S’adapter à la réglementation de l’échange mondial des données

Les flux échangés entre l’Europe et les Etats-Unis sont les plus élevés au monde. Dans ce contexte, il est indispensable de créer un cadre de protection solide entre ces deux zones et ce, pour la prospérité numérique.

Le 2 février dernier, de nombreuses entreprises américaines prenaient connaissance du nouveau cadre réglementaire qui doit réguler l'échange et la protection des données personnelles entre l’Union Européenne et les États-Unis

. Le Privacy Shield fait, à ce jour, toujours l’objet de nombreuses négociations entre le Groupe de Travail des 29, le gouvernement américain et la Commission Européenne. Et s’il représente une avancée, il n’est cependant pas encore considéré comme satisfaisant en son état actuel.  En parallèle, le Règlement Européen (le GDPR – General Data Protection Regulation) est entré en vigueur il y a quelques jours et celui-ci vient considérablement changer la donne. L’enjeu est maintenant pour les entreprises de s’y adapter au plus vite.

Selon une étude réalisée en 2014 par le service de Recherche du Congrès américain, les flux d’échanges de données entre les États-Unis et l'Europe sont les plus élevés au monde : quasiment deux fois supérieurs aux données échangées entre les États-Unis et l'Amérique latine, et 50% supérieurs aux flux de données entre les États-Unis et l'Asie. Dans ce contexte, il est primordial de maintenir entre ces deux zones géographiques un cadre de protection solide, au service de la croissance économique et de ce que l’on peut appeler la « prospérité numérique ».

En attendant une version plus robuste du Privacy Shield pour parvenir à cet objectif, le GDPR, lui, marque une nouvelle étape en matière de régulation et de restrictions pour les entreprises qui souhaitent poursuivre leurs activités avec l’UE. En effet, le règlement européen est sur le point de modifier les lois de l’ensemble des pays membres de l’UE sur la protection des données et donne force de loi aux Binding Corporate Rules, là où celles-ci n’étaient jusqu’à présent que fortement recommandées par le Groupe de Travail des 29. Les conséquences du non-respect du règlement européen sont très lourdes pour les entreprises puisque les pénalités peuvent aller jusqu’à 4% du CA global en cas d’infraction, ce qui devrait indubitablement attirer l’attention nécessaire à une mise en conformité rapide des entreprises.

Si ces conditions sont contraignantes pour les entreprises, est-ce nécessairement catastrophique ? Et comment peuvent-elles opérer librement tout en adhérant aux lois et réglementations locales sur la protection des données ?

Les règles internes d’entreprise (BCR – Binding Corporate Rules)

Avec l’avènement des objets connectés, ces dernières années ont été marquées non seulement par une augmentation des flux de données mais aussi par des fuites massives et régulières de données. Les entreprises auront beau exprimer leur mécontentement face au renforcement du cadre de protection des données privées, il faut avouer que le contexte rend ces changements nécessaires pour que les individus puissent avoir pleinement confiance dans la sécurité de l’écosystème numérique et des entreprises qui l’animent. L’idée qu’un finlandais de 10 ans ait pu trouver il y a quelques semaines une faille dans le code d’Instagram est un nouvel argument en ce sens.

Ainsi les Binding Corporate Rules, que de nombreuses entreprises ne connaissent pas, deviennent le nouveau cadre de référence. Il permet d’assurer des échanges sécurisés et conformes, en fixant un cadre de protection et de confidentialité strict, en conformité avec les dispositions législatives et réglementaires des pays membres de l’UE mais aussi celles du reste du monde.  Les entreprises ayant reçu la certification BCR peuvent donc maintenir une activité normale en continuant de transférer des données personnelles hors de l’UE.

Obtenir cette accréditation n'est certainement pas chose aisée. Le processus d’obtention est long et difficile et représente un investissement significatif à court et moyen termes pour des effets bénéfiques à long terme.

En tout état de cause, le GDPR et les BCRs transforment la façon dont les professionnels du monde entier envisagent et traitent les données de citoyens européens. Un enjeu crucial, tant ces dernières tiennent le premier rôle dans le cadre de la 4ème révolution industrielle, pour qu’un climat de confiance soit préservé entre les entreprises étrangères et les citoyens de l’Union Européenne.