Protection des données : Microsoft se veut exemplaire
Microsoft affirme être la première entreprise au monde à répondre aux recommandations des organismes européens de protection de la vie privée suite à la décision de la cour de justice européenne ayant invalidé le Privacy Shield.
En juillet, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield, remettant en question la manière dont les entreprises et en particulier les géants technologiques américains transmettent des données aux États-Unis.
Julie Brill, responsable de la protection de la vie privée chez Microsoft, se félicite que le fabricant de Windows 10, Office et Azure soit la première entité au monde à respecter les recommandations formulées la semaine dernière par le CEPD, l’organisme qui regroupe les autorités européennes de protection des données.
“Aujourd’hui, nous annonçons de nouvelles protections pour nos clients du secteur public et les entreprises qui ont besoin de transférer leurs données hors de l’Union européenne, notamment un engagement contractuel visant à contester les demandes des gouvernements assorti d’un engagement financier pour montrer notre conviction”, a déclaré Julie Brill.
“Microsoft est la première entreprise à s’engager en réponse aux orientations données la semaine dernière par les autorités de réglementation de la protection des données dans l’Union européenne”.
Les autorités européennes chargées de la protection de la vie privée, regroupées sous l’égide du Conseil européen de la protection des données (CEPD), ont adopté la semaine dernière plusieurs recommandations suite à l’arrêt “Schrems II”.
“En vertu de l’arrêt du 16 juillet, les responsables du traitement qui s’appuient sur les clauses contractuelles types (CCT) sont tenus de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire des données dans le pays tiers, si la législation du pays tiers assure un niveau de protection des données à caractère personnel transférées qui est essentiellement équivalent à celui garanti dans l’Espace économique européen (EEE)”, a déclaré le CEPD.
“La CJUE permet aux exportateurs d’envisager des mesures complémentaires aux clauses contractuelles pour assurer le respect effectif de ce niveau de protection lorsque les garanties contenues dans les clauses ne sont pas suffisantes”.
Les entreprises technologiques américaines ont été obligées de procéder à d’importants ajustements de leurs conditions générales d’utilisation suite à la victoire de Max Schrems dans un procès pour atteinte à la vie privée qu’il avait intenté à Facebook en 2013. Il a fait valoir que les informations sur les Européens envoyées aux serveurs américains pouvaient être utilisées par les forces de l’ordre américaines.
Il a déposé plainte après qu’Edward Snowden, ancien contractant de la National Security Agency (NSA), a montré en 2013 que l’agence exerçait une surveillance massive des citoyens américains et des étrangers par l’intermédiaire de Google, Microsoft, Facebook et d’autres géants technologiques.
L’affaire Schrems a abouti à l’invalidation par la CJUE en 2015 du principe de Safe Harbour, qui permettait depuis 15 ans aux organisations de transférer des données personnelles d’européens vers les États-Unis.
La disparition du Safe Harbour a donné naissance au Privacy Shield, qui est entré en vigueur en août 2016. Mais Schrems a intenté un nouveau procès et, en juillet, la CJUE a jugé que ce nouvel accord violait lui aussi les règles du RGPD dans un arrêt connu baptisé Schrems II.
Selon Julie Brill, Microsoft promet de contester toutes les demandes gouvernementales de données clients du secteur public ou des entreprises lorsqu’il y a une raison légitime de le faire.
“Cet engagement fort va au-delà des recommandations proposées par le CEPD”, a déclaré Brill.
Microsoft promet également de “fournir une compensation financière à ces clients si nous divulguons leurs données suite à une demande du gouvernement” ne respectant pas le RGPD.
“Cela montre que Microsoft est convaincu que nous allons protéger les données de nos clients entreprises et du secteur public et ne pas les exposer à une divulgation inappropriée”.
Source : “ZDNet.com”