Les « Safe harbor privacy principles »

Nous avons tous déjà entendu parler de nos données personnelles. Mais ce que nous savons moins c’est que pour des raisons commerciales certaines de nos données collectées en France peuvent être envoyées vers la société mère, qui se trouve par exemple dans un autre pays.

Si au sein de l’Union Européenne et de l’espace économique européen nos données semblent bien protégées, il n’en est pas de même dans les autres pays du monde. En effet très peu de pays offrent aujourd’hui une protection des données personnelles à l’image de la protection mise en place en Europe. Seuls des pays comme le Canada , la Suisse ou encore l’Argentine ont été reconnus par la Commission européenne comme offrant un niveau de protection adéquat autorisant le transfert sans formalité particulière.

L’envoi de données personnelles vers un pays tiers à l’Union européenne et qui n’a pas un niveau de protection adéquat est réglementé par la directive du 24 octobre 1995, transposée en France par la loi informatique et liberté de 1978 et modifiée par la loi du 6 aout 2004. Pour que l’envoi soit alors possible, il faut une autorisation de la CNIL qui se basera sur un contrat de flux-transfrontaliers de données qui aura pour but de conférer au cas par cas un niveau de protection adéquat.

Pour éviter ces formalités et ainsi faciliter les échanges avec les Etats-Unis, et ce pour des raisons purement économiques, des négociations ont été entamées. Dès novembre 1998, la Commission a entamé des négociations avec le département du commerce américain et plus particulièrement avec la « National Information Agency ». Interrompues puis reprises, elles ont finalement donné lieu à la publication par le « US department of commerce » des « safe harbor privacy principles ». Ils constituent une sorte de sphère de sécurité et fonctionnent comme une sorte de label.

Ces principes sont directement issus de la directive de 1995, et contiennent des principes essentiels comme l’information des personnes, la possibilité accordée à la personne concernée de s’opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes, le consentement explicite pour les données sensibles, le droit d’accès ou encore la sécurité du transfert en lui-même.

Ils permettent ainsi de donner le niveau de protection adéquat requis par la Commission européenne à toutes entreprises qui s’y inscrivent. C’est une décision de la Commission européenne en date du 26 juillet 2000 qui donne l’équivalent du niveau de protection adéquat aux entreprises adhérant à la sphère de sécurité. Cette sphère de sécurité inclut les « safe harbor privacy principles » mais aussi les FAQ. Celles-ci sont au nombre de 15. Elles se présentent sous forme d’interprétations de certains termes et ce n’est qu’à condition que les entreprises respectent ces interprétations que le niveau adéquat de protection est effectif.

La démarche pour les entreprises qui veulent s’y inscrire est simple puisqu’il leur suffit d’écrire une lettre informant le département du commerce que l’entreprise rejoint la sphère de sécurité, elle doit déclarer publiquement son adhésion à la « safe harbor ». Elle doit en plus se trouver sous la compétence de la « federal trade commission ». Cette dernière en vertu du « federal trade commission act » est compétente pour toutes les manœuvres et les pratiques déloyales ou frauduleuses dans le domaine du commerce ou de tout autre organisme remplissant une mission analogue. Elle s’est d’ailleurs déclarée compétente pour étudier les plaintes venant d’une personne non résidente aux Etats-Unis.

Cependant la CNIL précise que lors des formalités préalables, les responsables de traitements devront « mentionner l’existence d’un transfert de données vers une société adhérente au « Safe Harbor », devront fournir à la Commission les extraits pertinents de la « Safe Harbor List », disponibles sur ce site. Cette liste permet d’avoir accès aux détails de l’auto-certification de la société adhérente. »

Les « safe harbor privacy principles » et les FAQ qui s’y rapportent sont disponibles sur le site mis en place par le département du commerce américaine et qui visent à aider les entreprises pour l’exportation.

A la suite de la parution de ces principes et de la mise en place de cette sphère de sécurité, les premières critiques ont fusées. En effet, si sur le papier ces principes semblent être une bonne alternative à l’attente d’une législation adéquate, l’effectivité du respect de ces normes s’avère plus douteuse.

En effet, contrairement à la France où la mise en place d’une base de données relève d’une déclaration voir d’une autorisation auprès de la CNIL, l’adhésion à ces principes aux Etats-Unis relève d’une simple déclaration de l’entreprise du respect des « safe harbor privacy principles ». Aucun contrôle n’est réalisé quant à l’effectivité réelle de cette mise en place. Les seules suites ne se font que si un titulaire de données porte plainte auprès de la « federal trade commission »…

Aujourd’hui les Etats-Unis ont adopté plusieurs dispositions visant à protéger les données tant au niveau fédéral que fédéré (notamment l’état de Californie), mais très peu de ces dispositions offrent un réel niveau de protection.

Sous réserve d’entrer dans le champs assez large d’application de la loi canadienne

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Décision n° 2000/520/CE du 26 Juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique.

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:215:0007:0047:FR:PDF

FAQ : « Frequently Asked Questions »

http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list?OpenDocument&Start=1

http://www.export.gov/safeharbor/SH_Privacy.asp

http://www.export.gov/safeharbor/SH_Documents.asp

http://www.export.gov

Anne-Gaëlle LEFEBVRE

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.