« Il est libre Max », vous êtes hors la loi, cela va vous couter 4% de votre CA ou 20 millions d’euro.
A l’origine, un simple citoyen autrichien (Max Schrems) s’en est pris aux CGU de Facebook et a crié si fort de sa voix d’étudiant que la Cour de Justice de l’Union Européenne (CJUE) a invalidé un mécanisme vieux de plus de 15 ans, autorisant les entreprises à transférer les données (personnelles) des européens, vers des hébergements (ou en miroring) US au plus grand plaisir des directeurs juridiques, des centralisateurs IT et des grandes oreilles de la NSA. Il faut dire que les révélations de Snowden avaient rajouté de l’huile bouillante sur les serveurs en feu.
Le 6 octobre 2015 l’ultimatum était donné par le G29 ou le consortium des « CNIL européennes » : trouver un accord avant le 31 janvier 2016.
Euh… c’est passé ! ils planchent encore en ce moment.
Alors que l’objectif clair était de toucher les GAFA (y compris dans les contraintes de « re-localiser » en Europe, y compris quelques bénéfices fiscalisables…), ce sont près de 5000 entreprises dites européennes, souvent filiales de Groupes US ou internationaux qui sont aujourd’hui 2 février 2016 dans l’illégalité puisqu’ aucun accord n’a été signé. (réunion plénière du G29)
Enfin tout n’est pas bloqué car si l’entreprise a précisément déclaré ses bases de données personnelles par une « autorisation préalable » à la CNIL (je dis bien préalable), elle n’est pas en « non-conformité » (pour être rassurant).
Quelles sont alors les solutions ?
- Prier Ste Rita (patronne des causes désespérées) et déposer un cierge de la taille de l’obélisque (mon illustration)
- Attendre un accord et une redéfinition du cadre juridique en espérant qu’aucune pénalité ou interdiction (voir plainte d’un employé ou d’un client) ne bloque votre système (dans ce cas se reporter au cas 1) car c’est aussi du pénal en plus de l’administratif !
- Transférer votre hébergement des données personnelles (et son back-up ou miror) vers une zone autorisée (il n’y a pas que l’UE) : si votre architecture de site est bien faite, normalement vous l’avez séparé du site. Si vous n’avez pas compris consultez moi….
- Revoir vos Binding corporate rules (pour les multinationales) et les clauses contractuelles qui ne réduisent en rien les aspirations de données américaines, en attendant l’arrivée d’un « médiateur mou » de paix entre les administrations US/EU.
Quels sont les risques ?
Il est à prévoir que les US souhaiteront toujours contrôler les données pour des raisons de sécurité, tandis que que le futur règlement européen sur la protection des données personnelles va donner une raison au G29 de lancer des sanctions « coordonnées » (sic) administratives, pénales et financières aux montants dissuasifs… en tout cas la récente Loi numérique de la Ministre Axelle LEMAIRE donne la ligne de conduite.
Le risque est « outre la réputation« , beaucoup de travail à réaliser en urgence (donc plus cher), est une pénalité, j’ai indiqué le montant en titre : l’avez-vous provisionné ?
La transformation digitale avance, et vous ?
@drvarlet
