How to get compliant with the Italian Whistleblowing Law
article de Mathilda Kronér et Henrik Almström, Morris Law.
À la lumière de l’amende massive infligée par l’autorité irlandaise de protection des données (après une décision contraignante du Comité européen de protection des données) le 22 mai, les entreprises doivent examiner de près leurs protocoles de conformité au RGPD afin de garantir une gestion légale du traitement des données personnelles. En particulier lorsqu’il s’agit de transférer des données personnelles vers des pays tiers tels que les États-Unis. D’un point de vue économique, la nécessité d’assurer la conformité au RGPD et la sécurité des transferts de données personnelles est plus importante que jamais.
L’amende de 1,2 milliard d’euros infligée à Meta, propriétaire de Facebook, est un record et constitue un exemple clair des conséquences d’une utilisation abusive des données personnelles lors d’un transfert de données de l’UE vers les États-Unis.
Une situation de lancement d’alerte est par nature considérée comme sensible. Le processus implique souvent des données personnelles sensibles qui entrent dans le cadre des catégories stipulées à l’article 9 du RGPD ou des données concernant des infractions pénales stipulées à l’article 10 du RGPD. Compte tenu de ce qui précède, il est important de mettre en œuvre des procédures garantissant que le traitement des données est correct et sécurisé. Lorsque vous choisissez ou fournissez des services de lancement d’alerte, vous devez donc toujours privilégier la sécurité.
Les services de lancement d’alerte impliquent généralement un transfert des données à caractère personnel incluses dans le lancement d’alerte à l’entreprise agissant en tant que prestataire de services. Il est donc important de choisir avec soin ses fournisseurs et sous-traitants et de s’assurer de leur conformité au RGPD, d’autant plus que le transfert peut impliquer le traitement de données à caractère personnel sensibles. Les transferts de données à caractère personnel au sein de l’UE/EEE sont sûrs et parfaitement harmonisés par le RGPD.
L’arrêt Schrems II, très médiatisé, qui a déclaré la décision de la Commission européenne relative au bouclier de protection de la vie privée (Privacy Shield) invalide en tant que mesure de sécurité lors du transfert de données vers les États-Unis, a conduit à des exigences juridiques strictes concernant ces transferts de données vers les États-Unis. Les clauses contractuelles types (CCN), qui constituent le dernier garde-fou pour les transferts vers des pays tiers, doivent, après Schrems II, être modifiées par l’ajout de mesures de sécurité supplémentaires afin de garantir la légalité des transferts.
Notamment, ces exigences s’appliquent non seulement aux fournisseurs de services basés aux États-Unis ou aux serveurs situés aux États-Unis, mais aussi aux fournisseurs de services et aux serveurs basés dans l’Union européenne qui peuvent être soumis à ces exigences s’ils opèrent sous le contrôle d’entreprises américaines. Par exemple, ces fournisseurs de services peuvent être situés dans l’UE et utiliser des services d’hébergement de fournisseurs américains tels qu’Amazon ou Azure.
Le lancement d’alerte étant liée au traitement d’informations sensibles, les entreprises doivent veiller à ce que les lancements d’alerte se fassent en toute sécurité. Tant pour des raisons de conformité interne que pour protéger la vie privée du lanceur d’alerte. Lors de l’utilisation d’un service de lancement d’alerte externe, le prestataire de services agira dans la plupart des cas en tant que responsable du traitement des données et l’entreprise qui achète le service assumera le rôle de responsable du traitement des données.
Étant donné que votre entreprise agit probablement en tant que responsable du traitement des données lorsque vous achetez un service de lancement d’alerte, il lui incombe de veiller à ce que des mesures de sécurité appropriées soient appliquées tout au long de la chaîne de traitement. Cela signifie que votre entreprise devra veiller à ce que la sécurité du traitement ne soit pas compromise, par exemple par l’absence de mesures de sécurité de la part d’un fournisseur.
Pour commencer, assumez activement la responsabilité de responsable du traitement des données. Qu’il s’agisse d’engager un nouveau fournisseur ou de réexaminer un fournisseur actuel, il est toujours approprié de demander des informations concernant la conformité juridique du service. L’article 28, paragraphe 1, du RGPD en témoigne : « le responsable du traitement ne recourt qu’à des sous-traitants offrant des garanties suffisantes » pour assurer un traitement conforme au RGPD. Dans le monde de l’après-Schrems II, encore exacerbé par l’amende de Meta, cela signifie qu’il faut demander et recevoir des informations rassurantes sur la conformité du service fourni. Un fournisseur qui ne peut pas fournir de réponses rassurantes au moins aux questions suivantes peut constituer un risque à s’engager (ou à continuer à s’engager).
Pour vous assurer que votre service de lancement d’alerte est conforme au RGPD, il est préférable de faire appel à un fournisseur ou à un sous-fournisseur européen. Par ailleurs, s’il est inévitable de recourir à un service américain, votre entreprise doit s’assurer que tout fournisseur ou sous-traitant américain peut prouver que son traitement des données à caractère personnel est conforme au RGPD.
Si les deux premières questions appellent des réponses simples, la dernière peut impliquer une évaluation complexe de ce qui est suffisant ou non. En vertu du RGPD, le risque de telles évaluations incombe au responsable du traitement des données, qui n’a souvent que des possibilités limitées de transférer contractuellement le risque au fournisseur/transformateur.
Compte tenu de l’amende de Meta, il convient de procéder à un examen général de l’exposition au risque liée à l’utilisation de fournisseurs, et les services de lancement d’alerte devraient figurer en bonne place sur la liste des priorités.
Vous souhaitez en savoir plus sur un service de lancement d’alerte et des canaux de signalement internes sécurisés ? Découvez-en plus sur la directive européenne sur le lancement d’alerte ici.
Souhaitez-vous en savoir plus sur un service de lancement d’alerte et des canaux de signalement internes sécurisés ? Vous pouvez en savoir plus sur la solution tout-en-un de Whistlelink ici ou réserver une démo gratuite !
Si vous avez des idées sur cet article ou si vous souhaitez en savoir plus sur Whistlelink, nous serons ravis d’échanger avec vous.
Whistlelink respecte votre vie privée. Nous ne vous contacterons qu’à propos de nos solutions. Vous pouvez vous désinscrire à tout moment. Pour plus d’informations, veuillez consulter notre politique de confidentialité.
Mercredi | 11:00 – 11:30
ENCHANTÉ DE VOUS CONNAÎTRE !
HEUREUX DE VOUS RENCONTRER
Whistlelink respecte votre vie privée. Nous ne vous contacterons qu’à propos de nos solutions. Vous pouvez vous désinscrire à tout moment. Pour plus d’informations, veuillez consulter notre Politique de confidentialité.
HAPPY TO MEET YOU!
Whistlelink values your privacy. We will only contact you about our solutions.
You may unsubscribe at any time. For more info, please review our Privacy Policy
