Schrems FAQ
Cette FAQ traite des questions fréquemment posées concernant les transferts internationaux de données à la suite du récent arrêt de la Cour de justice de l'Union européenne dans une affaire de transferts de données de l'UE vers les États-Unis (arrêt dit « Schrems II »). Dans son arrêt, la Cour (i) a invalidé la décision 2016/1250 de la Commission qui constituait la base juridique du Privacy Shield UE-US, lequel servait de mécanisme possible de transfert de données de l'UE vers les États-Unis ; (ii) a affirmé la validité des clauses contractuelles types (CCT), qui servent de moyen alternatif pour les transferts de données vers les États-Unis (et d'autres pays) ; et (iii) a fait quelques autres déclarations générales sur les exigences relatives aux transferts internationaux de données.
Avec nos réponses ci-dessous, nous souhaitons clarifier les répercussions de cet arrêt sur les transferts internationaux de données depuis l'UE et sur votre relation avec Nuance. L'arrêt Schrems II ne vous empêche pas de continuer à utiliser les produits et services de Nuance.
Q1 : Qu'est-ce que l'arrêt Schrems II ?
Le 16 juillet 2020, la Cour de justice de l'Union européenne (« CJUE ») a rendu un arrêt dans un litige entre le Commissaire à la protection des données de l'Irlande, Facebook Ireland Limited et l'utilisateur de Facebook Maximillian Schrems concernant les transferts internationaux de données de Facebook (jugement dit « Schrems II »). Les décisions prises par la CJUE dans l’arrêt ne sont pas limitées à Facebook. La décision, qui a suscité beaucoup d'attention, est potentiellement pertinente pour toute organisation ou entreprise internationale.
Schrems II s’inscrit dans la lignée de l'arrêt rendu par la CJUE en octobre 2015 dans un litige connexe sur les transferts de données de Facebook entre Maximillian Schrems et le Commissaire à la protection des données de l'Irlande (« Schrems I »). Dans ce contexte, la législation européenne sur la protection des données restreint la circulation des données de ses citoyens en dehors de l'UE, à moins qu'elles ne soient transférées avec des protections de la vie privée « adéquates ». En juillet 2000, la Commission européenne a décidé que les entreprises américaines pouvaient s'auto-certifier avec sept principes de protection des données. La « Safe Harbour Decision », qui permettrait la libre circulation des données entre l'UE et les États-Unis. Dans l'affaire Schrems I, la CJUE a invalidé l'accord entre l'UE et les États-Unis sur le Safe Harbour en tant que moyen par lequel les entités de l’UE ont pu transférer des données aux États-Unis. Après l'invalidation du Safe Harbour, l'UE et les États-Unis ont conclu un nouvel accord axé sur les droits des personnes concernées et destiné à servir de mesure d'adéquation nécessaire pour permettre les transferts de données entre l'UE et les États-Unis, le « Privacy Shield », qui a fait l'objet de l'arrêt Schrems II.
L'arrêt Schrems II a pour toile de fond le Règlement général sur la protection des données de l'UE (« RGPD »), règlement régissant le traitement des données dans l'UE. En vertu du RGPD, les données à caractère personnel (c'est-à-dire les données relatives aux personnes privées) peuvent circuler sans frontières nationales entre les États membres de l'Union européenne et de l'Espace économique européen. Les données à caractère personnel peuvent également circuler « librement » vers des pays en dehors de l'UE et de l'EEE lorsque l'UE a évalué et déterminé que le régime de protection des données dans ces pays est "adéquat", c'est-à-dire similaire à celui de l'UE. L'UE n'a entrepris une telle évaluation et détermination que pour un très petit nombre de pays, par exemple la Suisse et le Japon. Si des données sont transférées vers des pays qui n'ont pas (encore) été déterminés comme « adéquats » par l'UE, des moyens supplémentaires sont nécessaires pour permettre un transfert de données à caractère personnel vers ces pays. Jusqu'au jugement dans l'affaire Schrems II, les États-Unis étaient considérés comme une juridiction adéquate pour les entreprises qui avaient été certifiées par le Privacy Shield et qui respectaient ses règles. En plus de la détermination du caractère adéquat par la Commission européenne, le RGPD prévoit d'autres mécanismes de transfert, notamment des clauses contractuelles types, des règles d'entreprise contraignantes, des certifications, des codes de conduite et des exceptions légales.
