Transferts Internationaux de Données
Que sont les Clauses Contractuelles Types (CCT) ?
Les Clauses Contractuelles Types (CCT) sont des termes et conditions que les organismes qui envoient des données à caractère personnel de l'UE depuis l'UE, doivent mettre en place avec les organismes hors de l'UE, auxquels ils les envoient.
Elles sont publiées par la Commission européenne et sont donc les mêmes pour toutes les organisations.
Cision a mis en place ces CCT avec ses clients et ses fournisseurs.
Le 4 juin 2021, une nouvelle série de Clauses Contractuelles Types a été publiée par la Commission européenne.
Ces nouvelles CCT permettent aux CCT existantes de continuer à être utilisées pour de "nouveaux" transferts de données pendant une période de transition de trois mois, donnant ainsi, aux organisations la possibilité de lire et d'apporter les modifications nécessaires pour se conformer aux nouvelles CCT avant de les déployer, dans la pratique.
De même, les CCT 2010 existantes peuvent continuer à être utilisées pour les transferts de données existants pendant une période maximale de 18 mois - ce qui donne aux organismes jusqu'au début de 2023.
Evaluation des transferts internationaux de données
Cette notice a été créée pour aider nos clients et influenceurs à répondre aux questions relatives à la manière dont Cision a évalué les risques liés au transfert de données personnelles en dehors de l'EEE. Elle aborde en particulier les questions suivantes :
- la décision de juillet 2020 de la Cour européenne dans l'affaire "Schrems II" (voir ici : http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=12312155)
- les clauses contractuelles types (CCT) de l'UE pour 2021 (voir ici : https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en )
- le Brexit
Il s'agit d'un domaine juridique en pleine évolution. C'est pourquoi l'approche de Cision fera l'objet d'un examen permanent, en particulier à la lumière des directives réglementaires du Conseil Européen de la Protection des Données (CEPD) et de toute autorité nationale de protection des données compétente, ainsi que des décisions des tribunaux concernés. Cision s'engage à travailler avec ses clients et fournisseurs pour assurer une protection adéquate des données personnelles qu'elle traite.
1. Sur quoi portait la décision Schrems II ?
En vertu de la législation européenne et britannique sur la protection des données (GDPR/UK GDPR), les données à caractère personnel ne peuvent pas être transférées en dehors de l'EEE, sauf si l'exportateur utilise l'un des mécanismes approuvés pour rendre ce transfert légal. Deux de ces mécanismes étaient le Privacy Shield (uniquement pour les transferts vers les États-Unis) et les Clauses Contractuelles Types (CCT) de l'UE (pour les transferts partout en dehors de l'EEE).
L'affaire a été portée devant la Cour Irlandaise par le militant de la protection de la vie privée, M. Schrems contre Facebook Ireland, qui, à son tour, a saisi la Cour Européenne sur un certain nombre de questions pour qu’elle se prononce. La décision de la Cour européenne portait sur la possibilité (même en cas d'utilisation de mécanismes approuvés par la loi) pour les agences américaines de renseignement et organismes d’application de la loi, d'accéder aux données personnelles transférées aux États-Unis, et ce, sur ce que la Cour européenne considérait comme étant un manque de recours adéquat aux États-Unis pour les citoyens européens inquiets d'une telle utilisation de leurs données personnelles.
La Cour européenne a jugé que le Privacy Shield n'était plus un mécanisme valable, mais a déclaré que d'autres mécanismes de transfert (y compris les CCT) restaient valables. En ce qui concerne les CCT, la Cour européenne a déclaré que les exportateurs de données devraient procéder à une évaluation de leurs transferts afin de déterminer si des garanties supplémentaires (au-delà des conditions des CCT) étaient nécessaires pour assurer une protection adéquate des données personnelles transférées en dehors de l'EEE.
2. Transférez-vous des données à caractère personnel en dehors de l'Europe et plus particulièrement vers les États-Unis ?
