Qu\u2019est\u2011ce que le Data Privacy Framework UE\u2013\u00c9tats\u2011Unis (DPF) ?<\/h2>\n\n\n\n
Le DPF est un accord formel qui permet aux organisations \u00e9tablies dans l\u2019Espace \u00e9conomique europ\u00e9en (EEE) de transf\u00e9rer des donn\u00e9es personnelles vers des entreprises am\u00e9ricaines certifi\u00e9es dans le cadre de ce dispositif. De l\u2019autre c\u00f4t\u00e9 de l\u2019Atlantique, les entreprises am\u00e9ricaines peuvent adh\u00e9rer volontairement au framework en se certifiant aupr\u00e8s du Department of Commerce des \u00c9tats\u2011Unis. Pour rester conformes, les participants certifi\u00e9s doivent :<\/p>\n\n\n\n
- \n
- Publier et maintenir une politique de confidentialit\u00e9 claire et publique, align\u00e9e sur les principes du DPF<\/li>\n\n\n\n
- Mettre en place des m\u00e9canismes internes de contr\u00f4le et d\u2019application<\/li>\n\n\n\n
- R\u00e9pondre aux r\u00e9clamations et proposer des m\u00e9canismes ind\u00e9pendants de r\u00e9solution des litiges.<\/li>\n<\/ul>\n\n\n\n
Une fois certifi\u00e9es, ces organisations peuvent recevoir l\u00e9galement des donn\u00e9es personnelles en provenance de l\u2019EEE sans devoir ajouter de garanties contractuelles ou techniques suppl\u00e9mentaires. En cas de non\u2011conformit\u00e9, des cons\u00e9quences sont pr\u00e9vues : la Federal Trade Commission (FTC) peut engager des actions de contr\u00f4le et de sanction, et les contrevenants risquent d\u2019\u00eatre retir\u00e9s de la liste DPF.<\/p>\n\n\n\n
Si une entreprise am\u00e9ricaine n\u2019est pas certifi\u00e9e DPF, les transferts de donn\u00e9es restent possibles mais n\u00e9cessitent d\u2019autres instruments juridiques, comme les clauses contractuelles types (Standard Contractual Clauses, SCC), compl\u00e9t\u00e9s par des mesures suppl\u00e9mentaires telles que le chiffrement ou la pseudonymisation.
Vous voulez en savoir plus ? Consultez le programme Data Privacy Framework<\/a>.<\/p>\n\n\n\nExemples de donn\u00e9es personnelles fr\u00e9quemment transf\u00e9r\u00e9es<\/h3>\n\n\n\n
- \n
- Adresses IP<\/li>\n\n\n\n
- Adresses e\u2011mail<\/li>\n\n\n\n
- Identifiants d\u2019appareil et cookies<\/li>\n\n\n\n
- Noms d\u2019utilisateur ou donn\u00e9es de connexion<\/li>\n\n\n\n
- M\u00e9tadonn\u00e9es client et champs CRM<\/li>\n\n\n\n
- Dates de naissance ou donn\u00e9es de localisation<\/li>\n<\/ul>\n\n\n\n
Astuce d\u2019expert : m\u00eame si votre entreprise ne partage \u201cque\u201d une adresse IP ou un identifiant hach\u00e9 avec un service am\u00e9ricain, cela peut \u00eatre consid\u00e9r\u00e9 comme une donn\u00e9e personnelle au sens du RGPD.<\/p>\n\n\n\n
Pourquoi le DPF est\u2011il encore en cours d\u2019examen dans l\u2019UE ?<\/h2>\n\n\n\n
