Transferts Internationaux de Données - FAQ septembre 2020

 

Nous avons créé cette FAQ dans le but d’accompagner nos clients et influenceurs sur les questions découlant de la décision de la Cour Européenne de Justice (CEJ) dans l'affaire Schrems II de juillet 2020.

Le jugement de la Cour européenne de justice portait sur l'utilisation du Privacy Shield (« Bouclier de protection de la vie privée ») et des clauses contractuelles types ("CCT") de l'UE comme base juridique pour le transfert de données personnelles en dehors de l'EEE, et en particulier vers les États-Unis.  Les préoccupations de la Cour portaient sur la possibilité pour les agences de renseignement américaines d'avoir accès aux données à caractère personnel transférées aux États-Unis, et sur ce que la Cour a considéré comme, étant un manque de recours adéquat aux États-Unis pour les citoyens de l'UE, concernés par une telle utilisation de leurs données à caractère personnel.

Au vu de cette décision, Cision a évalué son positionnement en matière de conformité et la présente note résume son orientation actuelle.

Ceci est une note intermédiaire qui expose l'approche actuelle de Cision. Cette approche fera l'objet d'un suivi, en particulier à la lumière des nouvelles orientations réglementaires du Conseil Européen de la Protection des Données (CEPD) et de toute autorité nationale de protection des données compétente, mais aussi à la lumière de la publication prochaine des versions révisées des CCT, prévue en septembre/octobre 2020.

Cision s'engage à travailler avec ses clients et ses fournisseurs pour assurer une protection adéquate des données à caractère personnel qu'elle traite.

1. Transférez-vous des données à caractère personnel en dehors de l'EEE et plus particulièrement vers les États-Unis?

Oui, nous transférons des données à caractère personnel en dehors de l'EEE, y compris vers les États-Unis.

2. Quelle est votre base juridique pour de tels transferts ?

Nous nous appuyons pour le transfert de données en dehors de l'EEE, sur les clauses contractuelles types ("CCT") de l'UE comme base juridique.

Nous ne nous sommes pas appuyés sur le « Privacy Shield » pour les transferts entre les entités de Cision ni pour les transferts de nos clients à Cision. Nous effectuons actuellement un audit de nos fournisseurs/prestataires afin de vérifier si ces derniers se sont appuyés sur le « Privacy Shield » lorsqu'ils ont traité des données en notre nom.

3. Quelles données transférez-vous et à qui ?

Les données que nous transférons sont décrites dans les politiques de confidentialité sur le site https://gdpr.cision.com. De manière générale, nous transférons trois types différents de données à caractère personnel :

  • Données influenceurs de Cision : données à caractère personnel des influenceurs collectées par Cision et contenues dans nos différentes bases de données d'influenceurs (y compris la base de données médiatique de Cision et TKIM). La grande majorité de ces données sont des données accessibles au public, obtenues à partir de profils de médias sociaux, de sites web, d'articles publiés et d'autres informations du domaine public. Certaines informations supplémentaires peuvent être fournies par les influenceurs eux-mêmes ou par leurs employeurs.
  • Données influenceurs issues de nos clients : données à caractère personnel que nos clients nous fournissent par le biais de la liste privée. Ces informations sont de même nature que les données influenceurs Cision. Elles peuvent inclure des mentions supplémentaires fournies par nos clients.
  • Données sur les clients : données à caractère personnel incluses dans les informations de gestion nécessaires à Cision pour gérer nos comptes clients. Il s'agit principalement des coordonnées des entreprises et du titre du poste.

Nous partageons les données influenceurs de Cision et de nos clients avec les sociétés de notre groupe aux États-Unis, au Canada, en Inde, au Brésil, en Chine et ailleurs. Nous les partageons également avec nos clients concernés où qu'ils se trouvent, y compris avec des clients en dehors de l'EEE.

Nous pouvons partager les données relatives aux clients avec les sociétés de notre groupe aux États-Unis pour la gestion des comptes clients de nos clients internationaux.

