Thales permet aux entreprises de maintenir leur conformité au RGPD suite à l’arrêt Schrems II
Le Règlement général sur la protection des données (RGPD) définit les exigences liées à la sécurité des données au sein de l’Union européenne (UE) et de l’Espace économique européen (EEE). Cependant, il n’adresse pas suffisamment la question de la sécurisation des données à caractère personnel des citoyens européens lorsqu’elles sont traitées en dehors de l’UE par d’autres pays, par exemple dans le cadre du flux de données transatlantiques, qui représente plus de la moitié des transactions européennes.
Dans son arrêt Schrems II, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield (ou « bouclier de protection des données ») entre l’Europe et les États-Unis, car il n’appliquait pas de manière adéquate le RGPD de l’UE pour protéger les données à caractère personnel lors de leur transfert entre l’UE et les États-Unis. Suite à l’annulation du Privacy Shield, intervenue après celle du Safe Harbor, les entreprises sont désormais responsables de ces transferts de données et elles recherchent des solutions de protection des données permettant de protéger les activités commerciales internationales de manière adéquate.
Le Comité européen de la protection des données (CEPD) est un organe européen indépendant qui contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne et encourage la coopération entre les autorités chargées de la protection des données dans les pays européens. Pour répondre à l’arrêt Schrems II, le CEPD a récemment adopté des recommandations de mesures supplémentaires ainsi qu’un deuxième document sur les garanties essentielles européennes, qui fournit des orientations aux pays non membres de l’UE afin d’assurer la conformité avec le niveau de protection des données à caractère personnel offert au sein d’UE. Les nouvelles recommandations du CEPD permettent aux entreprises de mettre en place un cadre de confidentialité fiable permettant de renforcer les flux de données transatlantiques.
Thales permet aux entreprises d’assurer le maintien de leur mise en conformité avec le RGPD et de respecter l’arrêt Schrems II, grâce à un cadre de confidentialité fiable destiné à protéger les flux de données transatlantiques qui suivent ces principes fondamentaux.
L’arrêt Schrems II souligne la nécessité d’assurer la protection des données à caractère personnel et des données sensibles conformément au RGPD, lors de leur transfert en provenance des/vers les pays de l’UE et des pays hors UE. Suite à l’arrêt, le Comité européen de la protection des données (CEPD) recommande un plan en six étapes pour évaluer et protéger de manière continue les flux de données internationaux conformément aux réglementations européennes sur la confidentialité des données.
1ère étape : connaissez vos transferts de données
La première étape consiste à vous assurer de détenir un journal de tous les transferts de données effectués vers des pays hors de l’UE, y compris de tous les responsables du traitement et sous-traitants. Vous devez vérifier que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire pour accomplir la finalité du transfert dans le pays tiers.
2e étape : identifiez les outils de transfert que vous utilisez
La deuxième étape consiste à identifier les outils de transfert de données que vous utilisez, parmi ceux répertoriés au chapitre V du RGPD, et à prendre des décisions sur certains ou tous les pays tiers vers lesquels vous transférez des données en fonction qu’ils proposent ou non un niveau adéquat de protection des données à caractère personnel.
3e étape : évaluez si l’outil de transfert est suffisant pour répondre aux exigences du RGPD (article 45)
L’outil de transfert doit garantir que le niveau de protection assuré par le RGPD au sein des pays de l’UE est de niveau semblable dans le pays hors UE. Votre évaluation doit prendre en compte tous les acteurs du transfert de données (p. ex. les responsables du traitement et les sous-traitants) et du traitement des données dans les pays tiers.
4e étape : adoptez des mesures supplémentaires
Si l’évaluation que vous avez conduite à la 3e étape a montré que l’outil de transfert n’était pas efficace, vous devrez envisager de prendre des mesures supplémentaires qui garantiront, une fois ajoutées aux protections, que le même niveau de protection garanti au sein de l’UE est appliqué aux transferts de données externes.
5e étape : formalités à effectuer si vous avez identifié des mesures supplémentaires
Il est possible que vous deviez prendre ces mesures supplémentaires, si les mesures principales utilisées par les outils de transfert ne suffisent pas à protéger les données.
6e étape : ré-évaluez le niveau de protection à des intervalles appropriés
Vous devez effectuer un contrôle en continu et, si nécessaire, travailler avec les importateurs de données des pays tiers vers lesquels vous transférez des données pour mettre en place des mécanismes suffisants pour suspendre rapidement les transferts de données si l’importateur ne respectait ses obligations contractuelles.
Thales permet aux entreprises de maintenir leur conformité au RGPD et de suivre les recommandations du Comité européen de la protection des données (CEPD) relatives à l’adoption de l’arrêt Schrems II en utilisant son plan en 6 étapes destiné à évaluer et à protéger les flux de données en continu.
CipherTrust Data Security Platform unifie la découverte, la classification et la protection des données et propose des contrôles d’accès granulaires uniques avec une gestion centralisée des clés sous votre contrôle, le tout sur une seule plateforme. Elle permet aux entreprises de déployer des politiques BYOE (Bring Your Own Encryption ou « apportez votre propre chiffrement ») et de tokénisation destinées à protéger les données sensibles au repos dans les pays de l’UE (exportateur de données) et les pays hors UE (sous-traitants).
This white paper describes how companies can adhere to the European Data Protection Board’s recommendations to address the Schrems II ruling, using the digital privacy framework provided by Thales’ data protection and trusted access management solutions.
The GDPR, which went into effect in May 2018, aims to protect the privacy of EU citizens. Any such data that you hold across your cloud environment(s) is ultimately your responsibility and under your ownership, leaving you subject to potential scrutiny under the new mandates. ...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
GDPR mandates the procedures and dictates the consequences regarding data breaches and notification.
In July of 2020 the Court of Justice of the European Union issued the Schrems II decision in the case Data Protection Commission v. Facebook Ireland. That decision invalidated the EU-U.S. Privacy Shield Framework, on which more than 5,000 U.S. companies rely to conduct...
L’arrêt Schrems II aura un fort impact sur le commerce international des entreprises faisant des affaires avec l’Union européenne (UE). Toute entreprise choisissant d’ignorer Schrems II pourrait se voir obligée de cesser partiellement ou complètement ses transferts de données...
Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.
Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.
Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".
