Cadre de protection des données UE - États-Unis (CPD) et transferts internationaux de données

Révision : depuis le 12 octobre 2023 , en vertu du cadre de protection des données UE - États-Unis (cadre de protection des données Suisse - États-Unis et extension britannique du CPD inclus) la certification de New Relic a été officiellement approuvée par le ministère du Commerce des États-Unis. Cela signifie que les données personnelles provenant de l'UE, du Royaume-Uni et de la Suisse peuvent être transférées par les clients de New Relic vers New Relic aux États-Unis. Le CPD remplace le bouclier de protection des données (Privacy Shield en anglais) et, comme avec ce dernier, les données personnelles peuvent être transférées vers des entreprises aux États-Unis sans nécessiter de mécanismes de transfert de données supplémentaires comme les clauses contractuelles types (CCT) ou les règles d'entreprise contraignantes (Binding Corporate Rules ou BCR en anglais).

Historique de Schrems II

New Relic est là pour fournir des données aux ingénieurs. De ce fait, nous voulons que vous ayez la certitude que New Relic traitera vos données en toute sécurité et conformément aux bonnes pratiques internationales. La décision Schrems II de 2020 a abrogé le bouclier de protection des données qui a longtemps servi de base à la conformité des transferts de données à caractère personnel de l'UE vers les États-Unis. Nous avons préparé cet article pour vous informer sur Schrems II et sur le cadre de protection des données UE - États-Unis approuvé par la Commission européenne (pour les transferts vers les États-Unis), ainsi que sur les clauses contractuelles types (CCT 2021) pour tous les transferts internationaux. Nous profitons également de cette occasion pour fournir des détails sur la façon dont New Relic encourage la conformité continue avec les pratiques de protection des données pour servir ses milliers de clients dans le monde entier. Si vous avez d'autres questions, vous pouvez contacter l'équipe chargée de votre compte ou le site privacy@newrelic.com.

Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a statué qu'en vertu du règlement général sur la protection des données (RGPD), le transfert de données à caractère personnel de l'UE vers les États-Unis ne serait plus autorisé dans le cadre du bouclier de protection des données. Cette décision Schrems II a eu de fortes répercussions sur le monde des affaires. De nombreuses entreprises se sont appuyées sur le bouclier de protection des données pour transférer des données entre l'UE et les États-Unis. Nous nous engageons à maintenir nos services et notre documentation à jour afin de répondre à l'évolution des besoins de nos clients en matière de transfert de données à l'échelle mondiale.

Malgré l'impact considérable de Schrems II, la décision n'a pas invalidé les clauses contractuelles types (CCT) de l'UE telles qu'approuvées par la Commission européenne dans la décision 2010/87/UE pour le transfert de données en dehors de l'UE. Après Schrems II, les CCT ont conservé leur statut de mécanisme valide pour le transfert de données personnelles et autres, avec certaines limites. Le 4 juin 2021, la Commission européenne a publié un nouvel ensemble de clauses contractuelles types (CCT 2021) pour le traitement des informations personnelles entre les responsables du traitement et les sous-traitants soumis au RGPD.

Les CCT actualisées en 2021 tiennent compte des opérations complexes de traitement des données qui ont été développées depuis la publication des CCT de 2010. Les CCT de 2021 contiennent quatre modules différents, ce qui permet de les adapter spécifiquement au type de transfert effectué. Par exemple, les CCT 2021 abordent les situations où le traitement implique un transfert de données à caractère personnel d'un sous-traitant (New Relic, en règle générale) à un (sous-)sous-traitant.

Tous les contrats conclus à partir du 27 septembre 2021 devaient utiliser les nouvelles CCT 2021 comme mécanisme de transfert de données. New Relic a mis à jour son accord de traitement des données (DPA) et a appliqué les CCT 2021 pour répondre aux besoins de ses clients (y compris ceux des clients soumis aux CCT britanniques post-Brexit). Son DPA a été mis à jour en octobre 2023 pour inclure le nouveau CPD comme mécanisme de transfert des données personnelles de l'UE, du Royaume-Uni et de la Suisse vers les États-Unis. Ce DPA utilise également les CCT 2021 pour les transferts internationaux de données vers des pays autres que les États-Unis. La mise à jour du DPA de New Relic a été créée de manière à appliquer automatiquement les CCT 2021 aux transferts internationaux vers les États-Unis, au cas où le CPD cesserait de s'appliquer. Cela signifie que les transferts de données vers les États-Unis relèveraient immédiatement des CCT 2021 sans que les clients de New Relic aient besoin de signer un nouveau DPA.

