Menu

Fiche conseil. 03

Est-ce que je peux utiliser des outils États-Uniens ?

Le marché américain a inondé nos environnements numériques d’outils devenus incontournables : MS365, Azure WhatsApp, Google Analytics.... Ces solutions font l’objet de nombreux débats concernant les garanties qu’elles offrent en termes de sécurité des données et donc de conformité au RGPD. L’actualité nous invite à faire le point et mettre à jour nos habitudes.

Risques

  1. Aux Etats-Unis, la protection des données à caractère personnel fait l’objet d’un vide juridique. De surcroit, les services de renseignements pratiquent la surveillance de masse au nom de la sécurité nationale et la loi dite « Cloud Act » permet aux autorités judiciaires d’accéder aux données électroniques stockées à l’étranger par les entreprises américaines, dans le cadre de procédures pénales.
  2. L’Union Européenne estime que la collecte et l’utilisation des données à caractère personnel est une ingérence dans les droits des personnes.
  3. Utiliser des outils américains, c’est donc prendre le risque que les données transférées soient utilisées à d’autres fins que celles prévues initialement (voir : base légale, registre de traitement, AIPD).
  4. Sans garanties appropriées, les DCP de vos bénéficiaires, de vos bénévoles ou de vos salariés ne sont donc pas protégées.

Que dit le RGPD ?

  • Art. 3 relatif au champ d’application territorial
  • Art. 45 relatif aux transferts fondés sur une décision
    d’adéquation
  • Art. 46 relatif aux transferts moyennant des garanties
    appropriées

Les transferts de données peuvent être réalisés uniquement
dans des pays justifiant de garanties suffisantes :

  • Pays membres de l’Union Européenne ou de l’Espace Économique Européen.
  • Pays dits « adéquats » : Andorre, Argentine, Iles Féroé, Jersey, Guernesey, Israël, Île de Man, Suisse, Nouvelle- Zélande, Uruguay, Japon.
  • Pays non adéquats sous réserve de garanties supplémentaires (voir. CCT, BCR, TIA).

Bonnes pratiques

  • Privilégier les outils européens qui présentent une conformité RGPD (voir : privacy by design, privacy by default).
  • Sélectionner des outils américains dont les entreprises sont inscrites sur la plateforme Data Privacy Framework et sont validées par le Department of Commerce. Vérifier chaque année que la certification est à jour.
  • Dans tous les cas, rédiger un contrat avec des clauses contractuelles type.
  • Privilégier les versions payantes : elles permettent de paramétrer les fonctionnalités qui protègent les données et sont mises à jour plus régulièrement.
  • Demander conseil à mon DSI ou mon DPO lorsque le fournisseur me propose un outil non conforme.
  • Les accords UE-EU sont sujets à de nombreux débats ; Rester en veille et en cas de doute, consulter son DPO.

Pour aller plus loin

CNIL - Adéquation des États-Unis - les premières questions-réponses
CyberMalveillance.gouv - Comment réagir en cas de fuite ou violation de données personnelles ?
CyberMalveillance.gouv - Kit de sensibilisation
Télécharger la fiche en PDFRetour à la liste des fiches conseils