D\u2019un c\u00f4t\u00e9, le DPF apporte plus de transparence et renforce les droits des personnes, mais de l\u2019autre, sa stabilit\u00e9 juridique \u00e0 long terme reste incertaine. Des d\u00e9fenseurs de la vie priv\u00e9e comme NOYB l\u2019ont d\u00e9j\u00e0 contest\u00e9, estimant que les lois am\u00e9ricaines sur la surveillance permettraient encore un acc\u00e8s gouvernemental disproportionn\u00e9 aux donn\u00e9es europ\u00e9ennes. Une future d\u00e9cision de la Cour de justice de l\u2019Union europ\u00e9enne pourrait \u2013 une fois de plus \u2013 remodeler le cadre applicable aux transferts de donn\u00e9es UE\u2013\u00c9tats\u2011Unis.<\/p>\n\n\n\n
Pour les entreprises europ\u00e9ennes, cela signifie que s\u2019appuyer exclusivement sur le DPF ne constitue probablement pas une strat\u00e9gie de conformit\u00e9 durable.<\/p>\n\n\n\n
Comment v\u00e9rifier si vos donn\u00e9es sont prot\u00e9g\u00e9es (contr\u00f4le en 3 \u00e9tapes)<\/h2>\n\n\n\n
Avant de partager des donn\u00e9es utilisateur avec un prestataire de services am\u00e9ricain, vous pouvez facilement v\u00e9rifier s\u2019il est certifi\u00e9 :<\/p>\n\n\n\n
- \n
- Rendez\u2011vous sur la liste officielle DPF<\/a><\/li>\n\n\n\n
- Cherchez le nom de l\u2019entreprise (par exemple, \u201cGoogle LLC\u201d)<\/li>\n\n\n\n
- Confirmez que le statut de l\u2019entreprise est \u201cActive\u201d et v\u00e9rifiez si le service sp\u00e9cifique (par exemple, Google Analytics ou Google Ads) est couvert.<\/li>\n<\/ol>\n\n\n\n
Deux sc\u00e9narios sont alors possibles :<\/p>\n\n\n\n
- \n
- Si le service est couvert, vous pouvez transf\u00e9rer les donn\u00e9es dans le cadre du DPF sans mesures suppl\u00e9mentaires.<\/li>\n\n\n\n
- S\u2019il ne l\u2019est pas, vous devez mettre en \u0153uvre des garanties compl\u00e9mentaires.<\/li>\n<\/ul>\n\n\n\n
Garanties suppl\u00e9mentaires pour les entreprises non certifi\u00e9es DPF<\/h2>\n\n\n\n
Si votre partenaire am\u00e9ricain n\u2019est pas certifi\u00e9 dans le cadre du Data Privacy Framework, il existe toujours des moyens de rester conforme. Voici trois options principales :<\/p>\n\n\n\n
- \n
- Utiliser un instrument de transfert
Vous pouvez vous appuyer sur des instruments juridiques reconnus pour les transferts de donn\u00e9es en dehors de l\u2019EEE, comme les clauses contractuelles types<\/a> pr\u00e9vues \u00e0 l\u2019article 46 du RGPD ou les r\u00e8gles d\u2019entreprise contraignantes (Binding Corporate Rules, BCR) pour les groupes multinationaux. Ces outils constituent la base l\u00e9gale pour l\u2019envoi de donn\u00e9es \u00e0 l\u2019\u00e9tranger dans le respect du RGPD.<\/li>\n\n\n\n- Ajouter des mesures techniques et organisationnelles
Si n\u00e9cessaire, vous pouvez adopter des mesures suppl\u00e9mentaires pour prot\u00e9ger les donn\u00e9es personnelles.
