Notre réponse à Schrems II
Actualisé: 8 août 2023
CBRE s’engage à respecter les droits en matière de protection des données et de confidentialité de ses clients, salariés et parties prenantes partout dans le monde, où nous exerçons nos activités. CBRE a réagi de manière proactive aux récents changements concernant les transferts transfrontaliers de données, y compris en Europe et en Chine.
Europe
Depuis l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne en 2020, nous avons pris et continuons de prendre des mesures concertées pour répondre aux exigences en matière de transfert de données en vertu de l’évolution de la législation européenne sur la protection des données, notamment :
Pour assurer la conformité aux lois sur la cybersécurité et la protection des informations personnelles, y compris le transfert légal de données chinoises en dehors de la Chine, CBRE a obtenu toutes les certifications du programme de protection multi-niveaux nécessaires et a mis en œuvre les mesures pour le contrat type pour le transfert sortant d’informations personnelles en adoptant le contrat type publié par l’Administration du Cyberespace de la Chine (CAC) et en effectuant des analyses d’impact sur la vie privée pour les transferts transfrontaliers de données.
Cryptographie
CBRE utilise une technologie cryptographique forte qui est alignée sur les dernières meilleures pratiques de sécurité conformément aux organismes de normalisation internationalement reconnus, en évitant les algorithmes de cryptage qui sont connus pour avoir des faiblesses ou des exploits. Nous avons une politique mondiale de sécurité de l’information soutenue par une norme de classification des données et des normes de cryptographie qui couvrent les classifications de données, les algorithmes cryptographiques et l’utilisation du cryptage.
Fonctions de hachage : Les fonctions de hachage utilisées incluent SHA‐2 et SHA‐3, mais pas les fonctions obsolètes telles que MD5 et SHA-1.
Pour plus d’informations sur l’approche de CBRE en matière de transfert transfrontalier de données, veuillez contacter le Bureau mondial de la confidentialité des données de CBRE.
CBRE s’engage à respecter les droits en matière de protection des données et de confidentialité de ses clients, salariés et parties prenantes partout dans le monde, où nous exerçons nos activités. CBRE a réagi de manière proactive aux récents changements concernant les transferts transfrontaliers de données, y compris en Europe et en Chine.
Europe
Depuis l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne en 2020, nous avons pris et continuons de prendre des mesures concertées pour répondre aux exigences en matière de transfert de données en vertu de l’évolution de la législation européenne sur la protection des données, notamment :
- La réalisation d’une série d’analyses d’impact sur le transfert des données personnelles vers les sites CBRE, y compris vers CBRE Inc. et ses filiales américaines (« CBRE US »). L’analyse d’impact sur le transfert de données pour CBRE US a conclu que (i) ces transferts peuvent légalement se poursuivre car ils ne sont pas sujet à divulgation aux autorités de renseignement américaines en vertu de la loi américaine Foreign Intelligence Surveillance Act Section 702 (50 U.S.C. §1881a) (« FISA 702 ») ou du décret présidentiel 12333.
- Le décret américain 14086, tel qu’évalué par la Commission Européenne dans sa décision d’adéquation concernant le Cadre de protection des données UE-États-Unis, a considérablement renforcé les garanties en matière de protection des données et de la vie privée pour les personnes non américaines en établissant des règles claires et précises ainsi que des principes de nécessité et de proportionnalité pour les activités de renseignement des États-Unis, ainsi qu’un nouveau mécanisme de recours à deux niveaux, qui même si CBRE US n’est pas (encore) certifié dans le cadre du nouveau cadre de confidentialité des données UE-États-Unis.
- Mise en œuvre d’un cadre pour la réalisation d’analyses d’impact sur le transfert des données hors UE/EEE.