Oui, nous transférons des données à caractère personnel en dehors de l'EEE, y compris vers les États-Unis.
3. Quelles sont les données à caractère personnel transférées ?
Les données que nous transférons sont présentées dans les politiques de confidentialité correspondantes sur le site https://gdpr.cision.com.
De manière générale, nous transférons quatre types différents de données à caractère personnel :
- Données influenceurs de Cision : données à caractère personnel des influenceurs collectées par Cision et contenues dans nos différentes bases de données d'influenceurs (y compris la base de données médiatique de Cision et TKIM). La grande majorité de ces données sont des données accessibles au public, obtenues à partir de profils de médias sociaux, de sites web, d'articles publiés et d'autres informations du domaine public. Certaines informations supplémentaires peuvent être fournies par les influenceurs eux-mêmes ou par leurs employeurs.
- Données influenceurs de nos clients : données à caractère personnel que nos clients nous fournissent par le biais d’une liste privée. Ces informations sont de même nature que les données influenceurs Cision. Elles peuvent inclure des mentions supplémentaires fournies par nos clients.
- Données sur les clients : données à caractère personnel incluses dans les informations de gestion nécessaires à Cision pour gérer nos comptes clients. Il s'agit principalement des coordonnées des entreprises et du titre du poste.
- Données internes de Cision (par exemple, les données RH). Cette FAQ ne traite pas de ces données.
4. A qui les données personnelles sont-elles transférées ?
Nous partageons les données influenceurs de Cision avec nos clients (y compris les clients situés en dehors de l'EEE) et avec les sociétés de notre groupe aux États-Unis, au Canada, en Inde, au Brésil, et en Chine.
Les données des clients sur les influenceurs nous sont fournies par nos clients et sont traitées par nous en leur nom. Cela peut impliquer un transfert de ces données depuis l’EEE vers les sociétés de notre groupe aux Etats-Unis, où ces données seront hébergées.
Nous pouvons partager les données relatives aux clients avec les sociétés de notre groupe aux États-Unis pour la gestion des comptes clients.
Nous pouvons partager les données des influenceurs de Cision, les données des influenceurs des clients et les données des clients avec des fournisseurs/vendeurs tiers avec lesquels nous travaillons (par exemple, des fournisseurs de services de messagerie) qui traitent les données en notre nom. Les détails de ces fournisseurs sont présentés dans nos notices de confidentialité.
5. Quelle est votre base juridique pour les transferts internationaux de données ?
Certains pays (comme le Canada et le Royaume-Uni) ont été jugés par la Commission Européenne comme ayant des régimes de protection des données adéquats. Pour ces pays, aucune protection supplémentaire n'est nécessaire.
Pour les pays pour lesquels il n'existe pas de dispositions suffisantes, nous nous appuyons sur l'utilisation des Clauses Contractuelles Types (CCT).
Nous ne nous sommes jamais basés sur le Privacy Shield pour les transferts internes au sein du groupe Cision ou pour les transferts de données à nos clients.
Nous avons effectué un audit de nos fournisseurs/prestataires pour vérifier si l'un d’entre eux se réfère au Privacy Shield lorsqu'il agit en tant que sous-traitant en notre nom et nous avons constaté qu’aucun ne le fait.
6. Votre entreprise est-elle soumise aux lois de surveillance américaines en vertu de la section 702 de la FISA et du décret présidentiel 12333 ?
Cision n'est pas une "entreprise de télécommunications" au sens de la législation applicable.
En raison de certains services que nous offrons à nos clients (par exemple, le service de courrier électronique), Cision peut être considéré comme un fournisseur de "services de communications électroniques". Par conséquent, Cision peut, en principe, être soumise au régime de surveillance prévu par l'article 702 de la loi « Foreign Intelligence Surveillance Act » (« FISA ») et de l’Ordre Exécutif 12333 (« EO 12333»).
