EEE - Espace Économique Européen

L’Espace économique européen (EEE) est une union économique rassemblant 31 États européens : les 28 États membres de l'Union européenne (UE), et trois des quatre États membres de l’Association européenne de libre-échange (AELE). Le 28^e État membre de l'Union européenne, la Croatie, fait l'objet d'un accord d'application provisoire depuis le 12 avril 2014.

Jusqu'au 1^er janvier 2009, l'Union européenne n'était pas directement partie à l'accord : elle l'était indirectement par la Communauté européenne (CE), celui des piliers composant l’Union européenne qui était partie à l'accord. Depuis la disparition de la structure de l'Union en piliers, l'UE en tant que telle est membre de l'EEE.

L'EEE résulte d'un accord d’association signé en mai 1992 entre les États membres de la Communauté européenne, partie à l’accord conjointement avec chacun de ses États membres, et les États membres de l’AELE. La Suisse ayant refusé par référendum la ratification de ce traité (1992), ne sont concernés que trois pays de l’AELE : l'Islande, la Norvège et le Liechtenstein. Depuis, la Suisse a toutefois signé de nouveaux accords bilatéraux avec l'UE, mais en dehors du champ de l'EEE.

L’accord assure la libre-circulation des marchandises, des services, des capitaux et des personnes (les quatre libertés). Il inclut également des accords encadrant la politique de concurrence, la protection des consommateurs ou l’éducation. Cela est atteint en généralisant l’acquis communautaire dans ces domaines aux membres de l’AELE concernés, en échange d’un droit de consultation lors de la préparation des directives européennes.

En ce qui concerne la protection des données personnelles, la Directive 95/46/CE constitue le texte de référence, au niveau européen. Elle est entrée en vigueur en octobre 1998.

La Directive 95/46/CE interdit le transfert de données personnelles en dehors des États non membres de l'EEE qui protégeraient les données personnelles à un niveau inférieur à celui de l'EEE.

Les États-Unis d'Amérique semblent, en apparence, partager le même objectif d'améliorer la protection des données de leurs concitoyens, mais les États-Unis d'Amérique n'abordent pas du tout ce thème de la même manière :

• PRISM et Cie montre à quel point les données personnelles des concitoyens des États-Unis d'Amérique, comme de n'importe quel citoyen de n'importe quel pays du monde, comme les données de n'importe quelle organisation, gouvernement ou entreprise du monde, sont surveillées, pillées et analysées par les États-Unis d'Amérique à l'insu de tous et en totale contradiction et violation des principes de la Sphère de sécurité (Safe Harbor)).

Afin de faire la passerelle entre ces deux approches de respect de la vie privée et permettre aux entreprises et organisations américaines de se conformer à la Directive européenne, le Département du Commerce des États-Unis, en concertation avec la Commission européenne, a instauré un cadre juridique dénommé Safe Harbor (Sphère de sécurité).

• Le cas de la Suisse est traité séparément (la Suisse a été la seule à ne pas ratifier la convention de Espace économique européen (EEE) à la suite d'un référendum) : le Département du Commerce des États-Unis, en concertation avec l'Administration fédérale suisse chargée de la protection des données, a également instauré le cadre juridique « U.S.-Swiss Safe Harbor Framework » permettant aux entreprises et organisations américaines de se conformer aux lois suisses de protection des données personnelles.

La Sphère de sécurité (Safe Harbor) est un ensemble de " principes " qui, s'ils sont respectés, permettent à des entreprises américaines de collecter des données personnelles (de transférer des données personnelles de l’Espace économique européen (EEE) vers les Etats Unis.).

Les principes de la Sphère de sécurité (Safe Harbor)

• Notification
  Les individus situés dans l'EEE doivent être informés du fait que leurs données sont collectées et de la façon dont ces données vont être utilisées.

• Choix
  Les individus doivent avoir la possibilité de refuser que les données les concernant soient transférées à des tiers ou utilisées dans un but autre que celui auquel la personne a consenti précédemment.

• Transfert à des tiers
  Le transfert de données à de tierces parties ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles

• Sécurité
  L'entreprise prendra les mesures nécessaires pour protéger les informations collectées contre la suppression, le mauvais usage, la divulgation ou l'altération de ces données.

• Intégrité des données
  L'entreprise s'engage à n'utiliser les données collectées que dans le but pour lequel l'utilisateur a donné son accord.

• Accès
  Les individus doivent pouvoir accéder aux informations les concernant, et pouvoir les corriger ou les supprimer s'ils le souhaitent.

• Application
  L'entreprise mettra tout en œuvre pour que ces règles soient effectivement appliquées et contrôlera leur respect.

Les principes de la Sphère de sécurité (Safe Harbor) permettent à certaines entreprises américaines qui certifient protéger les données personnelles de ressortissants de l’Espace économique européen (EEE) selon la directive 95/46/CE, de recevoir ces données personnelles.

Cela ne va pas sans problèmes :

• Certification :
  C'est de l'autocertification ! C'est l'entreprise américaine elle-même qui certifie respecter la directive 95/46/CE (il n'y a pas d'autorité de certification - ces autorités devraient, si elles étaient créées, être européennes, de droit, de structure (capitaux, dirigeants, etc. ...) et d'implantation géographique, sans aucune extra-territorialité et sans filialisations amont ou aval).
  

• La Federal Trade Commission contrôle ce programme de certification. En 2009, la Federal Trade Commission a lancé sa première action en justice contre une entreprise californienne (Balls of Kryptonite)², accusée d'avoir enfreint les règles du Safe Harbour, et a engagé des procédures transactionnelles avec d'autres.

  L'accord Safe Harbor regroupe aujourd'hui environ 4 000 entreprises américaines dont la certification est en cours (liste), dont entre autres Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard et Facebook³

• Renouvellement de la certification :
  Actuellement annuelle et autoproclamée par l'entreprise américaine ! Les renouvellements doivent être conduits dans les mêmes conditions souhaitées que les certifications.

• Droit européen et nationalisme américain :
  Les Américains ont un sens de la nation développé et rejettent tout ce qui pourrait être, de près ou de loin, une atteinte à leur souveraineté. Autrement dit, si l’Espace économique européen (EEE) veut faire joujou avec sa directive 95/46/CE, libre à eux et les Américains peuvent faire semblant de s'y conformer, mais jamais rien de contraignant ne les touchera ni ne les obligera.

Liens :

• Directive 95/46/CE du 24 octobre 1995 du Parlement Européen et du Conseil de l'Europe relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

• Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation " Safe Habor " permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.

  En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.

• Protection des données à caractère personnel

• Directive 2006/24/CE sur la conservation des données

• Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques

• Vie privée et informatique

• Journée européenne de la protection des données

• export.gov - On October 6, 2015, the European Court of Justice issued a judgment declaring as “invalid” the European Commission’s Decision 2000/520/EC of 26 July 2000 “
  

En partie extrait de fr.wikipedia.org.

EEE Espace Économique Européen (recherches avec google)
EEE Espace Économique Européen (recherches avec qwant)