Certaines entreprises évitent l’accord de données transatlantique tant attendu

L’utilisation du nouvel accord, connu sous le nom de Trans-Atlantic Data Privacy Framework, ouvre les entreprises à un examen réglementaire plus approfondi et oblige les équipes de confidentialité à effectuer un travail supplémentaire pour s’assurer qu’elles répondent aux exigences de l’accord.

Depuis 2020, lorsque le plus haut tribunal de l’Union européenne a statué que le Privacy Shield, un précédent accord sur les données, était illégal, les entreprises ont été obligées d’utiliser de longs contrats légaux pour transférer des données aux États-Unis. Le tribunal a déclaré que le Privacy Shield laissait ouverte la possibilité que les États-Unis gouvernement pourrait accéder aux données européennes, ce qui présenterait des risques pour la vie privée des Européens.

Plus de 5 000 entreprises avaient utilisé Privacy Shield pour déplacer des données entre juridictions. Jusqu’à présent, environ 2 500 entreprises ont adhéré au nouveau cadre, selon le département du Commerce.

Certains responsables de la confidentialité des entreprises ont déclaré qu’ils étaient désormais habitués à leurs accords contractuels, même s’ils prenaient du temps, et qu’ils pourraient s’y tenir au lieu de s’inscrire pour utiliser le nouveau cadre.

“Nous voulons nous assurer que cela en vaut la peine”, a déclaré Alea Garbagnati, responsable de la confidentialité chez Adaptive Biotechnologies.,

une société de découverte de médicaments basée à Seattle. Garbagnati a déclaré qu’elle déterminerait dans les six mois à un an s’il fallait certifier l’utilisation du cadre.

La Federal Trade Commission des États-Unis a sanctionné les entreprises qui ne respectaient pas le Privacy Shield et la même chose pourrait se produire dans le nouveau cadre, a déclaré Garbagnati.

Après la suppression de Privacy Shield, certaines entreprises ont pris des mesures pour protéger leurs données qu’elles ne pourraient peut-être pas facilement annuler, a déclaré Caitlin Fennessy, vice-présidente et directrice des connaissances à l’International Association of Privacy Professionals, un groupe commercial basé dans le New Hampshire.

En particulier, certaines entreprises européennes sont passées des fournisseurs de technologie américains aux fournisseurs européens, a déclaré Fennessy. Les régulateurs ont déclaré aux entreprises de plusieurs pays européens qu’il était illégal pour elles d’utiliser les services d’entreprises américaines, notamment le service de cybersécurité cloud de Cloudflare et Google Analytics pour suivre le trafic du site Web à des fins de publicité numérique.

De nombreuses entreprises transfèrent des données personnelles d’Europe vers les États-Unis parce qu’elles sont des multinationales et traitent des informations sur les ressources humaines dans différentes juridictions, ou elles peuvent transférer des données à l’étranger parce que cela les aide à fournir certains services aux clients. Les entreprises travaillent également avec des chaînes d’approvisionnement pouvant inclure des prestataires de services situés dans différentes parties du monde, ce qui nécessite que les données personnelles se déplacent entre les pays.

Pour que les entreprises soient certifiées dans le cadre du nouvel accord, elles doivent accepter d’adhérer à des principes tels que l’utilisation de mesures appropriées pour protéger les données personnelles contre l’accès, la destruction ou la divulgation non autorisés, et le partage de données avec des tiers uniquement si une personne y consent.

Max Schrems, l’avocat qui a déposé la plainte qui a conduit le tribunal de l’UE à annuler le bouclier de protection des données, a déclaré qu’il avait l’intention de déposer une plainte contre le nouveau cadre.

Les responsables de l’UE ont déclaré qu’ils s’attendaient à des plaintes mais qu’ils n’étaient pas inquiets. “Nous pensons que s’il y a un défi, nous pouvons défendre ce cadre de manière crédible”, a déclaré Bruno Gencarelli, le haut responsable de l’UE qui a négocié l’accord avec les États-Unis, lors d’un événement en ligne la semaine dernière.

L’année dernière, le président Biden a signé un décret exécutif donnant aux Européens le droit de découvrir et de contester les cas suspects d’espionnage de leurs données par les autorités américaines. Le changement visait à répondre aux problèmes de confidentialité soulevés dans la décision du tribunal de 2020.

Le fabricant de puces basé en Californie, Ingram Micro, peut confortablement attendre de voir comment le cadre se déroulera, a déclaré Ronald Sarian, son responsable mondial de la confidentialité, ajoutant qu’il n’avait pas encore déterminé si l’entreprise s’engagerait.

Sarian a déclaré qu’il envisagerait une “approche ceinture et porte-jarretelles” pour essayer le nouveau cadre tout en conservant les contrats pluriannuels existants avec des partenaires commerciaux qui incluent des garanties de confidentialité.

Real Chemistry, une société de marketing axée sur les soins de santé basée à San Francisco, préfère le nouveau cadre aux contrats sur mesure, qui prennent beaucoup de temps à négocier, a déclaré Dan Linton, son responsable mondial de la confidentialité des données. “Beaucoup de nos contrats comportaient des sections de confidentialité des données plus longues que la partie principale de l’accord”, a-t-il déclaré.

Même si les entreprises souscrivent au cadre, elles peuvent avoir des partenaires commerciaux qui nécessitent des contrats supplémentaires. Si tel est le cas, les entreprises pourraient faire l’effort de certifier et n’entraîner que des risques réglementaires inutiles, a déclaré Garbagnati d’Adaptive.

“Cela ne semble pas valoir la peine si nos clients et les fournisseurs avec lesquels nous travaillons vont simplement nous obliger à faire des clauses contractuelles standard”, a-t-elle déclaré.

Écrivez à Catherine Stupp à [email protected]