Catégories
Conseils e-commerce

Les entreprises de commerce électronique américaines dans le noir sur les règles de confidentialité européennes | Intimité

Par John K. Higgins

11 sept. 2020 04:47 PT


Les femmes dans la technologieWomen in Tech: 20 pionnières partagent leurs parcours

Un excellent guide pour les étudiants qui envisagent des cours de STEM, les diplômés qui réfléchissent aux choix d'emploi et les changeurs de carrière à n'importe quelle étape de la vie. Un outil utile pour les conseillers scolaires et professionnels, les recruteurs et les professionnels des ressources humaines désireux de diversifier leurs lieux de travail. Obtenez le Kindle ou le livre broché.

Le département américain du commerce tente de négocier un accord qui aiderait des milliers d'entreprises américaines à se conformer aux politiques conçues pour protéger la vie privée des citoyens européens. Le département et la Commission européenne, une branche de l'Union européenne (UE), ont engagé des discussions pour résoudre les problèmes de confidentialité soulevés par l'UE, selon une déclaration conjointe du 10 août.

La raison des négociations est que "Privacy Shield", un programme du Département du Commerce conçu pour protéger la vie privée des Européens, s'est effondré. À la suite d'une contestation judiciaire intentée par le défenseur autrichien de la protection de la vie privée Maximillian Schrems, un tribunal de l'UE a statué le 16 juillet 2020 que le programme américain du bouclier de protection des données était «  invalide '' parce qu'il ne fournissait pas la protection requise aux citoyens européens.

Jusqu'à ce que les problèmes soient résolus, les entreprises américaines opéreront dans une zone crépusculaire sur la manière de garantir la confidentialité des données personnelles qu'elles collectent et traitent électroniquement à partir de sources européennes. Plus de 5 000 entreprises participent au bouclier de protection des données et la plupart d'entre elles sont des petites ou moyennes entreprises.

L'impact commercial de la décision de l'UE est significatif.

"Les flux de données transfrontières entre les États-Unis et l'Europe sont les plus importants au monde et sont essentiels à la plus grande relation commerciale au monde, évalués à environ 1,3 billion de dollars américains par an", selon un communiqué conjoint publié par la Chambre américaine de Commerce et plusieurs associations de commerce électronique. La résiliation du bouclier de protection des données a "perturbé ces flux de données transatlantiques" et a créé une "insécurité juridique" pour les participants au bouclier de protection des données, ont déclaré les groupes.

«Les flux de données sont essentiels non seulement pour les entreprises de technologie, mais aussi pour les entreprises de toutes tailles dans tous les secteurs», a déclaré le secrétaire américain au Commerce Wilbur Ross.

Pourquoi les entreprises américaines sont-elles en difficulté?

À première vue, le bouclier de protection des données semble être un cadre juridique substantiel. En réalité, la relation entre les États-Unis et les pays de l'Espace économique européen (EEE) en matière de confidentialité est dans un état fragile depuis des années. La décision du tribunal de l'UE a marqué la deuxième fois en cinq ans qu'un cadre de protection de la vie privée entre les États-Unis et l'Europe s'était effondré. Un accord préalable, appelé Safe Harbor Act, a échoué en 2015.

En général, les pays de l'EEE qui souscrivent au règlement général sur la protection des données (RGPD) de l'UE insistent pour que les pays en dehors de l'UE offrent un niveau de protection des données personnelles similaire à celui fourni dans l'UE.

Selon les protocoles GDPR, plusieurs types de conformité sont autorisés pour le transfert de données de l'UE en dehors de l'UE, selon une analyse fournie au E-Commerce Times par le bureau des programmes nationaux du Better Business Bureau. Le bouclier de protection des données a permis aux entreprises américaines de respecter l'un de ces critères, sur la base de ce que l'on appelle une «détermination d'adéquation», qui est une décision d'un régulateur de l'UE selon laquelle les lois sur la protection de la vie privée d'un pays non membre de l'UE sont suffisamment solides pour répondre aux normes de l'UE.

En s'inscrivant dans le cadre de ce véhicule unique et en mettant en œuvre les pratiques de confidentialité requises, les entreprises américaines ont pu traiter les données des consommateurs européens aux États-Unis. En outre, le bouclier de protection des données différait d'un mécanisme alternatif, connu sous le nom de clauses contractuelles standard (ou SCC), en ce que le bouclier de protection des données fournissait des exigences supplémentaires de transparence et de responsabilité. Le bouclier de protection des données était également un mécanisme de conformité plus large qu'un contrat entre deux entreprises, a noté l'analyse.

La pierre d'achoppement entre l'Europe et les États-Unis a été soulignée par la Cour européenne. Les Européens affirment que la loi américaine ne fournit pas aux citoyens européens le même niveau de protection de la procédure régulière que les citoyens américains en ce qui concerne les données personnelles qui pourraient être obtenues par les agences de sécurité nationale et d'application de la loi américaines.