Transfert de données personnelles dans le contexte de l'intérêt de New Relic pour les données télémétriques

New Relic opère dans un environnement B2B qui est indifférent aux données et au secteur, et dans lequel les entreprises envoient des données télémétriques sur leurs technologies qu'elles soient traitées par New Relic. Ces données sont généralement utiles pour évaluer les performances techniques. Les services de New Relic sont sécurisés et New Relic a obtenu des certifications d'organisations d'audit indépendantes et tierces, telles que SOC2, ISO27001 et HITRUST. Ces services sont conçus pour recevoir et traiter des données télémétriques concernant les performances des applications, les systèmes, les réseaux et l'infrastructure. Ils servent également à évaluer les performances des logiciels, mais pas des humains. Pour ces raisons, New Relic traite seulement les données à caractère personnel nécessaires et les craintes concernant Schrems II doivent être évaluées en gardant cela à l'esprit.

Tous les clients de New Relic ont accès à la plateforme New Relic qui est construite autour des quatre types de données télémétriques fondamentales nécessaires à une surveillance complète et efficace du système : métriques, événements, logs et traces (MELT). Sa plateforme et ses systèmes garantissent un stockage sécurisé de toutes les données des clients pour chacun de ces types de données. New Relic utilise des mesures de sécurité techniques et administratives robustes pour protéger les données des clients, y compris selon les besoins : le chiffrement en transit, au repos et au niveau de l'application ; et le chiffrement FIPS 140-2 pour la connectivité de datacenter à datacenter. Ses mesures de sécurité sont proportionnelles aux risques associés à ce type de données, comme l'exigent les articles 25 et 32 du RGPD.

Pourquoi se concentrer sur ces quatre types de données ? Les données MELT aident les clients à acquérir une connaissance fondamentale et pratique des relations et des dépendances au sein de leurs systèmes, mais aussi à produire des rapports détaillés sur les performances et l'intégrité de leurs environnements logiciels. Dans le cadre d'une utilisation normale de New Relic, les clients envoient des données MELT. New Relic travaille ensuite avec les clients pour réduire les risques en fournissant des outils pour limiter adéquatement la quantité de données envoyées à New Relic et pour sécuriser les données pendant et après leur transmission.

Le monitoring des navigateurs et des appareils mobiles de New Relic traite temporairement les adresses IP dans le but d'obtenir une ville et un État, mais elles sont ensuite éliminées. En dehors de ces deux exceptions limitées, les agents New Relic pour les métriques, événements et traces ne collectent par défaut aucune donnée personnelle.

Les logs sont traités différemment en raison de la nature de leur contenu. Contrairement aux métriques, événements et traces, les logs sont constitués de données non structurées générées par les différents systèmes du client. Dans une large mesure, ils proviennent de ces systèmes et les concernent. Les systèmes conçus pour traiter des données à caractère personnel sont susceptibles de générer des logs contenant ce type de données. Le monitoring de ces systèmes avec New Relic peut amener New Relic à collecter pour vous des données à caractère personnel dans les logs. Son service de gestion des logs utilise l'obfuscation automatique pour certains éléments de données, tels que les numéros de carte bancaire et les numéros de sécurité sociale américains, comme décrits sur la page consacrée à la sécurité de New Relic. Vous pouvez configurer des filtres d'extraction pour empêcher que des données à caractère sensible ou personnel soient stockées dans New Relic.

Nous avons également facilité l'interruption de la transmission des données à caractère personnel par le biais des logs. Si vous préférez que vos logs ne soient pas traités par les paramètres par défaut, New Relic permet de rapidement désactiver les logs des agents APM au niveau du compte New Relic grâce à une simple touche à bascule disponible pour tous les clients dans l'interface New Relic.  Si cette touche est activée, aucune donnée personnelle ne sera transmise par le biais des logs.

Vos données intéressent-elles les agences de surveillance ?