Avec son arrêt Schrems II, la CJUE a invalidé l'utilisation du Privacy Shield comme justification des transferts vers les États-Unis, mais l'utilisation d'autres moyens reste valable. En particulier, les décisions de l'UE sur les clauses contractuelles types restent valables, et la CJUE a confirmé que les clauses contractuelles types peuvent continuer à servir de base aux transferts internationaux de données. Nuance utilise les clauses contractuelles types ; les transferts internationaux de données de votre part vers Nuance ou de Nuance vers d'autres parties sont donc toujours possibles.
Dans cet arrêt, la CJUE a également fait des déclarations plus générales sur les transferts internationaux de données, vers les États-Unis et à d'autres pays. La CJUE n'a pas interdit ces transferts internationaux mais a exigé que les entreprises procèdent à une analyse plus approfondie et mettent éventuellement en œuvre des mesures supplémentaires dans le cadre des transferts internationaux de données. Nuance procède actuellement à une évaluation approfondie.
Q2 : L’arrêt vous empêche-t-il d'utiliser les produits et services de Nuance ?
Non, ce n'est pas le cas. La technologie Nuance peut continuer à être utilisée dans le respect du droit européen. L'arrêt Schrems II ne limite ni n'empêche légalement votre utilisation des produits et/ou services de Nuance.
Nuance avait utilisé le Privacy Shield comme mécanisme de transfert de données à caractère personnel de l'UE pour les traiter aux États-Unis, mais le Privacy Shield a été invalidé par l’arrêt. Toutefois, Nuance a également mis en place des clauses contractuelles types qui constituent un autre moyen suffisant pour les transferts de données à caractère personnel de l'UE. Les clauses contractuelles types restent valables en vertu de l'arrêt (voir Q1 pour plus de détails).
Plus de 5 300 organisations utilisent collectivement le Privacy Shield pour traiter légalement les données de millions de personnes en Europe. Aussi, Nuance s'est également appuyée sur le Privacy Shield. Néanmoins, pour répondre aux souhaits de certains clients et à la lumière de l’arrêt sur le Privacy Shield, Nuance a déjà mis en place des moyens permettant le transfert de données vers les États-Unis en plus du Privacy Shield, à savoir les CCT.
Dans son arrêt Schrems II, la CJUE a également soulevé certaines préoccupations générales concernant les transferts de données à caractère personnel vers les États-Unis et vers d'autres pays qui, selon elle, ne disposent pas de lois sur la protection des données similaires à celles de l'UE. Toutefois, la CJUE n'a pas interdit les transferts de données vers les États-Unis ou tout autre pays. Elle exige des entreprises qu'elles évaluent plus attentivement si et dans quelles circonstances les données à caractère personnel peuvent être transférées au niveau international, y compris en évaluant si des moyens de protection supplémentaires peuvent être pris (tels qu'un cryptage plus fort).
La protection des données à caractère personnel de ses clients, partenaires commerciaux et employés a toujours été essentielle pour Nuance. Par exemple, Nuance applique des garanties contractuelles et organisationnelles strictes, des mesures techniques telles qu'un cryptage robuste. En outre, plusieurs de ses produits peuvent être utilisés d’une manière qui n’implique aucune identification personnelle de personnes. Nuance évalue maintenant avec soin si elle peut appliquer des mesures de protection encore plus nombreuses ou alternatives à la suite de l'arrêt Schrems II. L'industrie et les autorités de protection des données conviennent que le commerce international peut et doit continuer à fonctionner. Dans des secteurs particulièrement sensibles tels que les soins de santé ou les services financiers, l'échange de données est essentiel. Nuance veillera à ce que, même après l'arrêt Schrems II, ses clients puissent continuer à bénéficier du haut niveau de produits et services qu'elle a offert par le passé, tout en se conformant aux lois applicables en matière de protection des données.
Q3: L'arrêt Schrems II a-t-il une répercussion sur la manière dont Nuance traite mes données à caractère personnel ?
Il n'y a pas d'impact immédiat de l'arrêt Schrems II sur les produits et services de Nuance (voir Q2). L’arrêt a invalidé le Privacy Shield UE-USA, mais les autres moyens utilisés par Nuance (tels que les clauses contractuelles types) restent valables.
Pour tenir compte de cet arrêt, Nuance examine toutefois si elle peut encore améliorer la protection des données à caractère personnel de ses clients, partenaires commerciaux et employés. Nuance suit également de près les développements actuels et les orientations futures des autorités locales de protection des données de l'UE concernant d'éventuelles garanties supplémentaires.
Q4 : Mes données à caractère personnel sont-elles transférées en dehors de l'UE ?
Cela dépend des services. De nombreux services Nuance peuvent être utilisés de telle sorte qu'aucune donnée à caractère personnel ou aucun identifiant personnel ne soit transféré en dehors de l'UE. Pour certains services et dans certaines circonstances, les données à caractère personnel sont transférées en dehors de l'UE. Toutefois, cette opération est effectuée dans le respect des meilleures pratiques et de la législation européenne.
