Transferts internationaux de données suite à l'arrêt Schrems II
Qu'a décidé la Cour de justice de l'Union européenne concernant les transferts de données depuis l'UE ?
Le 16 juillet 2020, la Cour de justice de l'Union européenne (la Cour) a invalidé le Privacy Shield entre l'UE et les États-Unis, qui était l'un des moyens par lesquels les entreprises transféraient des données de l'UE vers les États-Unis conformément au Règlement général sur la protection des données (RGPD). Dans le même temps, la Cour a confirmé que les clauses contractuelles types continuaient de fournir un mécanisme valable permettant aux entreprises de transférer des données personnelles en dehors de l'UE, sous réserve d'une analyse d'adéquation au cas par cas.
Le 4 juin 2021, la Commission européenne a mis à jour les clauses contractuelles types pour répondre aux exigences du RGPD. Les clauses mises à jour contiennent des informations supplémentaires et des dispositions obligatoires pour la réalisation des analyses d'adéquation par les entreprises.
Qu'est-ce que cela signifie pour les clients Atlassian ?
Pour répondre à la décision de la Cour, nous avons mis à jour notre Avenant sur la protection des données (DPA) pour y inclure une copie complète des clauses contractuelles types mises à jour. De plus, les clients ayant signé d'anciennes versions de notre DPA resteront en conformité jusqu'au 27 décembre 2022.
Bien que la Commission européenne ait déclaré que les anciennes versions du DPA signées avant le 27 septembre 2021 sont juridiquement suffisantes, nous prévoyons que de nombreux clients voudront profiter du nouveau DPA. Si vous souhaitez indiquer que vous consentez au DPA le plus récent, suivez ces instructions.
Le DPA d'Atlassian répond-il aux directives spécifiques du Royaume-Uni ?
Oui, étant donné que l'Information Commissioner's Office du Royaume-Uni (« ICO ») publie de nouveaux mécanismes de transfert sur lesquels les entreprises peuvent s'appuyer pour transférer des données personnelles à l'international, Atlassian a mis à jour son DPA pour y inclure un avenant relatif au Royaume-Uni.
Nous restons déterminés à garantir que les données de nos clients sont protégées avec le plus grand soin et en conformité avec les lois et exigences applicables en matière de confidentialité des données.
Comment Atlassian s'assure que les données restent protégées en dehors de l'Europe ?
Atlassian a mis en place un certain nombre de mesures pour garantir la protection continue des données de l'UE, du Royaume-Uni et de la Suisse lorsqu'elles sont transférées en dehors de l'Europe.
En plus d'intégrer les clauses contractuelles types, notre DPA définit également les engagements d'Atlassian en matière de confidentialité, de sécurité du traitement, de contrôle des clients, de la manière dont Atlassian contribue à la notification des incidents et aide ses clients à respecter les droits des personnes concernées. La combinaison du DPA, des clauses contractuelles types, des engagements de sécurité et des mesures de protection supplémentaires d'Atlassian continue d'assurer à nos clients un degré élevé de protection.
Notez également qu'Atlassian :
- chiffre les données en transit et au repos (cliquez ici pour en savoir plus) ;
- propose la résidence des données ;
- est en train de créer un chiffrement BYOK ;
- publie un rapport annuel de transparence contenant des informations relatives aux demandes d'obtention de données utilisateur, de suppression de contenu ou de suspension de comptes utilisateur formulées par les autorités compétentes ; et
- fournit de plus amples informations sur les politiques et procédures appliquées lors de réponses aux demandes de données utilisateur dans les Directives pour l'application de la loi.
Pour plus d'informations sur nos pratiques de sécurité et sur la façon dont nous nous conformons au RGPD, consultez cette page.