Schrems II a soulevé de nombreuses questions concernant la confidentialité des données. Nous encourageons nos clients à se poser la question suivante : les agences de surveillance sont-elles susceptibles d'être intéressées par les données sur les performances de mes logiciels ou de mon matériel ? Si la défense de la surveillance des données est fondamentalement importante, les données ne sont pas toutes utiles (ni même lisibles) par les services de renseignements. Nous encourageons nos clients à évaluer la nature et le format des données télémétriques qu'ils choisissent de traiter en les envoyant à New Relic et d'effectuer les ajustements nécessaires. La plateforme New Relic vous permet de transmettre les données de votre choix, mais vous en aurez toujours le contrôle. Si ces données sont susceptibles d'intéresser les agences de surveillance nationales, entrent-elles également dans le champ des données à caractère personnel visées par l'arrêt Schrems II? Si vous avez des inquiétudes concernant un groupe particulier de données que vous transmettez ou avez l'intention de transmettre à notre service, vous pouvez interrompre la transmission de ce groupe de données. Toutefois, l'adoption récente par la Commission européenne de sa décision d'adéquation concernant le cadre de protection des données UE - États-Unis signifie que certaines des craintes de Schrems II concernant les États-Unis en tant que destination de transfert de données ont été atténuées.

Points clés du CPD

Le cadre de protection des données (CPD) introduit de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice de l'Union européenne (CJUE), notamment en limitant l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné, et en instituant une Cour chargée du contrôle de la protection des données (Data Protection Review Court, DPRC), à laquelle les citoyens de l'Union auront accès. Le nouveau cadre apporte d'importantes améliorations par rapport au mécanisme qui existait dans le cadre du bouclier de protection des données. Par exemple, si la DPRC constate que des données ont été collectées en violation des nouvelles garanties, elle sera en mesure d'ordonner la suppression des données. Les nouvelles garanties dans le domaine de l'accès des pouvoirs publics aux données compléteront les obligations auxquelles les entreprises américaines qui importent des données en provenance de l'UE devront souscrire. Les citoyens de l'UE bénéficieront de plusieurs voies de recours en cas de traitement incorrect de leurs données par des entreprises américaines Il s'agit notamment de mécanismes indépendants et gratuits de règlement des litiges et d'un panel d'arbitrage. Ces nouvelles garanties mises en place par les États-Unis faciliteront également, de manière plus générale, les flux de données transatlantiques, étant donné qu'elles s'appliquent également lorsque les données sont transférées au moyen d'autres outils, tels que les clauses contractuelles types et les règles d'entreprise contraignantes de 2021. La certification de New Relic dans le cadre du CPD UE - États-Unis intègre également le CPD Suisse - États-Unis et l'extension britannique du CPD afin de faciliter les transferts vers les États-Unis depuis la Suisse et le Royaume-Uni respectivement.

Que ferait New Relic en réponse au type de demande de surveillance anticipée par Schrems ?

Comme l'indique le résumé de la CJUE, la plainte initiale déposée dans le cadre de l'affaire Schrems visait essentiellement à contester l'accès des agences de surveillance nationales aux données personnelles des résidents de l'UE à des fins de surveillance par les États-Unis. En tant qu'entreprise basée aux États-Unis, New Relic est soumise aux lois américaines, mais elle n'a jamais reçu de demande de données clients de la part d'une agence de surveillance nationale. La section 14 du DPA présigné explique comment New Relic traiterait les demandes d'application de la loi relatives aux données personnelles si une agence de sécurité nationale la contactait pour obtenir des données de ses clients.

Le DPA présigné engage New Relic à suivre certains processus si ce type de demande devait se produire. Selon les termes de notre DPA, New Relic redirigera l'agence de surveillance pour qu'elle demande ces données directement au client New Relic concerné. Si New Relic est à terme dans l'obligation de divulguer des données personnelles à cette agence de surveillance, New Relic informera le client de la demande afin de lui permettre de solliciter une ordonnance conservatoire ou de poursuivre tout autre recours approprié, sauf dans le cas où New Relic a reçu une interdiction légale d'informer le client.

La prise en compte et la gestion de ces questions sont cruciales, mais elles sont contrebalancées par le fait que les données télémétriques servant à l'optimisation de l'observabilité ne sont généralement pas pertinentes pour les agences de surveillance. La plupart des données personnelles traitées par New Relic ne sont qu'accessoires à son objectif principal, et New Relic ne conserve pas d'enregistrements personnels qui pourraient intéresser les agences de surveillance.  Enfin, la nature hautement personnalisable du logiciel New Relic permet aux clients de contrôler à tout moment s'ils transmettent ou non des données personnelles à New Relic et d'interrompre ou d'ajuster la transmission des données si leur analyse révèle des préoccupations valables concernant la surveillance.

Comment nous acquittons-nous de nos obligations envers vous et vos clients dans le cadre du RGPD ?

La sécurité de vos données est de la plus haute importance pour nous. Nos équipes dédiées à la sécurité et à la protection de la confidentialité sont passionnées par la mise en place et le maintien d'un programme de sécurité et de protection de la confidentialité. Nous développons constamment nos programmes pour protéger les données des clients et nous assurer que nous respectons le RGPD face à l'évolution des menaces à la sécurité et des obligations légales.