Le résultat est que les entreprises américaines sont prises dans un feu croisé entre des entités gouvernementales. La décision européenne d'invalider le bouclier de protection des données "ne se concentre pas sur les utilisations commerciales des données, mais sur les préoccupations concernant l'accès potentiel du gouvernement", a déclaré Myron Brilliant, vice-président exécutif de la Chambre de commerce américaine.

Trouver une solution pose des défis

Alors que les entités gouvernementales tentent de trouver une solution, les entreprises américaines devront faire face au mieux aux normes du RGPD. Ça ne sera pas facile.

Une option pour les entreprises américaines consiste à utiliser des mesures de «localisation» des données. Il s'agit de "réglementations obligeant les entreprises à stocker et traiter les données sur des serveurs physiquement situés à l'intérieur des frontières nationales", selon Albright Stonebridge Group.

Une deuxième option pour les entreprises américaines est de se rabattre sur les accords SCC. Mais la décision de l'UE a rendu plus difficile l'élaboration de CCS appropriés. Plutôt que d'utiliser des modèles juridiques quelque peu généraux, ces accords devront désormais être beaucoup plus spécifiques en fonction des exigences de chaque pays et de la nature et de l'utilisation des données collectées.

La décision de l'UE contenait «des charges supplémentaires importantes» pour les entreprises américaines concernant les deux options, selon Lisa Soto, associée chez Hunton Andrews Kurth.

"Le seul pari sûr est la localisation complète des données dans l'EEE. C'est économiquement irréalisable pour la plupart des entreprises, donc elles se démènent maintenant pour mettre en place des solutions alternatives pour les transferts de données si elles s'appuyaient sur les certifications Privacy Shield pour légaliser les transferts", a déclaré Soto a déclaré au E-Commerce Times.

«Si les entreprises comptaient sur les CCS, elles doivent maintenant mener une évaluation des risques de transfert et éventuellement mettre en place des garanties supplémentaires. Dire que c'est un gâchis est un euphémisme», a-t-elle ajouté.

Certains experts juridiques affirment qu'un meilleur cryptage aidera les entreprises américaines et que la préoccupation concernant l'accès des agences de sécurité nationale aux données est quelque peu limitée par la loi américaine. La décision de justice de l'UE a été rigoureusement examinée par des experts juridiques, avec des analyses et une interprétation soigneusement nuancées de la décision. Mais cela souligne l'idée que la rédaction des CCS impose un lourd fardeau juridique et de conformité aux entreprises.

Rendre les choses encore plus risquées pour les entreprises américaines est l'affirmation selon laquelle le tribunal de l'UE "jette un doute" sur l'utilisation des SCC, selon l'analyse des programmes nationaux du BBB. En fait, quelques régulateurs européens, connus sous le nom d'autorités de protection des données (DPA), ont déjà exprimé des inquiétudes quant à la viabilité des SCC.

"L'incertitude sera la norme pour les transferts de données entre l'UE et les États-Unis jusqu'à ce que les régulateurs européens clarifient les normes introduites par la Cour de l'UE. Il y a également une incertitude supplémentaire pour les transferts de données du Royaume-Uni vers les États-Unis car le Brexit entrera pleinement en vigueur à la fin. de l'année », a déclaré Cobun Zweifel-Keegan, directeur adjoint, Initiatives de confidentialité pour les programmes nationaux BBB.

"La situation après la décision Schrems est que tous les mécanismes de transfert reconnus en vertu du droit de l'UE nécessitent désormais des étapes juridiques, opérationnelles et techniques supplémentaires afin d'avoir même une chance d'être suffisants selon les nouvelles normes", a-t-il déclaré à E-Commerce. Fois. "Jusqu'à ce qu'il y ait plus de clarté, les entreprises continueront de travailler pour démontrer leur conformité au mieux de leurs capacités, y compris en mettant en œuvre les types de pratiques requises par le bouclier de protection des données", a-t-il ajouté.

Négociations en cours

Alors que les négociations entre les États-Unis et l'Europe se poursuivent, le DoC continuera à appliquer le bouclier de protection des données dans l'espoir que les discussions aboutiront à des modifications réalisables du programme. Toutes les entreprises participant au programme peuvent abandonner, mais ce n'est pas souhaitable, selon Soto, de Hunton Andrews Kurth.

«Les principes du bouclier de protection des données continuent de servir de cadre solide pour la protection des données à caractère personnel. En outre, la Suisse continue d'honorer le cadre du bouclier. Il est donc logique que les entreprises restent certifiées au bouclier.

"Bien sûr, on espère que les discussions diplomatiques seront couronnées de succès et que les entreprises certifiées Shield pourront à nouveau utiliser le Bouclier comme mécanisme par lequel transférer légalement des données personnelles de l'EEE aux États-Unis", a noté Soto.


John K. Higgins est journaliste à ECT News Network depuis 2009. Ses principaux domaines d'intérêt sont les problèmes technologiques du gouvernement américain tels que les contrats informatiques, la cybersécurité, la confidentialité, la technologie cloud, le big data et la réglementation du commerce électronique. En tant que journaliste indépendant et écrivain professionnel, il a écrit pour de nombreuses publications, notamment
Le rapport du corps et Semaine d'affaires.
Envoyez un courriel à John.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *