Fin du Privacy Shield : gare aux données voyageurs !
Cet accord qui encadrait le partage de données à caractère personnel entre l’Europe et les Etats-Unis n’a toujours pas été remplacé. Le voyage d’affaires est particulièrement concerné.
Un petit rappel des faits est nécessaire : le 16 juillet dernier, la Cour de Justice de l’Union Européenne (CJUE) a annulé l’accord de Privacy Shield qui encadrait le partage de données à caractère personnel entre l’Europe et les Etats-Unis. En cause : un manque de protection des données traitées sur le territoire US. Un magistrat américain peut en effet exiger l’accès à n’importe quelles données, notamment dans des affaires de corruption ou de terrorisme.
Comme le rappelait il y a quelques jours Olivier Duha, fondateur et co-président de Webhelp, à nos amis de La Tribune (Lire ici) : la situation est potentiellement grave pour « tous les opérateurs qui, depuis le Vieux Continent, envoient et gèrent des données personnelles outre-Atlantique, qu’ils soient grands ou petits, américains ou européens. »
Attention, les transferts de données jugés nécessaires ne sont pas concernés par cette décision, tels l’envoi d’un mail, la réservation d’un billet d’avion ou d’une nuit d’hôtel. Mais toutes les données à caractère personnel des citoyens européens, oui.
Et comme le rappelait l’excellent Amon Cohen début août dans un non moins excellent article (Lire ici) : « le problème est urgent pour les voyages d’affaires car le secteur est dominé par des sociétés basées aux Etats-Unis. » Dans le même article, le VDR (l’équivalent allemand de l’AFTM) tirait la sonnette d’alarme : « les travel managers du monde entier doivent prendre des mesures immédiates pour garantir que les données personnelles de leurs voyageurs européens soient transférées légalement en dehors de l’Union européenne. »
Alors que faire ? La CJUE dit aux entreprises qu’en attendant que le Privacy Shield soit remplacé elles peuvent s’appuyer sur d’autres dispositifs, le BCR (Règles d’Entreprises Contraignantes) et les SCC (Clauses Contractuelles Types), ces dernières étant le processus le plus couramment utilisé dans le voyage d’affaires pour protéger les exportations de données en dehors de l’Union Européenne.
Sauf que dans son arrêt, la CJUE précise bien qu’il n’existe pas aux Etats-Unis de protection équivalente au RGPD européen, insinuant sans le dire que les SCC ne se suffisent pas à elles-mêmes et qu’il convient de s’assurer d’une « protection substantiellement équivalente ». Pas simple.
« Si vous n’êtes pas sûr que les données soient protégées en utilisant les SCC, ne les transférez plus ! » exhorte donc Hans-Ingo Biehl, le directeur exécutif du VDR, qui pousse aussi les travel managers à consulter d’urgence leurs TMC et les éditeurs d’outils de réservation en ligne. Ainsi que tous les services internes qui peuvent les aider.
En clair, on ne joue pas avec ça. Tant que le Privacy Shield n’a pas d’alternative, il règne un certain flou, et ce flou est dangereux. Car l’arrêt de la CJUE transfère le risque juridique sur toutes les entreprises utilisatrices de services numériques américains.
Voilà en tous cas une belle mission pour les travel managers en attendant que les voyages reprennent !
François-Xavier Izenic, rédacteur associé de l’AFTM