Les données à caractère personnel des clients de l'UE, de l'EEE, du Royaume-Uni et de la Suisse sont stockées dans l'UE et au Royaume-Uni sur des serveurs sécurisés. L'accès depuis l'extérieur de l'UE, de l'EEE, du Royaume-Uni et de la Suisse n'a lieu que pour certains services et uniquement dans des circonstances limitées, légitimes au regard du RGPD et du droit européen. Ces transferts reposent légalement sur des moyens qui n'ont pas été invalidés par l'arrêt Schrems II et peuvent toujours être utilisés (voir Q1 et Q2 pour plus de détails).
Q5 : Nuance est-elle toujours en mesure de transférer des données personnelles entre l'UE et les États-Unis ?
Oui. Les transferts de données sont toujours autorisés.
En vertu de la législation européenne sur la protection des données, les transferts de données à caractère personnel de l'UE vers des juridictions inadéquates, appelées « pays tiers », doivent être accompagnés d'un mécanisme d'adéquation. Jusqu'à cet arrêt, les États-Unis étaient considérés comme une juridiction adéquate pour les transferts de données, à condition que la société soit certifiée au titre du « Privacy Shield » UE-USA. Avec cette décision, Nuance utilise d'autres mécanismes d'adéquation afin que les transferts de données puissent se poursuivre, comme expliqué plus en détail ci-dessus (voir Q1 et Q2).
Q6 : Que fait Nuance pour protéger mes données à caractère personnel ?
Nuance prend très au sérieux la protection des données à caractère personnel et la sécurité informatique de ses produits et services et travaille constamment et de manière proactive à leur amélioration.
Les données à caractère personnel de nos clients et les autres données à caractère personnel traitées par Nuance sont protégées dans le monde entier conformément aux lois applicables en matière de protection des données, notamment le RGPD. À cet égard, Nuance s'engage notamment à :
- assurer le respect des principes de confidentialité et d'intégrité en appliquant des mesures techniques et organisationnelles de haut niveau. Par exemple, Nuance met en place des mécanismes de cryptage, soutient l'utilisation de normes et d'algorithmes de cryptage reconnus au niveau international, et permet la protection de la vie privée dès la conception, chaque fois que cela est possible, grâce à des systèmes pouvant être utilisés sans divulguer d'informations ou d'identifiants personnels.
- maintenir une gestion de la sécurité informatique de haut niveau et mettre en place des procédures garantissant que le personnel de Nuance est régulièrement formé pour s'acquitter de ses responsabilités conformément à toutes les exigences en matière de protection des données.
- gérer l'accès aux données, aux applications et à l'infrastructure du système selon les meilleures pratiques et des politiques d'entreprise strictes garantissant que les principes de protection des données tels que la minimisation des données, la suppression et les restrictions d'accès sont toujours respectés.
- améliorer constamment la sécurité des technologies de l'information et des données.
Q7 : Schrems II affectera-t-il les transferts de données du Royaume-Uni vers les États-Unis ?
L'autorité de protection des données du Royaume-Uni (« ICO ») révise actuellement ses directives sur le bouclier de protection des données et les SCC. L'ICO du Royaume-Uni a demandé aux entreprises qui utilisent actuellement Privacy Shield de continuer à l'utiliser jusqu'à ce que l'ICO fournisse de nouvelles directives. Cependant, même si le Royaume-Uni invalide le Privacy Shield, les produits et services de Nuance peuvent toujours être utilisés au Royaume-Uni par d'autres moyens, tout comme dans l'UE (voir Q1 et Q2 pour plus de détails).
Q8: À qui puis-je m'adresser si j'ai d'autres questions ?
Vous pouvez contacter votre représentant ou l'équipe chargée de la protection de la vie privée à l'adresse privacy@nuance.com.
Toutes les informations, contenus et matériaux disponibles sur ce site sont à titre informatif uniquement. Ils ne modifient ni ne se substituent aux conditions expresses de tout accord, de toute transaction, ou de tout droit ou obligation que vous pourriez avoir en vertu de la loi applicable, ne créent aucun droit ou obligation, ou n’affectent autrement vos responsabilités et obligations ou celles de Nuance. Le contenu est fourni «tel quel», sans aucune indication quant à l’applicabilité des documents à un service, une juridiction ou un emplacement particulier. Pour obtenir des informations spécifiques concernant votre compte, veuillez vous référer à votre accord avec Nuance et à la politique de confidentialité de Nuance.