Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a rendu un arrêt portant sur les transferts de données en provenance de l'UE, appelé l’arrêt Schrems II.

Nous savons que nos clients se posent sans doute des questions sur l'impact potentiel de cette décision et sur les mesures que Freshworks a prises pour s’y conformer. Nous souhaitons donc anticiper vos questions et répondre à vos interrogations les plus importantes dans cette FAQ.

Q: Que nous dit l’arrêt Schrems II ?

R : La CJUE a invalidé le bouclier de protection des données (le Privacy Shield) entre l'UE et les États-Unis en tant que mécanisme destiné à faciliter les transferts légaux de données à caractère personnel en dehors de l'Espace économique européen (EEE), mais a confirmé que les clauses contractuelles types (CCT), telles qu'elles avaient été approuvées précédemment par la Commission européenne, resteront un mécanisme valide.

La CJUE a souligné que les responsables du traitement des données doivent s'assurer qu'il existe des « garanties appropriées » pour fournir aux personnes dont les données à caractère personnel sont transférées un niveau de protection « essentiellement équivalent » à la protection dont elles bénéficient en Europe (en vertu du Règlement général sur la protection des données ou « RGPD » et de la Charte des droits fondamentaux). Les CCT sont l’un des moyens existants permettant d’offrir cette protection, bien que dans certaines circonstances, des « garanties supplémentaires » soient nécessaires (voir ci-dessous).

 

Q: Quel est l’impact de cet arrêt sur les transferts de données vers Freshworks dans le cadre de sa certification Privacy Shield ?

R : Le respect de la vie privée est essentiel pour Freshworks. C’est pourquoi nous continuons à suivre les orientations émises par les autorités européennes de protection des données et le Conseil européen de protection des données (un organe regroupant l’ensemble des régulateurs de l'UE). Nous attendons également des éclaircissements complémentaires de la part de la Commission européenne et du gouvernement américain afin d'aborder certaines des interrogations supplémentaires soulevées par l’arrêt au niveau politique.

Toutefois, la décision n'empêche pas, pour le moment, l'utilisation des CCT comme mécanisme légal de transfert de données. Par conséquent, Freshworks s’adapte pour recourir à l'utilisation des CCT pour le transfert de données de l'EEE vers les États-Unis et continuera à utiliser les CTT pour d'autres transferts de données en dehors de l'EEE.   

Notre Addendum sur la protection de la vie privée (ou Addendum relatif au Traitement des Données) liste les CCT et précise que ces dernières s'appliquent entre notre client (en tant qu'exportateur des données) et Freshworks (en tant qu'importateur des données) pour tout transfert de données à caractère personnel en provenance de l'EEE qui n'est pas (ou plus) soumis à une obligation d'adéquation (tel que le bouclier de protection des données). Les transferts de données à caractère personnel vers les États-Unis dans le cadre du bouclier de protection des données n’étant plus considérés comme valides, les CCT s'appliquent automatiquement à la place du bouclier de protection des données en vertu de notre Addendum.

Bien que le bouclier de protection des données ait été invalidé par rapport aux transferts de données personnelles en provenance de l'EEE, Freshworks poursuit son engagement de traiter les données à caractère personnel en provenance de l'EEE conformément aux principes du bouclier de protection des données.

 

Q: Quelles sont les autres mesures prises par Freshworks pour assurer des « garanties appropriées » des données européennes ?

R : Le respect de la vie privée est essentiel pour Freshworks. Nous nous efforçons d'assurer continuellement la meilleure protection possible de toutes les données à caractère personnel que nous traitons. Nous attendons actuellement des directives de l'EDPB (le Comité européen de la protection des données) concernant les mesures supplémentaires susceptibles d’être nécessaires pour assurer des « garanties appropriées » des données européennes. Dans l’attente de ces directives, nous souhaitons partager avec vous les mesures suivantes que nous appliquons.

1. Sécurité

     a. Nous sommes fiers de nos pratiques robustes en matière de sécurité et de protection des données, en évolution permanente afin de garantir la protection des données à caractère personnel de nos clients. Si vous souhaitez en savoir plus sur notre vaste programme de sécurité et sa conception, veuillez cliquer ici.

     b. Nous sommes certifiés ISO 27001 et nous sommes membres de la Cloud Security Alliance. 

     c. Nous utilisons un cryptage AES 256 bits avec une force de clé de 1 024 bits pour les données au repos et un cryptage TLS conforme à la norme FIPS 140-2 pour les données en transit, ce qui signifie qu'elles seront intelligibles pour les tiers.

 2. Demandes des organismes chargés de l’application de la loi

     a. Nous avons mis en place des politiques et des processus stricts afin de garantir que nous informerons rapidement les clients, comme l'exigent les CCT, si nous recevons une demande de la part d’organismes chargés de l’application de la loi ou d'une autre autorité publique relative à la divulgation des données des clients.

     b. Conformément à nos politiques et processus, nous accordons l’accès aux données aux organismes chargés de l’application de la loi uniquement lorsque nous y sommes légalement contraints.

 

Q: J'ai d'autres questions, à qui puis-je les poser ?

R : Nous espérons que cette FAQ permettra de répondre aux préoccupations immédiates, mais si vous avez d'autres questions, n'hésitez pas à contacter votre responsable de compte Freshworks ou nous contacter à l’adresse : privacy@freshworks.com.