Vous êtes dans la rubrique : Associations - Politiques -Institutionne
samedi 19 septembre 2020

Annulation de l’accord Privacy Shield par la CJUE : quelles conséquences ?

 

Le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) rendait une décision marquante pour la protection des données personnelles des ressortissants européens en annulant l’accord Privacy Shield qui faisait lui même suite à une décision équivalente de 2015 qui avait annulé le Safe Harbor.

Qui est derrière ces 2 actions ?

Ces deux actions ont été initiées par l’activiste autrichien Max Schrems qui milite pour la protection des données personnelles et de la vie privée.

Nous aurions bien besoin d’avoir plus de Max Schrems afin de faire respecter aux GAFAM mais aussi au gouvernement américain le respect de la loi locale de TOUS les ressortissants non-américains.

Que dit la décision de la CJUE ?

Le Privacy Shield avait pour but de protéger les données personnelles de ressortissants européens hébergées sur le continent américain ou qui y transitaient. Cet accord avait dès le départ été contesté par une multitude d’entités dont des associations de consommateurs.

Parmi les points importants de cette nouvelle décision, on peut noter que l’accès et l’utilisation des données personnelles réglementées au niveau fédéral, par les autorités publiques américaines, ne répondent pas aux exigences de protection édictées par le RGPD, et notamment au regard du principe de proportionnalité, car les programmes de surveillance américains ne sont pas limités au strict nécessaire.

La décision de la CJUE en raison d’un niveau de protection insuffisamment élevé pose plusieurs principes que tout nouvel accord devra forcément intégrer :

  • la présence de mécanismes permettant d’assurer que le niveau de protection requis et encadré par le RGPD est bien respecté
  • en l’absence de tels mécanismes, les transferts de données personnelles doivent être suspendus ou interdits
  • bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE

Contenu sponsorisé :

Et en pratique ?

En attendant un nouvel accord qui devra forcément tenir compte des conclusions des deux décisions de la CJUE, les données personnelles des ressortissants européens doivent être traitées dans le strict cadre du RGPD.

Si les données sont hébergées aux États-Unis, les autorités américaines peuvent y avoir accès. Il appartient donc à chaque prestataire de s’assurer que les données personnelles dont il dispose ne soient pas hébergées aux États-Unis. L’obligation incombe au prestataire, pas au particulier qui par définition ne dispose pas des accès permettant de vérifier et ne dispose que peu souvent des compétences nécessaires.

Plus que jamais, la souveraineté des données est un enjeu essentiel. D’ailleurs Donald Trump n’arrête pas d’en faire écho, par exemple dans l’affaire Tik-Tok ou dans l’annulation de la vente du PMS StayNTouch à Shiji, mais seulement quand ça l’arrange. Par contre piétiner les droits des ressortissants non américains lui importe peu, pas plus que les présidents américains précédents d’ailleurs.

Pour les hôtels européenns

Pour les hôteliers qui disposent de données personnelles dont certaines très sensibles sur leurs clients, il est essentiel de prendre garde à plusieurs points :

  • où est le siège social de la société auprès de laquelle l’hôtel a souscrit un service : PMS, Booking Engine, CRM, etc...
  • où cette société héberge les données de ses propres clients : si la société héberge les données des clients de l’hôtel chez des prestataires tels que Google, Amazon, Microsoft, etc... il est essentiel de faire stipuler contractuellement à ce prestataire que les données personnelles seront exclusivement hébergées en Europe, à charge pour le prestataire de le faire appliquer par son hébergeur

ATTENTION : l’hébergement des données n’est pas le seul point litigieux. La décision de la CJUE interdit également le transit des données par des outils/serveurs hors Europe et/ou qui ne respectent pas le RGPD !

 

Pour les prestataires

La recherche d’économies offertes par des acteurs tels qu’Amazon ne doit pas être le premier critère de choix d’un hébergement.

Le seul et unique critère que doivent garder à l’esprit les prestataires et startups doit être celui de la protection des données personnelles des clients de leurs clients. Sacrifier la sécurité pour un problème de coût pourrait causer un effet boomerang qui, s’il venait à se déclencher, risquerait de coûter beaucoup plus cher que les économies réalisées et même conduire à la liquidation.

La protection des données devrait être un élément marketing utilisé par les startups et prestataires. Il ne l’est quasiment pas aujourd’hui !

Conclusion

L’enjeu des données personnelles est un enjeu majeur dont la portée va augmenter de manière exponentielle avec l’explosion des IoT (lire ou relire Amazon Echo, Google Home… l’hôtellerie se trompe encore une fois. Avec les IoT, les hôtels auront potentiellement accès à beaucoup plus de données personnelles et beaucoup seront tentés de les conserver, à tort.

Dans ce contexte, le choix récent de Sabre par Accor pour réaliser son futur PMS-CRS devrait susciter de la part des entreprises clientes d’Accor des interrogations auxquelles Accor devra forcément apporter des réponses car concomitamment à cette annonce, Sabre avait annoncé un accord stratégique avec Google. Pour l’instant Accor utilise surtout Amazon...

L’arrivée du RGPD avait imposé à chaque professionnel de réaliser au préalable la cartographie de ses données et d’un assurer le suivi au gré des changements, puis d’appliquer les textes du RGPD. Combien d’hôtels l’ont réellement fait ?

Plus que jamais, le choix d’un prestataire technologique ne se limite pas aux seuls critères de fonctionnalités et tarifs. Pour le dire autrement, le risque vaut-il l’économie ?

#sortezcouvert

 
 
 
Dans le cadre strictement privé (voir les CGU) de la reproduction partielle ou intégrale de cette page, merci d’insérer la marque "TendanceHotellerie" ainsi que le lien https://suiv.me/14028 vers sa source ou le QR Code accessible à l'adresse https://suiv.me/14028.qr. Voir le mode d'emploi.
 
 

 
 
 

Forum sur abonnement

Pour participer à ce forum, vous devez vous enregistrer au préalable. Merci d’indiquer ci-dessous l’identifiant personnel qui vous a été fourni. Si vous n’êtes pas enregistré, vous devez vous inscrire.

Connexions’inscriremot de passe oublié ?

 
 
Si vous pensez que TendanceHotellerie.fr a toute sa place dans le paysage de l’hôtellerie francophone, n’hésitez pas nous soutenir. C’est simple et (...) En savoir plus »
Nous avons la volonté de faire correspondre ce webzine à vos attentes. Nous sommes très intéressés de recevoir vos avis et suggestions pour (...) En savoir plus »
Faire de la publicité ? Vous voulez annoncer sur TendanceHotellerie ? Nous proposons aux fournisseurs de services, solutions et produits à destination de l’hôtellerie de (...) En savoir plus »