Nous pouvons engager des prestataires/fournisseurs tiers (par exemple des fournisseurs de services de messagerie électronique) basés aux États-Unis pour traiter les données en notre nom. Les coordonnées de ces fournisseurs sont indiquées dans nos notices de confidentialité.

4. Votre entreprise est-elle soumise aux lois de surveillance américaines (c'est-à-dire à la section 702 de la FISA et au décret présidentiel 12333) ?

  • Cision n'est pas une "entreprise de télécommunications" au sens de la législation applicable.
  • Cision est un fournisseur de "services de communications électroniques" en raison des services de courrier électronique que nous fournissons à nos clients. Par conséquent, Cision peut en principe être soumise au régime de surveillance prévu par l'article 702 de la loi « Foreign Intelligence Surveillance Act » (« FISA ») et de l’Ordre Exécutif 12333 (« EO 12333»).

En pratique, Cision n'a pas connaissance d'une telle surveillance en relation avec ses systèmes et ses bases de données.

5. Coopérez-vous volontairement avec les autorités de surveillance qui cherchent à accéder aux données personnelles détenues par Cision ?

Cision ne coopère pas volontairement avec les autorités de surveillance mais se conforme à ses obligations légales.

6. Que faites-vous si des mesures supplémentaires sont prises pour garantir que les données personnelles transférées en dehors de l'EEE soient protégées de manière adéquate ?

Nous procédons à une évaluation minutieuse de tous les flux de données au sein des sociétés du groupe Cision et vers nos fournisseurs et clients en dehors de l'EEE.

Nos principaux transferts internationaux de données s'effectuent de nos entités européennes vers notre siège et nos autres établissements aux États-Unis. Pour cette raison et étant donné que les questions traitées par la Cour européenne concernaient les transferts vers les États-Unis, c'est sur ce point que nous nous sommes concentrés jusqu'à présent.

Après avoir mené cette évaluation, Cision a conclu que les protections dont elle dispose actuellement offrent un niveau de protection adéquat pour les données en question. Compte tenu de la nature des données, des destinataires de ces données et des activités de Cision, nous ne pensons pas que les transferts en dehors de l'EEE de données influenceurs de Cision et des clients créent un quelconque risque supplémentaire important, en plus des risques qui existent déjà, du fait que les données soient mises à la disposition du public par les personnes concernées (influenceurs) elles-mêmes avant leur collecte, leur traitement et leur transfert ultérieur par Cision. Les deux facteurs essentiels pour parvenir à cette conclusion sont les suivants (a) la grande majorité des données transférées sont des données du domaine public (disponibles par exemple sur des plateformes de médias sociaux où les données ont été publiées par les personnes concernées elles-mêmes) ; et (b) la nature des données transférées présente un faible risque et, à notre avis, le risque que les mécanismes de surveillance américains soient appliqués à Cision est faible. En ce qui concerne les données relatives aux clients, nous pensons que ces données présentent un risque très faible.

Cision a mis à jour ses notices de confidentialité afin d'alerter les influenceurs sur la décision Schrems et ses implications, et de leur rappeler leur capacité à demander la modification/suppression de leurs profils.

7. Les clients de Cision doivent-ils s'inquiéter des données à caractère personnel qu’ils auraient ajoutées dans leurs listes privées que Cision traite en leur nom ?

Les clients doivent évaluer eux-mêmes si les données personnelles qu'ils fournissent à Cision peuvent être particulièrement sensibles et, si c'est le cas, ils doivent envisager de ne pas divulguer ou de supprimer ces données des listes privées, par exemple.

8. Quelles mesures les influenceurs peuvent-ils prendre pour protéger leurs données à caractère personnel s’ils craignent qu’elles ne soient transférées hors de l’EEE ?

Les influenceurs doivent prendre note d'une mise à jour de la notice de confidentialité influenceurs de Cision qui stipule ce qui suit :

"Vous êtes peut-être au courant d'un récent jugement (juillet 2020) de la Cour européenne de justice, communément appelée" Schrems II ", qui a une incidence sur les transferts de données vers les États-Unis et d'autres pays en dehors de l'UE. Cette affaire est née de la crainte que les autorités répressives américaines puissent avoir accès à des données qui ont été transférées aux États-Unis, et que les personnes concernées, comme vous, ne disposent pas de moyens adéquats pour s'opposer à un tel accès ou à une telle utilisation de vos données dans le cas où cela vous préoccupait.

