Safe Harbor
Le Safe Harbor, ou la sphère de sécurité, est un ensemble de principes qui permettaient à certaines entreprises américaines — dépendant de l'autorité du département du Commerce des États-Unis, à savoir les principales entreprises sauf les banques et les compagnies d'assurance — de certifier qu'elles respectaient la législation de l'Espace économique européen (EEE) afin d'obtenir l'autorisation de transférer des données personnelles de l'EEE vers les États-Unis.
Origines
La Directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en , interdit le transfert de données personnelles vers des États non membres de l'EEE qui protégeraient les données personnelles à un niveau inférieur à celui de l'EEE. Les États-Unis d'Amérique et l'EEE partagent l'objectif d'améliorer la protection des données de leurs concitoyens, mais n'abordent pas ce thème de la même manière.
Afin de faire la passerelle entre ces deux approches de respect de la vie privée et permettre aux entreprises et organisations américaines de se conformer à la Directive européenne, le département du Commerce des États-Unis, en concertation avec la Commission européenne, a instauré un cadre juridique dénommé Safe Harbor.
Le département du Commerce des États-Unis, en concertation avec l'Administration fédérale suisse chargée de la protection des données, a également instauré le cadre juridique U.S.-Swiss Safe Harbor Framework[1] permettant aux entreprises et organisations américaines de se conformer aux lois suisses de protection des données personnelles.
Principes
- Notification
- Les individus situés dans l'EEE doivent être informés du fait que leurs données sont collectées et de la façon dont ces données vont être utilisées.
- Choix
- Les individus doivent avoir la possibilité de refuser que les données les concernant soient transférées à des tiers ou utilisées dans un but autre que celui auquel la personne a consenti précédemment.
- Transfert à des tiers
- Le transfert de données à de tierces parties ne peut se faire que si elles garantissent le même niveau de respect des principes de protection de données personnelles.
- Sécurité
- L'entreprise prendra les mesures nécessaires pour protéger les informations collectées contre la suppression, le mauvais usage, la divulgation ou l'altération de ces données.
- Intégrité des données
- L'entreprise s'engage à n'utiliser les données collectées que dans le but pour lequel l'utilisateur a donné son accord.
- Accès
- Les individus doivent pouvoir accéder aux informations les concernant et les corriger ou les supprimer s'ils le souhaitent.
- Application
- L'entreprise mettra tout en œuvre pour que ces règles soient effectivement appliquées et contrôlera leur respect.
Certification
Après avoir été certifiée, l'entreprise doit être à nouveau certifiée tous les douze mois. Elle peut contrôler elle-même qu'elle se conforme à ces principes, ou faire appel à un tiers pour effectuer cette évaluation. Ce processus de contrôle exige que les employés l'effectuant soient dûment formés et qu'un dispositif permettant de gérer les éventuels litiges soit mis en place. La Federal Trade Commission contrôle ce programme. En 2009, la Federal Trade Commission a lancé sa première action en justice contre une entreprise californienne (Balls of Kryptonite)[2], accusée d'avoir enfreint les règles du Safe Harbor, et a engagé des procédures transactionnelles avec d'autres.
L'accord Safe Harbor a regroupé jusqu'à presque 4 000 entreprises américaines, dont Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard et Facebook[3][réf. non conforme].
Invalidation
Le , la Cour de justice de l'Union européenne invalide l'accord Safe Harbor (Arrêt de la Cour (grande chambre) du , Maximillian Schrems c/ Data Protection Commissioner, C-362/14)[4]. La Cour considère que les États-Unis n'offrent pas un niveau de protection adéquat aux données personnelles transférées, et rappelle que « la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée » et qu'un État membre doit pouvoir vérifier si les transferts de données personnelles entre cet État et les États-Unis respectent les exigences de la directive européenne sur la protection des données personnelles[5],[6].
En Suisse, bien que non lié par le droit communautaire européen, le Préposé fédéral à la protection des données et à la transparence (PFPDT) indique sur son site dès le que l’accord U.S.-Swiss Safe Harbor Framework ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis[7][réf. non conforme].
La Commission européenne et le gouvernement des États-Unis entament alors des discussions et trouvent, le , un accord politique, qui conduit la Commission européenne à publier un projet de Décision, déclarant une équivalence de protection.
Le G29, Groupe de travail de l'article 29 sur la protection des données, dans un avis du , puis le Contrôleur européen de la protection des données (EDPS en anglais), dans un avis du , estiment que des points majeurs de préoccupation demeurent et que des améliorations significatives sont nécessaires.
Et, le , la version finale du Privacy Shield est approuvée par la plupart des États membres de l'U.E. (à l'exception de l'Autriche, la Croatie, la Slovénie et la Bulgarie) et la Commission adopte la décision d'équivalence le [8][réf. non conforme]. Le Privacy Shield sera lui-même invalidé[9] par la même Cour de justice de l'Union européenne le , pour les mêmes motifs, à la suite d'une nouvelle plainte de Maximillian Schrems.
Notes et références
- « Signature d'un cadre bilatéral pour la protection des données entre la Suisse et les États-Unis ».
- (en) Federal Trade Commission, « Court Halts U.S. Internet Seller Deceptively Posing as UK Home Electronics Site », .
- https://safeharbor.export.gov/list.aspx.
- « La justice européenne invalide le très controversé accord Safe Harbor sur les données personnelles », sur Le Monde, (consulté le ).
- Communiqué de presse de la Cour de justice de l'Union européenne concernant la décision du invalidant l'accord Safe Harbor[PDF].
- Francis Donnat, Droit européen de l'internet : réseaux, données, services, Issy-les-Moulineaux, LGDJ, , 207 p. (ISBN 978-2-275-06118-4), p. 111.
- https://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01320/index.html?lang=fr.
- https://www.cnil.fr/fr/adoption-de-la-decision-dadequation-du-privacy-shield-par-la-commission-europeenne.
- « Arrêt de la Cour de justice dans l'affaire C-311/18 Facebook Ireland et Schrems » [PDF], sur https://curia.europa.eu, (consulté le ).
Liens externes
- (en) Site officiel américain dédié au Safe Harbor
- Directive 95/46/CE du Parlement européen et du Conseil, du , relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Portail du droit
- Portail de la sécurité informatique