Le texte a ensuite été étudié par le G29, le groupement des 29 autorités nationales de l’Union Européennes qui sont en charge de la gestion des données numériques (équivalentes de la CNIL française).  

En avril dernier, après deux mois d’étude approfondie du texte, le groupe 29 a rendu un jugement public sur le texte. En gros (on simplifie un peu), il salue l’amélioration que représente la création du texte, mais souligne aussi des problèmes persistants. Au nombre de ceci, on compte notamment la complexité de l’accord, le manque de garde-fous contre la collecte de données en masse de la part des programmes de surveillance américains et la difficulté pour les citoyens européens de faire appel en cas d’utilisation abusive de leurs données.

Protection données européennes

Un tout nouvel épisode de Privacy Shield

Le 8 juillet, l’Union Européenne a officiellement voté la loi Privacy Shield. Elle remplace donc désormais Safe Harbor dans le rôle d’accord cadre qui fournit une méthode pour les entreprises américaines afin de transférer des données personnelles de citoyens européens aux Etats-Unis.


Attendez une minute – cela veut-il dire que tout est de retour à la normale, les transferts de données transatlantiques sont à nouveau en sécurité et que l’on va pouvoir vivre heureux pour l’éternité avec nos fournisseurs américains ? Est-ce réellement la fin du feuilleton ?

Pour être honnête, pas tout à fait – vous savez bien qu’il y a toujours un “mais”.

Fondamentalement, Privacy Shield signifie que toute entreprise américaine qui reçoit des données personnelles en provenance de pays de l’Union Européenne doit adopter l’une des méthodes ci-dessous pour les transferts de données transfrontaliers :

(1) Des Clauses Contractuelles Types

(2) Binding Corporate Rules (des chartes internes pour les transferts intra-entreprises ou avec des filiales);

(3) Privacy Shield.

 

Comment s’assurer d’être en règle concernant la protection des données ?

Comme on vient de le voir, trois options s’offrent à nous.

Les entreprises non-européennes peuvent utiliser les clauses de protection des données standard exposées dans les options (1) et (2) dans leurs contrats. C’est le cas pour les transferts de données transatlantiques pratiqués par les entreprises américaines. Afin que ces options soient valides, les entreprises américaines doivent opter pour les mêmes standards de sécurité des données que ce que les entreprises européennes assurent. Elles doivent également clairement mentionner ces clauses dans leurs contrats (à la fois ceux qui sont passés entre entreprises et ceux qui sont passés avec les clients). Toutefois, ces options ne sont pas toujours utilisées de façon uniforme, et les clients devront vérifier les textes juridiques afin d’avoir une idée précise du niveau de sécurité de leurs données. Ce niveau n’est donc pas garanti lorsqu’ils ont affaire à des entreprises non-européennes.

Est-ce que cela signifie qu’il appartient aux entreprises de s’occuper elles-mêmes de la protection des données ? Pas nécessairement : lorsque Privacy Shield, l’option (3), sera bien appliquée, le texte devrait prévaloir pour réglementer les transferts de données. Beaucoup restent toutefois sceptiques quant à la protection qu’il fournit, comparée au niveau de celle des lois européennes.

Les entreprises américaines viennent tout juste d’être autorisées à utiliser Privacy Shield comme moyen d’accréditer leurs standards de protection des données. Elles peuvent auto-certifier qu’elles respectent la nouvelle réglementation ; d’ailleurs, la loi est d’ores et déjà applicable à de nombreuses entreprises (dont Facebook, Google, Microsoft…).

Pour les entreprises européennes, la donne est un peu différente. Le texte Privacy Shield doit désormais être transposé dans la législation des pays membres de l’UE. La date limite pour ce processus est le 6 mai 2018, mais il ne serait pas surprenant qu’elle soit dépassée. Dans l’intervalle, les entreprises européennes peuvent seulement s’appuyer sur les options (1) et (2) décrites plus haut lorsqu’elles doivent s’assurer que leurs transferts de données transatlantiques sont sécurisés.

Si vous utilisez Mailjet pour votre email marketing, vous n’avez pas de souci à vous faire. Non seulement nous tombons sous la Directive de Protection des Données 95/46/CE, mais en plus, tous nos serveurs sont localisés en Europe. Nous faisons tout pour avoir les meilleurs standards de protection des données. Vous voyez, pas de migraine du tout comme ça.

Il est temps d’aller rattraper tous ces épisodes manqués de Game of Thrones maintenant – voire de recommencer la série du début.

GOT email marketing
Si vous avez des questions sur Privacy Shield et les impacts que le texte peut avoir sur votre politique d’envoi et la protection de vos données, vous pouvez nous contacter ou partager vos commentaires sur Twitter avec le hashtag #MailjetMarketing.