- Continuer à s’appuyer sur les CCT de l’UE (telles que mises à jour) pour transférer des données à caractère personnel de l’UE/EEE vers des pays non-membres de l’UE/EEE et, lorsque préconisé par l’analyse d’impact sur le transfert des données, mettre en œuvre des mesures supplémentaires recommandées par le comité européen de la protection des données (EDPB) et d’autres autorités de contrôle de l’UE.
- Mettre en œuvre des garanties appropriées vis-à-vis des autres pays européens qui imposent des exigences en termes de transfert, telles qu‘en adoptant l’addendum britannique et en reflétant les changements requis par la loi suisse.
- Compléter la politique mondiale de confidentialité des données de CBRE pour y inclure une « norme sur les ordonnances de divulgation émises par des juridictions inadéquates » selon laquelle CBRE prendra, entre autres mesures, toutes les mesures juridiques raisonnables pour contester et suspendre les ordonnances de divulgation émises par des pays tiers inadéquats et ne produire que le minimum de données nécessaires pour se conformer à la loi.
- Augmenter la localisation des données de l’UE/EEE dans l’UE/EEE.
Pour assurer la conformité aux lois sur la cybersécurité et la protection des informations personnelles, y compris le transfert légal de données chinoises en dehors de la Chine, CBRE a obtenu toutes les certifications du programme de protection multi-niveaux nécessaires et a mis en œuvre les mesures pour le contrat type pour le transfert sortant d’informations personnelles en adoptant le contrat type publié par l’Administration du Cyberespace de la Chine (CAC) et en effectuant des analyses d’impact sur la vie privée pour les transferts transfrontaliers de données.
Cryptographie
CBRE utilise une technologie cryptographique forte qui est alignée sur les dernières meilleures pratiques de sécurité conformément aux organismes de normalisation internationalement reconnus, en évitant les algorithmes de cryptage qui sont connus pour avoir des faiblesses ou des exploits. Nous avons une politique mondiale de sécurité de l’information soutenue par une norme de classification des données et des normes de cryptographie qui couvrent les classifications de données, les algorithmes cryptographiques et l’utilisation du cryptage.
- En transit : CBRE met en œuvre des mesures de protection contre les attaques actives et passives sur les systèmes d’envoi et de réception fournissant un chiffrement des données pendant leur transfert, telles que des pare-feu adéquats, un cryptage TLS mutuel, une authentification API et un cryptage pour protéger les passerelles et les pipelines par lesquels les données transitent, ainsi que des tests de vulnérabilités logicielles et d’éventuelles portes dérobées. Nous utilisons des algorithmes de chiffrement et de paramétrage efficaces sur des réseaux non fiables avec le protocole TLS (Transport Layer Security) 1.2 ou supérieur, SSH 2 (Secure Shell), IPsec (IP Security).
- Au repos : CBRE chiffre également les données au repos de manière appropriée avec la classification des données en utilisant des algorithmes de chiffrement et de paramétrage efficaces, y compris les algorithmes de clé symétrique - Advanced Encryption Standard (AES) et Triple Data Encryption Standard ou Asymmetric Key Algorithms - Rivest, Shamir & Adelman (RSA) et l’algorithme de signature numérique à courbe elliptique (ECDSA). CBRE n’autorise pas la copie de données sur des supports amovibles en général. Lorsqu’un tel dispositif est requis, une exception temporaire est levée et gérée pendant toute sa durée. Les utilisateurs qui ont un besoin légitime d’utiliser le stockage USB reçoivent une clé USB cryptée à cette fin.
Fonctions de hachage : Les fonctions de hachage utilisées incluent SHA‐2 et SHA‐3, mais pas les fonctions obsolètes telles que MD5 et SHA-1.
Pour plus d’informations sur l’approche de CBRE en matière de transfert transfrontalier de données, veuillez contacter le Bureau mondial de la confidentialité des données de CBRE.
| Elizabeth Atlee | Shannon Clark |
| Directrice de l’éthique et de la conformité | Directrice mondiale et avocat général adjoint – Protection des données et confidentialité |