Communiqué de presse des autorités allemandes du 3 novembre 2016 (En langue allemande)

Le 3 novembre 2016, dix des autorités allemandes en charge de la protection des données personnelles[1] ont annoncé qu’elles allaient identifier, ensemble, environ 500 entreprises qui feront l’objet d’un audit concernant les transferts internationaux de données personnelles. L’audit en question prendra la forme d’un questionnaire.

L’un des objectifs de cette opération serait de pousser les entreprises à prendre d’avantage conscience des transferts que subissent les données dont elles sont responsables. La crainte est que les entreprises ne se préoccupent pas assez des conséquences des nombreux produits et services cloud auxquels elles peuvent avoir recours.

Le terme « transfert » recouvre, en la matière, des situations aussi diverses que : le partage et le transfert des données, l’hébergement à l’étranger, ou l’accès aux données à partir de l’étranger, voire le simple accès potentiel (comme par exemple, la possibilité technique d’accès aux données que possèdent les prestataires de maintenance informatique, même s’ils n’ont pas vocation à les voir ou les utiliser).

Le communiqué de presse ne précise pas si les enquêtes seront aléatoires ou ciblées. Il ne précise pas non plus si, malgré le caractère pédagogique de cette action, les éventuelles violations identifiées donneront lieu à sanctions. Cette annonce est donc à prendre au sérieux.

Cette action démontre s’il était besoin, qu’il est important de se soucier du « transfert » des données hors de l’UE et de la mise en place d’outils de protection adéquat (clauses contractuelles types, BCR et pour le transfert vers les USA, le Privacy Shield – sous réserve qu’ils restent valables).