Les entreprises qui transfèrent des données personnelles de l’Union européenne vers la Russie violent probablement les lois sur la confidentialité, a déclaré un régulateur de l’UE après avoir ordonné au service de transport basé en Russie Yango de cesser de transférer les informations des clients là-bas.
Tobias Judin, chef de la section internationale de l’Autorité norvégienne de protection des données, a ordonné un arrêt de trois mois des transferts de données personnelles de Yango vers la Russie. Le bureau du régulateur norvégien des données a travaillé sur l’affaire avec son homologue finlandais, qui a ordonné une interdiction temporaire des flux de données de Yango vers la Russie le 4 août. Les deux bureaux ont rendu les interdictions publiques lundi.
Yango appartient au moteur de recherche Internet russe Yandex. Le service de covoiturage opère dans plus de 600 villes de 17 pays et compte environ 700 000 chauffeurs dans le monde, selon le site Web de Yango.
Toutes les données personnelles transférées de l’UE vers la Russie pourraient être vulnérables à la surveillance des autorités gouvernementales russes, a déclaré Judin. Les garanties que de nombreuses entreprises utilisent lorsqu’elles transfèrent des données vers des pays hors de l’UE ne tiendraient pas si les autorités de renseignement russes exigeaient l’accès aux données des Européens, a-t-il déclaré.
« Il suffit de ne pas transférer de données vers la Russie. C’est un risque énorme », a-t-il déclaré. Les interdictions temporaires de trois mois des régulateurs étaient des procédures urgentes qui peuvent prendre effet plus rapidement que les procédures permanentes.
“Ne transférez pas de données vers la Russie. C’est un risque énorme.”
Les régulateurs examinaient les flux de données de Yango depuis un certain temps, mais ont rapidement émis les ordres après avoir pris connaissance d’une nouvelle loi russe le 3 août, a déclaré Judin. La loi, qui doit entrer en vigueur le 1er septembre, obligera les compagnies de taxis à partager des données personnelles avec les autorités. Yango envoie des données sur les prises en charge et les lieux de dépôt des clients finlandais et norvégiens vers la Russie, a déclaré Judin. Ces informations pourraient être utilisées à des fins de surveillance ou potentiellement pour faire chanter des personnes, a-t-il déclaré.
Un porte-parole de Yango a déclaré que la société se conformait aux règles de confidentialité de l’UE et qu’elle étudiait les décisions des régulateurs “en vue de se conformer aux exigences nouvellement introduites”. Les lois russes ne s’appliquent pas aux activités internationales de Yango ni aux clients utilisant l’application pour des trajets en dehors de la Russie, a déclaré le porte-parole.
“Cela ne changera pas après le 1er septembre”, a déclaré le porte-parole.
Les entreprises d’autres secteurs pourraient également enfreindre le règlement général sur la protection des données de l’UE si elles envoient des données en Russie. La loi de 2018 oblige les entreprises à garantir la sécurité des données si elles sont déplacées en dehors du bloc des 27 pays. Les transferts de données d’entreprise vers la Russie sont “tout à fait sur notre radar”, a déclaré Judin.
Certaines entreprises peuvent transférer des données de l’UE vers la Russie, car les citoyens russes vivant dans le bloc communiquent avec des personnes en Russie via des applications et d’autres services technologiques. Certaines entreprises multinationales et russes continuent de faire des affaires qui impliquent des transferts de données vers la Russie, a déclaré Judin. D’autres ont décidé de réduire leur exposition. Les fournisseurs de cloud américains, dont Microsoft et Amazon Web Services, ont déclaré l’année dernière qu’ils avaient cessé de prendre de nouveaux clients en Russie.
Le siège social de Microsoft à Moscou. L’année dernière, la société de technologie a suspendu toutes les nouvelles ventes de ses produits et services en Russie.
Photo:
Mikhaïl Japaridze/Zuma Press
Il existe probablement de nombreux autres cas d’entreprises envoyant des données personnelles de l’UE vers la Russie, mais les régulateurs n’ont pas encore mis un terme à ces transferts, a déclaré Judin. L’une des raisons pourrait être que de nombreux Européens ne savent pas que des entreprises pourraient envoyer leurs données en Russie et n’ont donc pas déposé de plainte, a-t-il déclaré.
Les entreprises ne peuvent pas garantir que les données des Européens seront en sécurité en Russie car elles ne peuvent pas savoir si les agences de renseignement russes exigeront d’y accéder, a déclaré Judin. Même si les responsables de la confidentialité des entreprises utilisent des garanties pour protéger les données, ils ne connaissent pas non plus l’étendue des capacités techniques des autorités russes pour les contourner, a-t-il déclaré.
“La Russie n’est pas une démocratie qui fonctionne bien, donc quand vous entendez parler de transferts de données personnelles vers la Russie, il y a un risque que la protection des données personnelles des personnes soit violée”, a déclaré Judin.
Les interdictions temporaires des transferts de données de Yango interviennent à un moment où l’UE, les États-Unis et d’autres pays démocratiques alignent plus étroitement leurs lois sur la confidentialité, a déclaré Joe Jones, directeur de la recherche et des connaissances à l’Association internationale des professionnels de la confidentialité.
L’UE et les États-Unis ont signé le mois dernier un nouvel accord qui permet aux entreprises de transférer plus facilement des données personnelles entre les juridictions. “Il y aura un effet d’entraînement d’un examen plus approfondi de la Russie”, a déclaré Jones, commentant l’impact probable des décisions des régulateurs sur Yango. Certains régulateurs européens ont déjà infligé une amende à l’application de partage de vidéos TikTok pour violation de la vie privée liée aux données des enfants, et d’autres enquêtent sur la plateforme. “Ce n’est pas exagéré d’imaginer plus de contrôle sur les transferts de données vers la Chine”, a-t-il ajouté.
Les régulateurs norvégiens et finlandais pourraient demander au Comité européen de la protection des données, un organe composé des organismes nationaux de surveillance de la vie privée des 27 États membres de l’UE, de peser sur les interdictions, ce qui pourrait transformer la décision temporaire en une décision permanente, a déclaré Judin.
Ils attendent d’abord de voir comment Yango répond et si l’entreprise se conforme et arrête d’envoyer des données en Russie ou arrête potentiellement de faire des affaires en Norvège et en Finlande, a-t-il déclaré. Si Yango cesse d’envoyer des données à la Russie, les autres régulateurs n’auront pas besoin d’examiner la décision, a déclaré Judin.
Suite à l’invasion russe de l’Ukraine l’année dernière, le Comité européen de la protection des données a déclaré qu’il examinait les mouvements de données personnelles des entreprises vers la Russie. “Les transferts vers la Russie sont encore une réalité aujourd’hui : malgré les sanctions économiques, de fréquents échanges de données personnelles ont lieu quotidiennement entre les pays de l’EEE et la Russie”, avait alors déclaré une porte-parole du groupe. L’Espace économique européen, ou EEE, fait référence aux États membres de l’UE plus la Norvège, l’Islande et le Liechtenstein.
Écrivez à Catherine Stupp à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
:quality(85):upscale()/2022/11/18/816/n/24155406/fa7522326377d0619aa498.20017932_.jpg)
