Transfert De Données EU-USA : Quel Impact Pour Votre Dispositif De Lancement D’alertes ?
Le 25 mars 2022, la Présidente de la Commission européenne Ursula von der Leyen et le Président américain Joe Biden sont parvenus à un terrain d'entente et ont annoncé un nouvel accord de principe pour un nouveau cadre pour le transfert de données transatlantique.
Après l'invalidation du précédent Privacy Shield en juillet 2020, un nouveau cadre était très attendu pour assurer la sécurité des données circulant entre l'Europe et les États-Unis.
Bien que cet accord en soit encore à ses débuts et que nous ne disposions pas de suffisamment d'informations pour procéder à une analyse approfondie des détails juridiques qu'il impliquera, certaines de ses orientations générales peuvent déjà avoir un impact sur votre dispositif de lancement d’alertes.
Éléments clés de l'accord
Qui est concerné ?
Si votre Organisation opère dans l'UE et aux États-Unis, ou si vous avez des affaires d'un côté de l'Atlantique à l'autre, les données collectées à partir des rapports dans votre plateforme de lancement d’alertes peuvent devoir être transférées.
Pourquoi ?
Le Privacy Shield n'étant plus valable pour protéger la sécurité des transferts de données, les Organisations faisaient référence à Schrems 2. Ce mécanisme impliquait que les entreprises devaient vérifier elles-mêmes leur conformité aux normes du pays destinataire (RGPD pour l'Europe et SCC pour les États-Unis), ce qui engendrait un travail supplémentaire et des restrictions plus importantes pour le transfert de données qui sont parfois nécessaires à certains cas d'enquête liés à un signalement. De plus, les processus de vérification américains menés par les services d’informations laissaient souvent les parties européennes sans aucun recours pour assurer la protection de leurs données.
Le nouvel accord de principe devrait apporter une base juridique solide permettant des transferts de données sécurisés entre l'UE et les États-Unis. Voici quelques principes clés de cet accord :
- De nouvelles restrictions imposées aux services de renseignements américains, limitant leur accès aux données européennes
- De nouvelles garanties mises en place pour s'assurer que les activités de surveillance des signalements sont nécessaires et proportionnées aux objectifs
- des mécanismes indépendants dotés d'une autorité contraignante, afin d'orienter les mesures correctives
Sécurité des données dans le cadre de votre dispositif de lancement d'alertes
La gestion des données sensibles et personnelles telles que les informations des signalements et alertes nécessite un haut niveau de sécurité, que ce soit pour leur stockage ou leur transfert. Le choix de votre fournisseur de solution d'alerte est primordial lorsque vous souhaitez garantir la sécurité de vos données sur le long terme, et ce quelle que soit l'évolution des juridictions.
La sécurité est au cœur des valeurs de Whispli. En raison de notre origine et de notre spécialisation, nous prenons la sécurité très au sérieux et notre plateforme est entièrement conforme aux nouvelles exigences du « Privacy Shield 2.0 » pour les transferts de données transatlantiques.
Comment et où Whispli stocke-t-il vos données ?
- En travaillant avec des fournisseurs basés dans plusieurs régions de l'UE, vous pouvez choisir de stocker vos données là où elles sont le plus en sécurité pour vous. Whispli ne transférera jamais, ni n'autorisera le traitement de données européennes vers les États-Unis ou tout autre pays non-membre de l'UE. Le stockage de vos données en Europe reste la politique la plus sûre à suivre pour votre organisation.
- Pour les organisations opérant à la fois en Europe et aux États-Unis, Whispli propose un hébergement multirégional. Cela signifie que les entreprises internationales peuvent héberger les données de leurs filiales américaines aux États-Unis et les données de leurs filiales européennes en Europe sans transférer de données entre les deux régions.
- Tous nos partenaires de confiance (y compris Microsoft, AWS) fournissent un niveau de sécurité suffisant conformément aux lois sur la protection des données - et vous pouvez même choisir votre fournisseur d'hébergement en fonction de vos propres exigences (comme Doctolib l'a fait avec AWS par exemple).
Comment Whispli gère-t-il la divulgation des données ?
- Whispli est certifié ISO 27001 et entièrement conforme aux exigences du RGPD ainsi qu'à la directive européenne sur la protection des lanceurs d’alertes. Cela signifie que nous ne pouvons divulguer aucune des données de nos clients. Nous suivons les normes les plus élevées pour assurer la sécurité de vos données.
- Whispli fournit également un cloud privé à ses clients et protège vos messages et documents téléchargés en effaçant toutes les métadonnées qui leur sont associées.
- Vous gardez le contrôle total de vos données avec la possibilité de gérer vos propres clés de cryptage de vos données.
L'impact du nouvel accord sur Whispli
Le nouvel accord n'affecte pas la conformité de Whispli avec le RGPD ou la directive européenne sur la protection des lanceurs d’alertes puisqu'aucun transfert de données n'est effectué lors du choix de l'un de nos serveurs basés dans l'UE. De la même manière, grâce à notre hébergement multiserveurs, Whispli reste entièrement conforme aux réglementations américaines et européennes tout en évitant les transferts de données.
Si un signalement ou une enquête est ouvert à un tiers en dehors de l'UE, la surveillance et la restriction de l'accès aux données de l'utilisateur sont garanties par le gestionnaire de cas ou la personne en charge de la sécurité au sein de l'Organisation.
Et après ?
L'accord peut prendre plusieurs mois avant que sa forme définitive ne voie le jour. Durant cette période, son élaboration sera examinée de très près pour s'assurer que les États-Unis et l'Europe offrent le meilleur moyen possible de protéger la sécurité et la confidentialité des données qui traversent l'Atlantique.
Vous pouvez anticiper dès aujourd'hui le résultat de cet accord en vous assurant que votre dispositif de lancement d’alertes peut répondre aux exigences de sécurité les plus élevées.