7. Cision est-elle au courant d’une quelconque surveillance effectuée par des organismes d’application de la loi aux Etats ou ailleurs en relation avec ses systèmes et bases de données ?
Non. Nous n'avons pas connaissance d'une telle surveillance des systèmes et des bases de données de Cision.
8. Cision reçoit-elle des demandes de divulgation de données personnelles de la part d'organismes d'application de la loi ?
Oui. Cision a déjà reçu des assignations à comparaître et d'autres demandes de divulgation de renseignements personnels.
9. Quelle est l’approche de Cision face aux demandes d'accès aux données à caractère personnel émanant des organismes gouvernementaux ?
Cision se conformera à ses obligations légales.
Cision ne coopère pas avec les autorités de surveillance de sa propre initiative, et ne donne pas accès aux données personnelles, sauf si la loi l'exige.
Cision examinera toutes les demandes émanant des organismes gouvernementaux et ne divulguera des données personnelles en réponse à de telles requêtes, que s'il peut être déterminé, au-delà de tout doute raisonnable, que la demande a été valablement faite dans les formes et avec l'autorité nécessaire. Les données personnelles ne seront divulguées que dans le cadre d'une demande légale.
10. Cision divulgue-t-elle le fait que des agences gouvernementales ont demandé l'accès à des données personnelles ?
Cision peut, sur demande, fournir des informations sur l'existence d'une requête de divulgation de données, émanant d'un organisme gouvernemental, si la loi applicable l'y autorise. Cependant, du fait de leur nature, de nombreuses demandes gouvernementales (si ce n'est la majorité) sont confidentielles et Cision ne sera pas autorisée à informer de ces demandes ou sur les détails de celles-ci.
11. À quelle fréquence Cision reçoit-elle des demandes d'organismes gouvernementaux pour la divulgation de renseignements personnels concernant ses clients ou ses influenceurs ?
Pour l'ensemble de ses entités liées, Cision reçoit très occasionnellement des demandes d'information. Cision n'a jamais reçu que des demandes d'agences américaines concernant des annonces financières faites par l'intermédiaire de son service de virement et de distribution, en raison de l'impact financier de celles-ci. Si ces annonces contiennent des informations personnelles, ce ne sera que le nom du contact chez le client qui fait l'annonce et ces informations sont déjà dans le domaine public.
Par conséquent, Cision n'a aucune raison de penser qu'une législation problématique lui sera appliquée dans la pratique.
12. Quelle évaluation avez-vous faite de vos transferts internationaux de données ?
Cision a effectué des évaluations des flux de données au sein du groupe Cision et vers nos fournisseurs et clients aux États-Unis.
Nos principaux transferts internationaux de données se font de nos entités européennes vers notre siège social ou d’autres établissements aux États-Unis et vers nos clients américains. Pour cette raison et étant donné que les questions abordées par la Cour européenne concernaient les transferts vers les États-Unis, c'est sur ce point que nous nous sommes concentrés jusqu'à présent.
Données Influenceurs de Cision et des Clients
Compte tenu de la nature des personnes concernées, des données personnelles que nous traitons, des destinataires de ces données et de la nature des activités de Cision, nous ne pensons pas que les transferts hors de l'EEE des données des influenceurs de Cision et de ses clients créent un risque supplémentaire important par rapport aux risques qui existent déjà du fait que ces données sont rendues publiques par les personnes concernées (influenceurs) avant leur collecte, leur traitement et leur transfert ultérieur par Cision.
Les deux facteurs essentiels pour parvenir à cette conclusion sont les suivants :
(a) la grande majorité des données transférées sont des données du domaine public (disponibles par exemple sur des plateformes publiques de médias sociaux où elles ont été publiées par les personnes concernées elles-mêmes) ; et
(b) la nature des données transférées présente peu de risque. Si une agence gouvernementale souhaitait accéder aux données personnelles d'un influenceur, elle pourrait accéder à ces données en consultant les sources du domaine public utilisées par Cision (par exemple : les sites web publics, Twitter, Facebook). Selon nous, le risque que les mécanismes de surveillance américains soient appliqués à Cision est faible et, s'ils l'étaient, ils concerneraient des données qui sont déjà largement accessibles au public.
