L'utilisation généralisée de Microsoft dans les entreprises allemandes pose un défi aux responsables de la protection des données. Selon Detlef Schmuck : "La protection des données est en feu dans de nombreuses entreprises allemandes." Surtout depuis que le bouclier de protection des données UE-États-Unis a été déclaré invalide il y a deux ans.
"Le rôle des délégués à la protection des données dans les entreprises deviendra plus difficile au cours de la nouvelle année", déclare l'expert en sécurité des données Detlef Schmuck, directeur général du service de données allemand TeamDrive GmbH. Surtout, l'utilisation généralisée des logiciels du fournisseur américain Microsoft dans l'économie allemande est un problème croissant car il existe un risque que des données personnelles parviennent aux États-Unis. Depuis que la Cour de justice européenne a déclaré invalide il y a deux ans l'accord transatlantique sur la protection des données UE-États-Unis Privacy Shield, la protection des données a tremblé dans une grande partie de l'économie allemande, déclare le patron de TeamDrive.
Microsoft et le problème : où sont les données ?
Detlef Schmuck : "Les programmes Microsoft courants tels que Windows, Teams, Office et 365 ne peuvent être utilisés conformément à la loi de ce pays que si la gestion des données est systématiquement maintenue hors des États-Unis. Mais c'est exactement ce qui est difficile car cela nécessite des réglages détaillés, notamment pour éloigner le propre service de données américain OneCloud de Microsoft des installations. De plus, il est difficile de maintenir en permanence une installation conforme à la loi car Microsoft a la possibilité de réinsérer OneCloud ou de modifier d'autres paramètres à chaque mise à jour pour chaque programme. Par exemple, il existe des indications concrètes que Microsoft importe toujours automatiquement son service cloud américain lors de la mise à jour de Windows. Les délégués à la protection des données doivent donc vérifier en permanence si leurs entreprises travaillent toujours conformément au règlement général sur la protection des données ou si elles sont involontairement devenues illégales par une mise à jour ou une autre modification. Ce n'est pas une tâche facile pour 2022. »
Responsabilité des délégués à la protection des données, du conseil d'administration et de la direction
Outre l'examen technique constant, des escarmouches juridiques au sujet de la protection des données opérationnelles pourraient également être à l'ordre du jour pour l'année 2022, spécule Detlef Schmuck. Il déclare : "Il faut s'attendre à ce que les fournisseurs américains essaient de prouver que leurs offres sont conformes au RGPD avec des clauses de protection des données toujours nouvelles, des rapports, des attestations et la relocalisation de la capacité du cloud en Allemagne. Mais les entreprises américaines telles que Microsoft sont finalement soumises à la législation américaine, et la Cour européenne de justice a statué sans équivoque que le faible niveau de protection des données aux États-Unis est incompatible avec les exigences européennes élevées en matière de protection des données personnelles. Ni Microsoft ni aucun autre fournisseur américain ne peut actuellement combler cette lacune fondamentale, même avec tous les sophismes juridiques. En fin de compte, la responsabilité des violations de la protection des données incombe au conseil d'administration ou à la direction de l'entreprise locale - et bien sûr au délégué à la protection des données.
Plus sur Teamdrive.com