samedi 23 janvier 2021
Accueil / Tic & Telecoms / Protection des données : Microsoft se veut exemplaire

Protection des données : Microsoft se veut exemplaire

Protection des données : Microsoft se veut exemplaire

Juridique : Microsoft s’engage à dédommager les utilisateurs s’il divulgue leurs données à la suite d’une demande gouvernementale ne respectant pas les lois européennes sur la protection de la vie privée.

Microsoft affirme être la première entreprise au monde à répondre aux recommandations des organismes européens de protection de la vie privée suite à la décision de la cour de justice européenne, qui a invalidé le Privacy Shield.

En juillet, la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield, remettant en question la manière dont les entreprises, et en particulier les géants technologiques américains, transmettent des données aux Eats-Unis.

La première entreprise au monde à s’engager sur ces questions

Julie Brill, responsable de la protection de la vie privée chez Microsoft, se félicite que son entreprise soit la première entité au monde à respecter les recommandations formulées la semaine dernière par le CEPD, l’organisme qui regroupe les autorités européennes de protection des données.

« Aujourd’hui, nous annonçons de nouvelles protections pour nos clients du secteur public et les entreprises qui ont besoin de transférer leurs données hors de l’Union européenne, et notamment un engagement contractuel visant à contester les demandes des gouvernements, assorti d’un engagement financier pour montrer notre conviction », annonce-t-elle.

« Microsoft est la première entreprise à s’engager en réponse aux orientations données la semaine dernière par les autorités de réglementation de la protection des données dans l’Union européenne. »

Les recommandations du CEPD

Les autorités européennes chargées de la protection de la vie privée, regroupées sous l’égide du Conseil européen de la protection des données (CEPD), ont adopté la semaine dernière plusieurs recommandations suite à l’arrêt « Schrems II ».

« En vertu de l’arrêt du 16 juillet, les responsables du traitement qui s’appuient sur les clauses contractuelles types (CCT) sont tenus de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire des données dans le pays tiers, si la législation du pays tiers assure un niveau de protection des données à caractère personnel transférées qui est essentiellement équivalent à celui garanti dans l’Espace économique européen (EEE) », indique le CEPD.

« La CJUE permet aux exportateurs d’envisager des mesures complémentaires aux clauses contractuelles pour assurer le respect effectif de ce niveau de protection lorsque les garanties contenues dans les clauses ne sont pas suffisantes. »

Edward Snowden et Max Schrems

Les entreprises technologiques américaines ont été obligées de procéder à d’importants ajustements de leurs conditions générales d’utilisation suite à la victoire de Max Schrems dans un procès pour atteinte à la vie privée qu’il avait intenté à Facebook en 2013. Ce dernier a fait valoir que les informations sur les Européens envoyées aux serveurs américains pouvaient être utilisées par les forces de l’ordre américaines.

Le plaignant a déposé plainte après qu’Edward Snowden, ancien contractant de la National Security Agency (NSA), a montré en 2013 que l’agence exerçait une surveillance massive des citoyens américains et des étrangers par l’intermédiaire de Google, Microsoft, Facebook et d’autres géants technologiques.

L’affaire Schrems a abouti à l’invalidation par la CJUE en 2015 du principe de « Safe Harbor », qui permettait depuis 15 ans aux organisations de transférer des données personnelles d’européens vers les Etats-Unis.

Du Safe Harbor au Privacy Shield

La disparition du Safe Harbor a donné naissance au Privacy Shield, entré en vigueur en août 2016. Mais Max Schrems a intenté un nouveau procès et, en juillet, la CJUE jugeait que ce nouvel accord violait lui aussi les règles du RGPD, dans un arrêt connu, baptisé « Schrems II ».

Selon Julie Brill, Microsoft promet de contester toutes les demandes gouvernementales de données clients du secteur public ou des entreprises, lorsqu’il y a une raison légitime de le faire. « Cet engagement fort va au-delà des recommandations proposées par le CEPD », souligne-t-elle.

Microsoft promet également de « fournir une compensation financière à ces clients si nous divulguons leurs données suite à une demande du gouvernement » en ne respectant pas le RGPD. « Ce qui montre que Microsoft est convaincu que nous allons protéger les données de nos clients entreprises et du secteur public et ne pas les exposer à une divulgation inappropriée. »

zdnet

Laisser un commentaire

Votre adresse email ne sera pas publiée. Champs obligatoires marqués par *

*

Aller en haut