Données Clients
Les données relatives aux clients se limitent généralement aux coordonnées personnelles des contacts de nos comptes clients, à l'activité sur les comptes clients et aux informations sur les influenceurs/journalistes. Nous pensons que ces données présentent également un faible risque.
Nonobstant ce qui précède, Cision reconnaît que l'accès des agences gouvernementales américaines aux données personnelles détenues par Cision est théoriquement possible. C'est pourquoi, Cision mettra en œuvre certaines mesures de protection supplémentaires pour protéger les données personnelles qu'elle transfère en dehors de l'EEE, comme indiqué ci-dessous.
13. Quelles mesures techniques, le cas échéant, prenez-vous pour garantir que les données personnelles transférées en dehors de l'EEE sont protégées de manière adéquate ?
Cision maintient des mesures de sécurité techniques et organisationnelles solides pour assurer la protection adéquate des données personnelles. Les détails de ces mesures sont résumés dans nos politiques de sécurité informatique disponibles ici : https://gdpr.cision.fr/MTOS
Cision utilise un cryptage fort à la fois, en transit (TLS) et au repos et travaille continuellement à l'amélioration de ses capacités de cryptage des données à caractère personnel.
Lorsque nous engageons des sous-traitants pour agir en notre nom, nous nous assurons qu'ils disposent de mesures de sécurité appropriées.
14. Quelles autres mesures supplémentaires, le cas échéant, prenez-vous pour garantir que les données personnelles transférées en dehors de l'EEE sont protégées de manière adéquate ?
Evaluation des risques
Nous avons examiné les mesures supplémentaires qui pourraient être nécessaires pour nos différents transferts de données à la lumière de toutes les circonstances spécifiques de ces transferts et en tenant compte de la probabilité et de la gravité des risques pour les droits et libertés des personnes physiques et nous n'avons aucune raison de penser que nous ne serons pas en mesure de respecter les engagements pris dans le cadre des CCT.
En effet,
(a) la grande majorité des données transférées sont des données du domaine public (disponibles par exemple sur des plateformes publiques de médias sociaux où elles ont été publiées par les personnes concernées elles-mêmes) ; et
(b) la nature des données transférées présente peu de risque. Si une agence gouvernementale souhaitait accéder aux données personnelles des influenceurs, elle pourrait le faire en consultant les sources du domaine public utilisées par Cision (par exemple : les sites web, Twitter, Facebook). Selon nous, le risque que les mécanismes de surveillance américains soient appliqués à Cision est faible et, s'ils l'étaient, ils concerneraient des données qui sont déjà largement accessibles au public.
Mesures supplémentaires
Malgré notre évaluation des risques, Cision mettra en oeuvre les changements ci-dessous pour répondre aux préoccupations soulevées par le Comité Européen de la Protection des Données/European Data Protection Board (CEPD/EDPB).
Cision s'efforcera de notifier l'exportateur de données concerné de tout accès ou demande d'accès émanant d'une autorité gouvernementale, à moins que la loi ne l'interdise (paragraphe 10 ci-dessus). En cas d'interdiction, Cision s'efforcera de faire lever l'interdiction, d'examiner la légalité de cette demande et de contester toute demande illégale (paragraphe 9 ci-dessus). Cision informera l'exportateur de données concerné si elle estime ne plus pouvoir se conformer aux CCT.
Cision adoptera et révisera régulièrement des politiques internes pour évaluer l'adéquation des mesures de sauvegarde mises en œuvre et pour identifier et mettre en œuvre des solutions supplémentaires ou alternatives si nécessaire. Cision vise à s'assurer que les données personnelles transférées continuent de bénéficier d'un niveau de protection équivalent à celui garanti au sein de l'UE.