Le Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es (CEPD\/EDPB) d\u00e9crit plusieurs mesures concr\u00e8tes dans ses
Recommendations for Measures Supplemental to Transfer Instruments<\/a>, par exemple :<\/li>\n<\/ol>\n\n\n\n- \n
- Chiffrement de bout en bout avant transfert<\/li>\n\n\n\n
- Pseudonymisation des donn\u00e9es<\/li>\n\n\n\n
- Minimisation des donn\u00e9es et contr\u00f4le d\u2019acc\u00e8s strict.<\/li>\n<\/ul>\n\n\n\n
Vous devez \u00e9valuer, au cas par cas, quelles mesures ou combinaisons de mesures sont n\u00e9cessaires pour prot\u00e9ger correctement les donn\u00e9es personnelles.<\/p>\n\n\n\n
- \n
- D\u00e9placer le traitement des donn\u00e9es vers le territoire de l\u2019UE
Une approche plus durable consiste \u00e0 maintenir le traitement des donn\u00e9es au sein m\u00eame de l\u2019Union europ\u00e9enne. L\u2019h\u00e9bergement, l\u2019anonymisation ou le traitement via des serveurs bas\u00e9s dans l\u2019UE (par exemple avec une infrastructure de Server\u2011Side Tracking) permet de r\u00e9duire au minimum les risques transfrontaliers.<\/li>\n<\/ol>\n\n\n\nEn savoir plus sur la souverainet\u00e9 des donn\u00e9es europ\u00e9ennes avec UpCloud et TAGGRS<\/a>.<\/p>\n\n\n\n
Pourquoi l\u2019EU Server\u2011Side Tracking est souvent la strat\u00e9gie la plus r\u00e9siliente<\/h2>\n\n\n\n
Le Server\u2011Side Tracking au sein de l\u2019UE permet de :<\/p>\n\n\n\n
- \n
- Contr\u00f4ler pr\u00e9cis\u00e9ment quelles donn\u00e9es sont partag\u00e9es avec les fournisseurs tiers gr\u00e2ce au filtrage ou \u00e0 la pseudonymisation avant tout transfert<\/li>\n\n\n\n
- Conserver les donn\u00e9es brutes ou sensibles dans des juridictions de l\u2019UE, ce qui r\u00e9duit le risque li\u00e9 aux transferts transfrontaliers<\/li>\n\n\n\n
- Faciliter la conformit\u00e9 au RGPD et simplifier la gestion des violations de donn\u00e9es et des demandes d\u2019acc\u00e8s, car votre organisation conserve la ma\u00eetrise du traitement et de la conservation des donn\u00e9es.<\/li>\n<\/ul>\n\n\n\n
En gardant la logique de tracking et les donn\u00e9es utilisateur \u00e0 l\u2019int\u00e9rieur des fronti\u00e8res de l\u2019UE, les entreprises b\u00e9n\u00e9ficient d\u2019une configuration scalable, moins d\u00e9pendante de cadres juridiques incertains comme le DPF. Cela renforce la r\u00e9silience de votre infrastructure de donn\u00e9es et la confiance des clients sensibles aux questions de confidentialit\u00e9. Il reste toutefois essentiel de v\u00e9rifier les d\u00e9clarations de tout fournisseur en contr\u00f4lant les emplacements d\u2019h\u00e9bergement r\u00e9els, les sous\u2011traitants et les accords de traitement des donn\u00e9es (DPA).<\/p>\n\n\n\n
En r\u00e9sum\u00e9 : le Server\u2011Side Tracking avec h\u00e9bergement dans l\u2019UE ne concerne pas uniquement la conformit\u00e9. Il s\u2019agit aussi de remettre la propri\u00e9t\u00e9 et la responsabilit\u00e9 des donn\u00e9es entre vos mains, l\u00e0 o\u00f9 elles doivent \u00eatre.<\/p>\n\n\n\n
Comment TAGGRS garantit la protection des donn\u00e9es personnelles<\/h2>\n\n\n\n
TAGGRS propose l\u2019h\u00e9bergement pour Google Tag Manager Server\u2011Side Tracking<\/a> et des outils de protection de la vie priv\u00e9e tels que le hachage et l\u2019anonymisation des PII, con\u00e7us pour permettre aux \u00e9quipes marketing, aux DPO et aux professionnels orient\u00e9s data de garder la ma\u00eetrise \u00e0 la fois technique et juridique.<\/p>\n\n\n\n
Nous aidons les organisations \u00e0 rester conformes au RGPD gr\u00e2ce \u00e0 plusieurs fonctionnalit\u00e9s cl\u00e9s :<\/p>\n\n\n\n
- \n
- Contr\u00f4le renforc\u00e9 sur les donn\u00e9es partag\u00e9es avec des tiers : Server\u2011Side GTM vous permet de d\u00e9finir pr\u00e9cis\u00e9ment quels points de donn\u00e9es sont transmis \u00e0 des services externes comme Meta ou Google, pour que les fournisseurs ne re\u00e7oivent que les informations que vous validez.<\/li>\n\n\n\n
