Schrems 2 et son incidence sur les dispositif d’alerte éthique
On nous a récemment posé des questions sur Schrems 2 et sur la manière dont il affecte les dispositif d’alerte éthique. Dans cet article, nous répondons à un certain nombre de questions clés relatives à Schrems 2, en mettant l’accent sur les signalements et l’engagement continu de WhistleB en matière de sécurité des données.
Qu’est-ce que Schrems 2 ?
Schrems 2 est un arrêt de la Cour de justice de l’Union européenne (CJUE) qui signifie que le Bouclier de protection des données UE-États-Unis Privacy Shield est désormais un mécanisme insuffisant pour assurer le respect des exigences de l’UE en matière de protection des données. L’arrêt a été rendu en juillet 2020, lorsque la CJUE a invalidé le Bouclier de protection des données UE-États-Unis Privacy Shield en tant que mécanisme de transfert pour les exportations de données à caractère personnel vers les États-Unis, au motif que les protections qu’il offrait ne répondaient pas aux normes européennes.
Quel est le lien entre ce sujet et les alertes professionnelles ?
En fonction de leur localisation, de leur structure et du choix du fournisseur de la solution d’alertes professionnelles, certaines organisations peuvent transférer des données liées à des alertes professionnelles entre l’UE et les États-Unis.
Quels sont les domaines de la législation américaine et européenne concernés ?
Le RGPD de l’UE limite les transferts de données à caractère personnel en dehors de l’UE aux pays qui ne peuvent pas garantir une protection adéquate, à moins qu’une exception ne s’applique ou qu’un autre mécanisme approuvé ne soit adopté.
Jusqu’à présent, les clauses contractuelles types (SCC) et le bouclier de protection des données (pour les transferts vers les États-Unis) ont été les mécanismes les plus couramment utilisés pour protéger les données à caractère personnel transférées.
En vertu du US Cloud Act (loi américaine sur le cloud) de 2018, les agences gouvernementales américaines peuvent demander à un tribunal américain d’émettre un mandat exigeant que les fournisseurs soumis à la loi américaine remettent les données qu’ils stockent pour leurs clients, même si ces données sont stockées en dehors des États-Unis, y compris dans l’UE.
Quel est le point de vue de WhistleB ?
En tant que fournisseur de services dans le cloud basé dans l’UE, WhistleB est soumis et se conforme pleinement au RGPD de l’UE.
La sécurité a toujours été au cœur de tout ce que nous faisons chez WhistleB, pour protéger à la fois les lanceurs d’alertes et les données de nos clients. Depuis le début, nous avons délibérément conçu une sécurité à la pointe du marché dans notre Système d’alertes professionnelles et nous avons sélectionné les fournisseurs de services informatiques les plus sûrs.
La sécurité des données et le respect de toutes les lois applicables sont et resteront les points forts du dispositif d’alerte éthique WhistleB. Pour en savoir plus à ce sujet, consultez notre Centre de confiance.
Comment et où WhistleB stocke-t-elle les données ?
WhistleB a choisi Microsoft Azure, leader du marché, comme fournisseur de services d’hébergement de données sécurisées pour les données des clients. Microsoft Azure est un leader du secteur en termes de sécurité de l’information, de sécurité informatique et de protection des données.
Toutes les données des clients sont stockées et traitées dans l’UE, le centre de données principal étant situé en Irlande et un centre de données secondaire aux Pays-Bas. Cependant, la société mère de Microsoft Azure est Microsoft Corporation, une société américaine qui est donc potentiellement soumise au Cloud Act.
Comment le système WhistleB gère-t-il la divulgation des données ?
WhistleB adhère strictement au RGPD et à la Directive de l’UE sur la protection des lanceurs d’alerte. Toute demande de divulgation de données créerait un risque important de violation de l’un ou de l’autre. WhistleB ne peut divulguer les données relatives à ses clients à qui que ce soit.
Les données des clients de WhistleB sont également protégées contre toute divulgation grâce à une technologie de cryptage solide dans le dispositif d’alerte éthique. Cette technologie de cryptage garantit que les données sont accessibles uniquement par le client, et non par WhistleB, un fournisseur, une autorité ou un tiers. Un client de WhistleB a le contrôle total et exclusif de la clé de cryptage. Seul le client peut décrypter et donner accès à ses données à quiconque.
Comment Schrems 2 affecte-t-il la conformité de WhistleB avec le RGPD ?
L’invalidation du Bouclier de protection des données UE-États-Unis Privacy Shield n’affecte pas la conformité du système WhistleB avec le RGPD. WhistleB et Microsoft Azure Ireland ne transfèrent pas de données aux États-Unis ou à des tiers en dehors de l’UE. Toutefois, le client peut décider d’ouvrir l’accès à son outil de gestion des cas à tout pays extérieur à l’UE. C’est le client qui supervise la sécurité des données et garantit les restrictions d’accès aux données des clients.
La position de WhistleB est que Microsoft Azure offre des garanties suffisantes que les règles du RGPD sur le transfert de données à caractère personnel vers des pays tiers seront respectées sur la base des clauses contractuelles types. WhistleB se porte donc garant de ces garanties.
Quelle est la prochaine étape ?
La sécurité des données et le respect de toutes les lois applicables sont et resteront les points forts du dispositif d’alerte professionnelle WhistleB. Nous continuerons donc à suivre de très près la situation actuelle et l’absence d’accord entre l’UE et les États-Unis.
Comment puis-je en savoir plus ?
Si vous souhaitez discuter de Schrems 2 et de son incidence sur les dispositifs d’alerte éthique, veuillez prendre contact avec nous.
Contact :
Gunilla Hadders, Directrice de WhistleB, Whistleblowing Centre
+46 70 214 88 73, gunilla.hadders@whistleb.com