15. Êtes-vous en mesure de fournir des services sans transfert international des données des clients ?
À l'heure actuelle, toutes les données des influenceurs de Cision et des clients sont hébergées sur des serveurs basés aux États-Unis et dans l'Union Européenne. Il n'est pas prévu de modifier cet arrangement. Par conséquent, il n'est pas possible de fournir les services de Cision à nos clients sans transférer de données personnelles de l'Union Européenne aux États-Unis.
16. Quel contrôle le client a-t-il sur les données transférées ?
Les clients peuvent être concernés par les données des clients et les données des influenceurs des clients.
Il est nécessaire que les entreprises internationales de Cision (et en particulier Cision US Inc.), aient accès aux données du client afin de gérer leur compte.
Il appartient au client de décider des données qu'il fournit à Cision. Si un client a des inquiétudes quant au transfert international des données influenceurs, il ne doit pas fournir ces données à Cision ou doit exprimer ses inquiétudes à Cision avant de le faire.
17. Les clients de Cision doivent-ils s'inquiéter des données personnelles figurant dans les listes privées que Cision traite pour eux ?
Chaque client doit procéder à sa propre évaluation des données qu'il fournit à Cision (qu'il s'agisse de données sur les influenceurs ou de données sur les clients) pour déterminer si ces données peuvent être particulièrement sensibles, et si, tel est le cas, le client doit envisager de ne pas inclure ou supprimer ces données, par exemple, des listes privées.
18. Apporterez-vous des changements aux Clauses Contractuelles Types (CCT) ?
La décision rendue dans l'affaire Schrems II n'impose pas de modifier les CCT. Nous avons mis en œuvre les CCT 2021 par le biais de notre accord sur le traitement des données des clients, auquel les nouveaux clients adhéreront ainsi que les clients existants qui le souhaitent. Les CCT de 2010 peuvent être utilisées jusqu’en janvier 2023.
19. Comment allez-vous traiter les transferts vers des pays autres que les États-Unis ?
Cision envisage d'évaluer les transferts internationaux de données à caractère personnel concernant des pays autres que les États-Unis.
Cision estime que, même si les juridictions en question accordaient à leurs services chargés de l'application de la loi un accès similaire à celui accordé par les Etats-Unis, et même si, les recours offerts aux personnes concernées présentaient les mêmes lacunes que celles, constatées aux Etats-Unis par la Cour Européenne de Justice, le fait que les données soient de nature publique et le manque d'intérêt inhérent pour les organismes appliquant la loi, signifient que les risques liés aux transferts vers ces pays sont faibles.
Nous examinerons attentivement toute nouvelle orientation de l'EDPB et des autorités nationales chargées de la protection des données, ainsi que toute forme de recommandation en matière de bonnes pratiques. Il s'agit d'un processus continu.
20. Quelles mesures prenez-vous pour vous assurer que vos fournisseurs/prestataires tiers fournissent un niveau de protection adéquat en ce qui concerne les données qu'ils traitent au nom de Cision ?
Nous effectuons des audits de nos fournisseurs et prestataires tiers pour nous assurer qu'ils offrent une protection adéquate des données personnelles traitées pour le compte de Cision.
21. Comment Cision va-t-il aborder les transferts vers et depuis le Royaume-Uni à la lumière du Brexit ?
En vertu de sa législation nationale, le Royaume-Uni a adopté le RGPD, désormais connu sous le nom de « RGPD britannique » (ou « UK GDPR »). La législation relative aux transferts internationaux de données continue donc de s'appliquer aux transferts à destination et en provenance du Royaume-Uni, à ceci près que le Royaume-Uni est désormais considéré comme un "pays tiers" en ce qui concerne le RGPD.
Le 28 juin 2021, la Commission européenne a adopté une décision d'adéquation pour le Royaume-Uni, car elle considère que ce pays dispose d'un niveau de protection "essentiellement équivalent" à celui de l'UE.
