Où vivent vos données ? C’est une question simple avec une réponse incroyablement complexe. En fait, c’est une réponse qui teste de plus en plus de nouvelles lois sur la confidentialité de chaque côté de l’Atlantique et oblige les fabricants d’appareils et les créateurs de logiciels à se demander quelles données, le cas échéant, ils peuvent utiliser dans leurs produits.
L’année dernière, la Cour de justice de l’Union européenne (CJUE) a rendu un verdict dans une affaire judiciaire connue sous le nom de « Schrems II » qui a interrompu les principaux mécanismes de transfert de données personnelles de l’Union européenne vers les États-Unis. Les transferts internationaux de données sont nécessaires pour promouvoir l’innovation, renforcer les relations commerciales et élargir l’accès des consommateurs aux produits et services numériques.
Cette décision a eu un impact direct sur les entreprises qui se livrent à ce type de transfert de données, y compris les grands géants de la technologie tels que Facebook et d’autres PME. Mais cette décision a également eu des répercussions sur le commerce et le développement d’industries technologiques telles que cloud computing, IA et IoT. Voyons comment les entreprises et les créateurs de technologies peuvent aborder cette nouvelle ère des droits sur les données.
Qu’est-ce que Schrems II ?
Nommé d’après l’activiste, avocat et auteur Maximilian Schrems, Schrems II est une affaire judiciaire. Après avoir découvert que Facebook transférait des données personnelles d’Europe vers son siège américain, Schrems s’est rendu compte que les données pourraient être utilisées par les agences de renseignement américaines et donc violer le RGPD, qui interdit les transferts de données de l’UE vers les États-Unis
En 2013, Schrems a demandé au commissaire irlandais à la protection des données d’invalider la décision de la Commission européenne Clauses contractuelles types (CPA) pour les transferts de données entre pays de l’UE et pays tiers. Bien qu’ayant été rejetée par le commissaire irlandais à la protection des données à l’époque, l’affaire Schrems II, plus tard étiquetée, a finalement été portée devant la branche judiciaire de l’Union européenne, connue sous le nom de CJUE, sept ans plus tard.
En juillet 2020, la CJUE a rendu son verdict final, jugeant que le bouclier de protection des données UE-États-Unis est un mécanisme invalide pour se conformer aux exigences de l’UE en matière de protection des données. Bien qu’il ait confirmé la validité des CCP, le tribunal a statué que les CCP doivent être vérifiés au cas par cas pour évaluer si la loi du pays destinataire assure une protection adéquate des données.
Cela a incité l’UE à publier CSC modernisés pour garantir des échanges de données personnelles plus sûrs.
Qu’est-ce que cela signifie pour les transferts de données transfrontaliers ?
La décision Schrems II n’a pas seulement affecté Facebook. Cela a également causé des problèmes à d’autres entreprises technologiques dont les services impliquent l’envoi de données à l’échelle internationale.
À la suite de la décision, les entreprises qui transfèrent des données de l’UE vers les États-Unis doivent prendre en compte :
Données en général : Cela peut sembler simple, mais la mesure la plus importante que les entreprises peuvent prendre après le verdict est d’avoir autant d’informations que possible sur leurs transferts de données. Sachez quel type de données est traité et où il va. Pour les entreprises de l’UE, la sonnette d’alarme devrait commencer à sonner dès que les données quittent le territoire de l’UE.
Raisons du transfert de données Une tâche en apparence simple, mais les entreprises qui déplacent des données à l’international doivent également être conscientes des motifs pour lesquels les données sont transférées en premier lieu.
Protection des données: Un autre élément à connaître est exactement les mesures mises en place par votre entreprise IoT pour protéger adéquatement les données personnelles. Comme suggéré par l’UE, les mesures techniques pour protéger les données comprennent des actions appropriées pour gérer la sécurité en ligne, le risque de perte de données et l’altération des données ou l’accès non autorisé. Les mesures organisationnelles, d’autre part, incluent la restriction de l’accès aux données personnelles aux seules personnes autorisées.
Pays tiers : Enfin, il est important de bien comprendre les lois et réglementations des pays tiers par lesquels transitent les données et le niveau de protection qu’elles offrent. Cela implique également la mise en place de contrôles supplémentaires si nécessaire.