Le jugement concerne deux moyens courants de garantir la protection de vos données, à savoir (a) le bouclier de protection de la vie privée (ou «Privacy Shield») et (b) les "clauses contractuelles types" (ou «CCT»).

La Cour européenne a statué que le Privacy Shield n'était plus valide, et a confirmé que les CCT étaient valables, tout en ajoutant que les exportateurs de données (comme Cision) qui utilisaient des CCT, devraient prendre des mesures supplémentaires pour s'assurer que des garanties adéquates étaient en place.

Cision ne s’appuie pas sur le Privacy Shield pour ses transferts de données internationaux. En ce qui concerne son utilisation des CCT, Cision a soigneusement évalué les transferts qu’elle effectue et a conclu que des garanties adéquates sont en place, étant donné que la grande majorité des données influenceurs traitées par Cision sont du domaine public et compte tenu de la nature des services fournis par Cision.

Toutefois, si vous êtes concerné par la possibilité que vos données à caractère personnel peuvent être accessibles par les autorités chargées de l’application de la loi aux États-Unis (ou dans tout autre pays), veuillez nous le préciser en nous contactant à privacy@cision.com. Nous pourrons alors soit modifier votre profil pour supprimer toutes les données qui vous préoccupent ou vous retirer de notre base de données. "

Les influenceurs basés dans l'EEE peuvent souhaiter examiner leur profil pour voir s'il contient des informations qu'elles ne voudraient pas voir transférées en dehors de l'EEE. Les influenceurs peuvent contacter Cision pour obtenir une copie de leur profil à l'adresse privacy@cision.com.

Cision modifiera les profils sur demande et supprimera entièrement tout influenceur des bases de données de Cision s'il ne souhaite plus y figurer.

9. Avez-vous mis en place des mesures technologiques et organisationnelles appropriées pour protéger les données à caractère personnel transférées en dehors de l'EEE.

Nos mesures techniques et organisationnelles sont définies dans notre notice de sécurité https://gdpr.cision.fr/MTOS

Lorsque nous engageons des sous-traitants pour agir en notre nom, nous nous assurons qu'ils disposent de mesures de sécurité appropriées.

10. Apporterez-vous des modifications aux CCT à la lumière de la décision de la Cour ?

Nous avons l'intention d'apporter certaines modifications aux CCT afin de suivre les recommandations formulées par l'une des autorités allemandes de protection des données.

Nous continuerons l’examen des CCT et étudierons notre approche à la lumière de toute nouvelle orientation réglementaire et de la publication imminente des versions révisées des CCT, prévue pour septembre/octobre 2020.

11. Comment allez-vous traiter les transferts vers des pays autres que les États-Unis ?

À l'heure actuelle, Cision n'est pas en mesure d'analyser de manière concluante les régimes de surveillance et d'application de la loi de tous les territoires vers lesquels elle peut transférer des données à caractère personnel. Toutefois, Cision est d’avis que, même si ces régimes permettaient un accès similaire à celui accordé aux services américains chargés d’appliquer la loi, et même si la réparation accordée aux personnes concernées souffrait des mêmes insuffisances que celles identifiées par la Cour, comme existant aux États-Unis, la nature publique des données et son manque d'intérêt inhérent pour les services faisant appliquer la loi, signifie que les risques liés aux transferts vers ces pays sont faibles. En conséquence, Cision s'attend à ce que ses conclusions concernant la nécessité de garanties supplémentaires soient probablement identiques ou similaires. Nous suivrons attentivement toute nouvelle orientation du Comité européen de la protection des données (ou « EDPB ») et des autorités chargées de la protection des données (ou « APD ») nationales, ainsi que toute recommandation de meilleure pratique. Il s'agira d'un processus continu.

 

SEPTEMBRE 2020