Par conséquent, les transferts de données à caractère personnel de l'EEE vers le Royaume-Uni peuvent se poursuivre sans garanties supplémentaires.
Le Royaume-Uni a accepté de considérer l'Union Européenne comme une juridiction "adéquate" aux fins du RGPD britannique. Cela signifie que les transferts du Royaume-Uni vers l'Union Européenne ne nécessiteront pas de garanties supplémentaires.
En vertu du RGPD britannique, les transferts du Royaume-Uni vers des pays situés en dehors de l'EEE seront soumis aux mêmes restrictions que lorsque le Royaume-Uni était membre de l'Union Européenne. Pour l'instant, Cision continuera à s'appuyer sur les Clauses Contractuelles Types (CCT) de l'Union Européenne en ce qui concerne ces transferts.
Le Bureau du Commissaire à l'Information du Royaume-Uni est en train de consulter le secteur sur le contenu des CCT britanniques proposées et Cision suivra cette évolution.
22. Quelles mesures Cision a-t-elle prises pour informer les influenceurs de ces changements ?
Cision a mis à jour ses avis de confidentialité pour avertir les influenceurs de la décision Schrems II et de ses implications, et pour leur rappeler qu'ils peuvent demander la modification/suppression de leurs profils.
23. Quelles mesures les influenceurs peuvent-ils prendre pour protéger leurs données à caractère personnel s’ils craignent qu’elles ne soient transférées hors de l’EEE ?
Les influenceurs doivent prendre note d'une mise à jour de la notice de confidentialité influenceurs de Cision qui stipule ce qui suit :
"Vous êtes peut-être au courant d'un récent jugement (juillet 2020) de la Cour européenne de justice, communément appelée" Schrems II ", qui a une incidence sur les transferts de données vers les États-Unis et d'autres pays en dehors de l'UE. Cette affaire est née de la crainte que les autorités américaines, chargées de l'application de loi, puissent avoir accès à des données qui ont été transférées aux États-Unis, et que les personnes concernées, comme vous, ne disposent pas de moyens adéquats pour s'opposer à un tel accès ou à une telle utilisation de vos données dans le cas où cela vous préoccupait.
Le jugement concerne deux moyens courants de garantir la protection de vos données, à savoir (a) le « bouclier de protection de la vie privée » (ou « Privacy Shield ») et (b) les « clauses contractuelles types » (ou « CCT »).
La Cour européenne a statué que le Privacy Shield n'était plus valide, et a confirmé que les CCT étaient valables, tout en ajoutant que les exportateurs de données (comme Cision) qui utilisaient des CCT, devaient prendre des mesures supplémentaires pour s'assurer que des garanties adéquates étaient en place.
Cision ne s’appuie pas sur le Privacy Shield pour ses transferts de données internationaux. En ce qui concerne son utilisation des CCT, Cision a soigneusement évalué les transferts qu’elle effectue et a conclu que des garanties adéquates étaient en place, étant donné que la grande majorité des données influenceurs traitées par Cision sont du domaine public et compte tenu de la nature des services fournis par Cision.
Toutefois, si vous êtes préoccupé par la possibilité que vos données à caractère personnel puissent être accessibles par les autorités chargées de l’application de la loi aux États-Unis (ou dans tout autre pays), veuillez nous en informer en nous contactant à l'adresse privacy@cision.com. Nous pourrons alors, soit modifier votre profil pour supprimer toutes les données qui vous préoccupent ou vous retirer de notre base de données. "
Les influenceurs basés dans l'EEE peuvent souhaiter examiner leur profil pour voir s'il contient des informations qu'ils ne voudraient pas voir transférées en dehors de l'EEE. Les influenceurs peuvent contacter Cision pour obtenir une copie de leur profil à l'adresse privacy@cision.com.
Cision modifiera les profils sur demande et supprimera entièrement tout influenceur des bases de données de Cision s'il ne souhaite plus y figurer.
Dernière mise à jour : Mai 2023