- D\u00e9couvrez pourquoi la r\u00e9duction de la d\u00e9pendance aux tiers contribue \u00e0 p\u00e9renniser votre activit\u00e9 : Cookies, privacy concerns and a future\u2011proof solution<\/a><\/li>\n\n\n\n
- Traitement s\u00e9curis\u00e9 des informations sensibles et des PII avec le TAGGRS GDPR tool<\/a> : les donn\u00e9es sensibles comme les adresses e\u2011mail ou les identifiants sont anonymis\u00e9es ou hach\u00e9es avant le traitement, ce qui vous aide \u00e0 respecter vos obligations RGPD.<\/li>\n\n\n\n
- D\u00e9couvrez\u2011en plus sur les r\u00e8gles de confidentialit\u00e9 relatives aux PII et aux donn\u00e9es personnelles.<\/li>\n\n\n\n
- Gestion efficace des donn\u00e9es : Server\u2011Side GTM permet une gestion avanc\u00e9e, comme le hachage des informations utilisateur conform\u00e9ment aux standards des plateformes, ou le nettoyage des URL avant leur envoi vers les outils publicitaires ou d\u2019analytics afin de limiter l\u2019exposition de donn\u00e9es sensibles. Pour en savoir plus, consultez notre documentation sur les conversions avanc\u00e9es Google Ads<\/a>.<\/li>\n\n\n\n
- Emplacements de serveurs propri\u00e9taires : TAGGRS fonctionne sur sa propre infrastructure bas\u00e9e dans l\u2019UE<\/a>, ce qui garantit que les donn\u00e9es restent au sein des fronti\u00e8res europ\u00e9ennes. Un h\u00e9bergement local ajoute une couche de s\u00e9curit\u00e9 juridique et technique suppl\u00e9mentaire, aidant votre organisation \u00e0 respecter le RGPD ainsi que les exigences nationales.<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"https:\/\/taggrs.io\/wp-content\/uploads\/2024\/07\/taggrs-gdpr.svg\" "\\"\\"")
<\/figure>\n\n\n\nConsultez le\u00a0statut des serveurs<\/a>\u00a0\u00e0 tout moment.
Acc\u00e9dez \u00e0 notre\u00a0legal hub<\/a>\u00a0pour lire nos DPA et SLA par produit.<\/p>\n\n\n\nFAQ : Data Privacy Framework et transferts de donn\u00e9es vers les \u00c9tats\u2011Unis<\/h2>\n\n\n\n
Qui peut utiliser le DPF ?<\/strong><\/h3>\n\n\n\n
Seules les organisations am\u00e9ricaines qui se certifient aupr\u00e8s du Department of Commerce des \u00c9tats\u2011Unis et figurent sur la liste officielle DPF peuvent recevoir l\u00e9galement ces donn\u00e9es sans garanties suppl\u00e9mentaires. Les entreprises bas\u00e9es dans l\u2019UE ne peuvent pas participer ; elles peuvent uniquement transf\u00e9rer des donn\u00e9es vers des partenaires am\u00e9ricains certifi\u00e9s.<\/p>\n\n\n\n
Pourquoi TAGGRS ne fait\u2011il pas partie du DPF ?<\/strong><\/h3>\n\n\n\n
Le DPF ne s\u2019applique qu\u2019aux entit\u00e9s am\u00e9ricaines. TAGGRS est un fournisseur \u00e9tabli dans l\u2019UE qui maintient les donn\u00e9es au sein des fronti\u00e8res europ\u00e9ennes.<\/p>\n\n\n\n
Google fait\u2011il partie du DPF ?<\/strong><\/h3>\n\n\n\n
Oui, Google LLC participe sous les entr\u00e9es \u201cGoogle Cloud\u201d, \u201cGoogle Ads\u201d et \u201cGoogle Analytics\u201d. V\u00e9rifiez la couverture pour le service que vous utilisez.<\/p>\n\n\n\n
Les Transfer Impact Assessments sont\u2011ils toujours n\u00e9cessaires dans le cadre du DPF ?<\/strong><\/h3>\n\n\n\n
M\u00eame si le DPF constitue une base ad\u00e9quate pour les transferts, les r\u00e9gulateurs europ\u00e9ens et les autorit\u00e9s de protection de la vie priv\u00e9e recommandent aux entreprises europ\u00e9ennes de continuer \u00e0 r\u00e9aliser un Transfer Impact Assessment (TIA) dans le cadre de leurs obligations de responsabilit\u00e9. Les TIA permettent de documenter les risques, de confirmer la couverture DPF du service concern\u00e9 et de d\u00e9finir les mesures d\u2019att\u00e9nuation pour les donn\u00e9es sensibles.<\/p>\n\n\n\n