Règles régionales et continentales
Pendant ce temps, il convient de mentionner que les différents droits de données régionaux et continentaux présentent d’autres boules de courbe juridiques. Alors que l’UE bénéficie d’une protection globale de son RGPD, les États-Unis sont un patchwork de lois étatiques. Le plus important Facture de sécurité IoT à ce jour, la California Consumer Privacy Act, qui précise que les gens peuvent refuser à la fois la vente et le partage de leurs informations personnelles à des tiers.
Par conséquent, les entreprises de cloud computing américaines doivent prendre en compte les droits sur les données des clients européens et ceux des Californiens. Fait intéressant, la même considération ne s’applique pas encore aux Texans ou aux Floridiens. Comme pour de nombreuses décisions aux États-Unis, les législatures des États décident des droits sur les données. Les décisions de patchwork signifient que les entreprises doivent rester à jour à mesure que d’autres États adoptent des mandats de confidentialité des données. Par exemple, New York, le Maryland et Hawaï ont des règles à venir et variées à l’horizon.
Cet écart permanent entre les réglementations continentales générales et les règles régionales nécessite une vigilance accrue.
Qu’est-ce que cela signifie pour les entreprises IoT ?
La bonne nouvelle est que les entreprises peuvent rester en conformité avec les lois. Par exemple, le cryptage offre une solution simultanée pour effectuer des transferts aux États-Unis selon les règles de l’UE. Un cryptage fort peut fournir une mesure efficace pour les transferts de données tant que les clés sont gérées de manière fiable. Si des protocoles de pointe sont suivis, le cryptage peut fournir une protection adéquate contre toute interception et manipulation de données par un tiers. De même, les protocoles informatiques multipartites qui divisent les données en parties à traiter indépendamment peuvent empêcher la reconstitution des données personnelles.
Une autre façon de se conformer aux règles de données est de rester à l’écart du cloud dans la mesure du possible. Dans l’IoT, par exemple, les fournisseurs d’appareils peuvent adapter le type de connexion pour assurer une communication directe entre l’utilisateur final et l’appareil. Ce type de connexion contourne le cloud pour permettre une communication privée, et évite ainsi le risque de stockage de données personnelles.
Bien sûr, la meilleure pratique est de s’en tenir aux règles. Les nouveaux CCN fournissent des éclaircissements sur ce qui est et n’est pas acceptable. Mais, en même temps, les clauses révisées continuent d’imposer aux entreprises individuelles de respecter Normes IoT GDPR.
À l’heure actuelle, la responsabilité incombe aux entreprises
Les entreprises cherchant à tirer parti des SCC doivent identifier les transferts transfrontaliers sous leur responsabilité. Cela comprend la réalisation d’une analyse nuancée du niveau de conformité du pays destinataire en matière de protection des données avec le RGPD. De plus, si l’un des pays fait partie de l’Alliance Five Eyes, une analyse approfondie sera nécessaire. Les pays de l’alliance comprennent l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis.
Quelle que soit la méthode, les entreprises de part et d’autre de l’Atlantique doivent réfléchir profondément à la manière dont elles traitent les données. Les différentes juridictions et législations créent aujourd’hui une situation délicate pour les entreprises technologiques. À l’avenir, mon conseil est de crypter toutes les données et de suivre au mieux la lettre de la loi. Ce n’est pas une mince affaire, mais il faut éviter l’intérieur d’une salle d’audience.
Pensées de clôture
Outre le verdict, l’impact de la pandémie a fait de la sécurité des données et de la cybersécurité des préoccupations majeures. Afin de garantir la conformité de vos solutions IoT, il s’agit simplement de prioriser la sécurité et la confidentialité.
Cependant, comme la Fondation pour la technologie de l’information et l’innovation fait remarquer, ce défi n’est pas du ressort du secteur privé à assumer seul. Les gouvernements internationaux doivent également réconcilier leurs systèmes de surveillance des données grâce à la coopération et travailler à la mise en œuvre de nouveaux mécanismes de transfert de données.
L’article Schrems II expliqué : comment la décision juridique affecte l’IoT est apparu en premier sur zimo news.
