L’invalidation du Privacy Shield ne met pas fin aux transferts de données hors de l’UE. Pour répondre aux exigences légales, Microsoft annonce de « nouvelles protections ». L’éditeur s’engage notamment à indemniser ses clients.
Depuis le 16 juillet, les transferts de données vers les États-Unis dans le cadre du Privacy Shield sont à proscrire. Si les Clauses Contractuelles Types ne font pas l’objet d’une invalidation, leur utilisation est cependant plus encadrée.
Une semaine plus tôt, l’EDPB adoptait ainsi des recommandations sur les mesures visant à compléter les outils de transfert. L’objectif est de garantir la conformité des transferts avec le niveau de protection des données personnelles de l’UE.
Tout accès aux données sera combattu en justice
Microsoft assure cependant aujourd’hui aller au-delà de ces exigences. Dans le cadre de ses contrats avec les administrations et les entreprises, la firme américaine met en œuvre deux mesures supplémentaires.
« Nous pensons que les nouvelles mesures que nous annonçons aujourd’hui vont au-delà de la loi et des projets de recommandations de l’EDPB, et nous espérons que ces mesures supplémentaires donneront à nos clients une confiance accrue dans leurs données » affirme sa directrice de la privacy, Julie Brill.
Ces protections « Defending Your Data » s’appliquent d’ores et déjà aux contrats entre Microsoft et ses clients professionnels. Celles-ci prennent principalement la forme d’engagements. Ainsi, la firme de Redmond déclare qu’elle contestera toute demande d’accès aux données émanant des Etats.
Cette promesse ne pourra cependant être tenue que dès lors qu’une « base légale » permet un tel recours de Microsoft. Faute de pouvoir s’opposer à une violation du RGPD, Microsoft annonce en outre qu’il indemnisera financièrement ses clients.
Une indemnisation pour les violations du RGPD
« Cet engagement va également au-delà des recommandations de l’EDPB. Il montre que Microsoft est convaincu que nous allons protéger les données de nos clients du secteur public et des entreprises et ne pas les exposer à une divulgation inappropriée » revendique Julie Brill.
Pour limiter ces accès aux données, Microsoft s’appuie par ailleurs sur d’autres mécanismes. Mesure sans doute plus efficace que les engagements, l’éditeur utilise le chiffrement des données, au repos et en transit.
Il exclut de plus tout usage de porte-dérobée dans ces technologies de chiffrement. Microsoft affirme ne fournir à aucun gouvernement ses clés de chiffrement « ou tout autre moyen de casser notre chiffrement ».
« Nous espérons que les mesures que nous avons annoncées aujourd’hui montrent à nos clients entreprise et secteur public que nous irons au-delà de la loi pour défendre leurs données et celles de leurs utilisateurs » conclut la dirigeante du géant US.
A lire également sur MyData
Invalidation du Privacy Shield : quid des transferts de données
Le couperet est tombé le 16 juillet. La Cour de justice de l’UE invalide le mécanisme de transfert de données vers les Etats-Unis, le Privacy Shield. Les transferts sont-ils dès lors interdits ? Les autorités de protection planchent. Restent par ailleurs les Clauses Contractuelles Types, sous conditions cependant.
