Les principes de la Sphère de sécurité (Safe Harbor) permettent à certaines entreprises américaines de recevoir les données personnelles de ressortissants de l'EEE selon la directive 95/46/CE.

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le transfert de données à caractère personnel vers un pays tiers à l'Union Européenne est, en principe, interdit, sauf si le pays de destination certifie assurer un niveau de protection suffisant (ou « adéquat ») de ces données personnelles.

La Commission Européenne peut constater qu'un État n'appartenant pas à l'Union assure un tel niveau de protection. C'est ce qu'elle a fait, pour les États-Unis, à propos de la « sphère de sécurité » (« safe harbor ») par une décision du 26 juillet 2000.

La Sphère de sécurité (Safe Harbor) est un ensemble de " principes " qui, s'ils sont respectés, permettent à des entreprises américaines de collecter des données personnelles (de transférer des données personnelles de l'Espace économique européen (EEE) vers les Etats Unis.).

Les principes de la Sphère de sécurité (Safe Harbor)

• Notification
  Les individus situés dans l'EEE doivent être informés du fait que leurs données sont collectées et de la façon dont ces données vont être utilisées.
• Choix
  Les individus doivent avoir la possibilité de refuser que les données les concernant soient transférées à des tiers ou utilisées dans un but autre que celui auquel la personne a consenti précédemment.
• Transfert à des tiers
  Le transfert de données à de tierces parties ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles
• Sécurité
  L'entreprise prendra les mesures nécessaires pour protéger les informations collectées contre la suppression, le mauvais usage, la divulgation ou l'altération de ces données.
• Intégrité des données
  L'entreprise s'engage à n'utiliser les données collectées que dans le but pour lequel l'utilisateur a donné son accord.
• Accès
  Les individus doivent pouvoir accéder aux informations les concernant, et pouvoir les corriger ou les supprimer s'ils le souhaitent.
• Application
  L'entreprise mettra tout en œuvre pour que ces règles soient effectivement appliquées et contrôlera leur respect.

Les principes de la Sphère de sécurité (Safe Harbor) permettent à certaines entreprises américaines qui certifient protéger les données personnelles de ressortissants de l'Espace économique européen (EEE) selon la directive 95/46/CE, de recevoir ces données personnelles.

Cela ne va pas sans problèmes :

• Certification :
  C'est de l'auto-certification ! C'est l'entreprise américaine elle-même qui certifie respecter la directive 95/46/CE (il n'y a pas d'autorité de certification - ces autorités devraient, si elles étaient créées, être européennes, de droit, de structure (capitaux, dirrigeants, etc. ...) et d'implantation géographique, sans aucune extra-territorialité et sans filialisations amont ou aval).
  
  

  La Federal Trade Commission contrôle ce programme de certification. En 2009, la Federal Trade Commission a lancé sa première action en justice contre une entreprise californienne (Balls of Kryptonite)², accusée d'avoir enfreint les règles du Safe Harbour, et a engagé des procédures transactionnelles avec d'autres.

  L'accord Safe Harbor regroupe aujourd'hui environ 4 000 entreprises américaines dont la certification est en cours (liste), dont entre autres Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard et Facebook³

• Renouvellement de la certification :
  Actuellement annuelle et auto-proclamée par l'entreprise américaine ! Les renouvellement doivent être conduits dans les mêmes conditions souhaitées que les certifications.
• Droit européen et nationalisme américain :
  Les américains ont un sens de la nation développé et rejettent tout ce qui pourrait être, de près ou de loin, une atteinte à leur souveraineté. Autrement dit, si l'Espace économique européen (EEE) veut faire joujou avec sa directive 95/46/CE, libre à eux et les américains peuvent faire semblant de s'y conformer, mais jamais rien de contraignant ne les touchera ni ne les obligera.

1. ↑ [01] Directive 95/46/CE du 24 octobre 1995 du Parlement Européen et du Conseil de l'Europe relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

2. ↑ [02] Par décision de la Cour de Justice de l'Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d'adéquation " Safe Habor " permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé. En conséquence, il n'est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.

3. ↑ [03] export.gov - On October 6, 2015, the European Court of Justice issued a judgment declaring as “invalid” the European Commission's Decision 2000/520/EC of 26 July 2000 “

4. ↑ Protection des données à caractère personnel

5. ↑ Directive 2006/24/CE sur la conservation des données

6. ↑ Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques

7. ↑ Vie privée et informatique

8. ↑ Journée européenne de la protection des données