Que se passe\u2011t\u2011il si le DPF est \u00e0 nouveau invalid\u00e9 ?<\/strong><\/h3>\n\n\n\n
Il faut alors recourir aux SCC, compl\u00e9t\u00e9es par des garanties suppl\u00e9mentaires comme le chiffrement et la pseudonymisation.<\/p>\n\n\n\n
Les entreprises de l\u2019UE doivent\u2011elles se reposer uniquement sur le DPF ou le combiner avec des mesures compl\u00e9mentaires ?<\/strong><\/h3>\n\n\n\n
Les entreprises ne devraient pas s\u2019appuyer exclusivement sur le DPF, compte tenu de l\u2019incertitude juridique et r\u00e9glementaire persistante. L\u2019approche la plus r\u00e9siliente consiste \u00e0 combiner, lorsque c\u2019est in\u00e9vitable, l\u2019usage du DPF avec des mesures techniques, organisationnelles et contractuelles \u2014 et \u00e0 mettre en place un Server\u2011Side Tracking h\u00e9berg\u00e9 dans l\u2019UE d\u00e8s que possible afin de r\u00e9duire les risques et de simplifier la conformit\u00e9.<\/p>\n\n\n\n
Pourquoi choisir l\u2019EU Server\u2011Side Tracking ?<\/strong><\/h3>\n\n\n\n
Un Server\u2011Side Tracking bas\u00e9 dans l\u2019UE (comme TAGGRS) maintient l\u2019ensemble des donn\u00e9es utilisateur dans des environnements contr\u00f4l\u00e9s par l\u2019Union europ\u00e9enne, ce qui garantit une conformit\u00e9 totale au RGPD et supprime la d\u00e9pendance aux m\u00e9canismes internationaux de transfert. Les entreprises conservent un contr\u00f4le technique et juridique direct sur les donn\u00e9es personnelles, r\u00e9duisant ainsi l\u2019exposition potentielle \u00e0 la surveillance \u00e9trang\u00e8re ou aux changements r\u00e9glementaires.<\/p>\n\n\n\n
Le Data Privacy Framework est\u2011il conforme au RGPD ?<\/strong><\/h3>\n\n\n\n
La Commission europ\u00e9enne consid\u00e8re que le DPF offre un niveau de protection ad\u00e9quat, mais des critiques estiment que les lois am\u00e9ricaines sur la surveillance demeurent probl\u00e9matiques. Le groupe de d\u00e9fense NOYB et d\u2019autres organisations continuent de contester sa validit\u00e9. En cas de nouvelle invalidation, les entreprises devront se rabattre sur les clauses contractuelles types (SCC) et des garanties suppl\u00e9mentaires comme le chiffrement et la pseudonymisation.<\/p>\n","protected":false},"excerpt":{"rendered":"
DPF UE-USA, risques Schrems II & pourquoi EU Server-Side Tracking l'emporte.<\/p>\n","protected":false},"author":10,"featured_media":66791,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[332],"tags":[],"class_list":["post-46377","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gdpr-fr"],"acf":[],"_links":{"self":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts\/46377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/comments?post=46377"}],"version-history":[{"count":8,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts\/46377\/revisions"}],"predecessor-version":[{"id":67505,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts\/46377\/revisions\/67505"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/media\/66791"}],"wp:attachment":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/media?parent=46377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/categories?post=46377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/tags?post=46377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Traitement s\u00e9curis\u00e9 des informations sensibles et des PII avec le TAGGRS GDPR tool<\/a> : les donn\u00e9es sensibles comme les adresses e\u2011mail ou les identifiants sont anonymis\u00e9es ou hach\u00e9es avant le traitement, ce qui vous aide \u00e0 respecter vos obligations RGPD.<\/li>\n\n\n\n
- D\u00e9placer le traitement des donn\u00e9es vers le territoire de l\u2019UE
- Ajouter des mesures techniques et organisationnelles
- Utiliser un instrument de transfert
- Rendez\u2011vous sur la liste officielle DPF<\/a><\/li>\n\n\n\n