Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le transfert de données à caractère personnel vers un pays tiers à l'Union Européenne est, en principe, interdit, sauf si le pays de destination certifie assurer un niveau de protection suffisant (ou « adéquat ») de ces données personnelles.

La Commission Européenne peut constater qu'un État n'appartenant pas à l'Union assure un tel niveau de protection. C'est ce qu'elle a fait, pour les États-Unis, à propos de la « sphère de sécurité » (« safe harbor ») par une décision du 26 juillet 2000.

Invalidation de la « sphère de sécurité » (« safe harbor ») par la Cour de Justice de l'Union européenne

La CJUE a invalidé, par une décision du 6 octobre 2015, la décision par laquelle la Commission Européenne avait constaté que les États-Unis assuraient un niveau de protection suffisant des données à caractère personnel transférées à des demandeurs des États-Unis. Il est désormais interdit de transférer des données à caractère personnelle des ressortisssants de l'EEE vers les États-Unis. Cet arrêt est majeur pour la protection des données personnelles des ressortissants de l'EEE.



La Sphère de sécurité (Safe Harbor) est un ensemble de " principes " qui, s'ils sont respectés, permettent à des entreprises américaines de collecter des données personnelles (de transférer des données personnelles de l'Espace économique européen (EEE) vers les Etats Unis.).

Les principes de la Sphère de sécurité (Safe Harbor)

  • Notification
    Les individus situés dans l'EEE doivent être informés du fait que leurs données sont collectées et de la façon dont ces données vont être utilisées.
  • Choix
    Les individus doivent avoir la possibilité de refuser que les données les concernant soient transférées à des tiers ou utilisées dans un but autre que celui auquel la personne a consenti précédemment.
  • Transfert à des tiers
    Le transfert de données à de tierces parties ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles
  • Sécurité
    L'entreprise prendra les mesures nécessaires pour protéger les informations collectées contre la suppression, le mauvais usage, la divulgation ou l'altération de ces données.
  • Intégrité des données
    L'entreprise s'engage à n'utiliser les données collectées que dans le but pour lequel l'utilisateur a donné son accord.
  • Accès
    Les individus doivent pouvoir accéder aux informations les concernant, et pouvoir les corriger ou les supprimer s'ils le souhaitent.
  • Application
    L'entreprise mettra tout en œuvre pour que ces règles soient effectivement appliquées et contrôlera leur respect.



Les principes de la Sphère de sécurité (Safe Harbor) permettent à certaines entreprises américaines qui certifient protéger les données personnelles de ressortissants de l'Espace économique européen (EEE) selon la directive 95/46/CE, de recevoir ces données personnelles.

Cela ne va pas sans problèmes :

  • Certification :
    C'est de l'auto-certification ! C'est l'entreprise américaine elle-même qui certifie respecter la directive 95/46/CE (il n'y a pas d'autorité de certification - ces autorités devraient, si elles étaient créées, être européennes, de droit, de structure (capitaux, dirrigeants, etc. ...) et d'implantation géographique, sans aucune extra-territorialité et sans filialisations amont ou aval).

    La Federal Trade Commission contrôle ce programme de certification. En 2009, la Federal Trade Commission a lancé sa première action en justice contre une entreprise californienne (Balls of Kryptonite)2, accusée d'avoir enfreint les règles du Safe Harbour, et a engagé des procédures transactionnelles avec d'autres.

    L'accord Safe Harbor regroupe aujourd'hui environ 4 000 entreprises américaines dont la certification est en cours (liste), dont entre autres Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard et Facebook3

  • Renouvellement de la certification :
    Actuellement annuelle et auto-proclamée par l'entreprise américaine ! Les renouvellement doivent être conduits dans les mêmes conditions souhaitées que les certifications.
  • Droit européen et nationalisme américain :
    Les américains ont un sens de la nation développé et rejettent tout ce qui pourrait être, de près ou de loin, une atteinte à leur souveraineté. Autrement dit, si l'Espace économique européen (EEE) veut faire joujou avec sa directive 95/46/CE, libre à eux et les américains peuvent faire semblant de s'y conformer, mais jamais rien de contraignant ne les touchera ni ne les obligera.



  • Sphère de sécurité (Safe Harbor) - directive 95/46/CE