●  Nos programmes de conformité sont évalués de manière indépendante pour confirmer que vous choisissez un fournisseur de services conforme au RGPD : New Relic a obtenu des certifications d'organismes d'audit indépendants et tiers, tels que SOC2, ISO27001 et HITRUST. Ces organisations tierces indépendantes ont examiné le programme de sécurité de New Relic en y appliquant des critères rigoureux et nous sommes fiers de présenter la liste des certifications que nous avons obtenues sur notre page concernant la sécurité. Nous collaborons avec nos clients et leurs équipes chargées des achats pour répondre aux questionnaires sur la sécurité de l'information et l'audit qui confirment que nous respectons nos obligations en tant que responsables du traitement des données.

●  Nous avons mis en place des mesures techniques et organisationnelles robustes pour aider nos clients à répondre à leurs besoins de conformité : bon nombre de nos clients sont soumis à des obligations de conformité au titre du RGPD, notamment la réponse aux demandes des personnes concernées et l'élaboration d'évaluations de l'impact sur la protection des données. En tant que responsable du traitement des données, New Relic aide ses clients à remplir leurs obligations de contrôleur (ou de responsable du traitement) des données de manière efficace et efficiente. Les clients peuvent soumettre des demandes de données à caractère personnel à PersonalDataRequests@NewRelic.com ou par le biais de ce formulaire. Pour en savoir plus, consultez notre page sur les demandes de données personnelles de New Relic.

●  Nous évoluons pour anticiper vos besoins uniques : New Relic a restructuré les pièces concernant la sécurité pour s'aligner sur les 18 catégories des Clauses contractuelles types de 2021 afin de faciliter votre analyse de nos mesures de protection. New Relic assure la sécurité conformément aux normes acceptées par le secteur qui sont décrites ici et assure la sécurité des données personnelles traitées par ses services comme décrits dans l'addenda sur le traitement des données. En outre, New Relic met un datacenter basé dans l'Union européenne à la disposition des clients qui exigent que leurs données soient stockées dans l'UE.

●  Chacun d'entre nous s'engage à préserver la confidentialité de vos données : notre équipe chargée de la sécurité de l'information continue de veiller au respect de la conformité aux normes du secteur et aux bonnes pratiques en matière de traitement sécurisé et confidentiel des données.  Cet engagement envers la confidentialité s'applique à tout New Relic. Tous ses employés s'engagent à respecter la confidentialité des données des clients ; il s'agit là d'une condition essentielle à leur embauche chez New Relic. En outre, tous les membres du personnel qui ont accès aux données relatives aux clients et aux comptes sont soumis à des contrôles des antécédents avant l'embauche et tout au long de leur carrière avec New Relic.

●  Nous n'utilisons que des sous-traitants dignes de confiance et approuvés : nos sous-traitants sont tous soumis à une évaluation rigoureuse en matière de sécurité et de confidentialité par le personnel interne de New Relic qui en est chargé. Nous procédons à des vérifications préalables complètes avant d'intégrer nos nouveaux collaborateurs et nous nous assurons que nous avons mis en place les dispositions contractuelles appropriées.  Nous vous informerons à l'avance lorsque nous prévoyons d'ajouter un nouveau sous-traitant. New Relic assume à tout moment la responsabilité du travail de ses sous-traitants.

●  Nous sommes à vos côtés en cas de violation des données : nous nous imposons les normes les plus élevées non seulement en matière de sécurité pour prévenir les violations, mais aussi en matière de conformité en réponse à une violation. Si une violation de données se produit et que vos données en sont affectées, nous vous en informons à temps pour que vous puissiez remplir vos obligations de notification auprès des autorités de contrôle. Nous vous fournissons également les détails de la violation afin que vous puissiez évaluer l'impact qu'elle pourrait avoir sur votre organisation.

Pour en savoir plus, consultez la page sur nos programmes de conformité et de certifications.

Faut-il que vous signiez un DPA lorsque vous utilisez New Relic ?

New Relic est là pour fournir des données aux ingénieurs.Vous pouvez nous envoyer les données dont vous avez besoin en toute confiance pour obtenir une observabilité complète. Si vos besoins particuliers exigent que vous envoyiez des données personnelles auxiliaires à la plateforme New Relic, vous pouvez télécharger le DPA présigné de New Relic avec les clauses contractuelles types intégrées et consulter le FAQ de l'addendum sur le traitement des données.