Le droit d'auteur et le droit à l'image

Le privacy shield

Invalidation de la certification Safe HarborFondamental

Un arrêt de la CJUE du 6 octobre 2015 a conduit à l'invalidation du programme Safe Harbor qui permettait de traiter le transfert de données à caractère personnel à destination d'entités américaines.

Un peu d'histoire ; le texte de référence : La directive 95/46/CEFondamental

« La directive 95/46/CE du Parlement européen et du Conseil (4) vise à harmoniser la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et à assurer le libre flux des données à caractère personnel entre les États membres. »

Le fondement du processus : la notion de niveau de protection adéquat - Article 25 de la directive 95/46Fondamental

« Article 25 »

« Principes »

« 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. »

« 2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. »

« 3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2. »

« 4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause. »

« 5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4. »

« 6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes. »

« Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

Les processus prévus par la directive 95/46Fondamental

Plusieurs processus pour s'assurer du niveau de protection adéquat :

  • Mettre en œuvre les procédures pour obtenir l'autorisation du transfert par la CNIL,

  • Prévoir des clauses contractuelles spécifiques relatives au transfert des données dans le contrat signé entre le responsable du traitement et le destinataire tiers - des clauses contractuelles type ont d'ailleurs été proposées par l'instance regroupant les CNIL européennes - le G29,

  • S'assurer que l'entreprise destinataire des données, si américaine, avait adhéré au Safe Harbor.

Le Safe HarborFondamental

La commission européenne via la décision N° 520/2000/CE a autorisé les entreprises américaines à s'auto-déclarer et à s'auto-certifier auprès des autorités américaines, afin d'apporter la garantie qu'elles se conformaient au«  niveau de protection adéquat exigé en Europe ». Cette décision prise au début des années 2000 permettait de répondre à l'extraordinaire essor de l'environnement numérique (hébergeurs, plateformes, prestataires de cloud), autrement dit tout reposait sur la notion de confiance.

Fondamental

Ce principe a fonctionné pendant 15 ans,  le chiffre de 4000 entreprises américaines est avancé, entreprises qui ont ainsi collecté, traité des données à caractère personnel de ressortissants européens. L'arrêt du 16 octobre 2015 a brutalement mis un terme à cette pratique.

le Privacy ShieldFondamental

Le Privacy Shield, mesure très attendue depuis le 16 octobre 2015, date de l'invalidation du Safe Harbor. En effet, pour de nombreux acteurs la question suivante se posait : comment gérer les transferts existants vers les entreprises américaines ?

Le Privacy Shield a donc a été adopté le 12 juillet 2016 par la Commission Européenne. Le privacy shield repose sur un système de certification, « BOUCLIER DE PROTECTION DES DONNÉES UE-ÉTATS-UNIS », uniquement réservé aux organisations établies aux Etats-Unis recevant des données personnelles en provenance de l'Union Européenne.

Le processus adoptéFondamental

Les entreprises américaines doivent s'enregistrer auprès du Département du Commerce. Pour ce faire, elles doivent :

  • S'assurer qu'elles remplissent les conditions pour obtenir la certification,

  • Avoir mis en place une politique de confidentialité,

  • Identifier le processus à suivre en cas de recours d'un tiers, soit par la désignation d'un service d'arbitrage basé aux USA ou soit par l'élaboration préalable d'un accord de coopération avec les autorités européennes,

  • Désigner un contact Privacy Shield - délai de réponse à une plainte : 45 jours,

  • Identifier les mécanismes mis en oeuvre pour vérifier la conformité de tous les processus,

  • Payer la redevance  annuelle auprès du département américain du commerce (de 250 dollars pour les entreprises dont le chiffre d'affaire est inférieur à 5 millions de dollars à 3250 euros pour celles dont le chiffre d'affaires est supérieur à 5 millions de dollars).

Le département du commerce américain a débuté la mise en œuvre du processus de certification à partir du 1er août 2016.

L'information aux personnesFondamental

Toute organisation doit informer les personnes sur le fait qu'elle participe bien au bouclier de protection en posant un lien vers le site du département du commerce amercain - ce site permet d'accéder au répertoire des entreprises enregistrées et certifiées par le département du commerce.

Les exceptionsFondamental

  • Les fournisseurs d'accès Internet (FAI), les sociétés de télécommunications ne sont pas soumis aux principes du bouclier de protection des données lorsqu'ils se limitent à transmettre, acheminer, remplacer ou masquer des informations pour le compte d'un autre organisme. Notion de responsabilité secondaire.

  • Les établissements bancaires qui font notamment l'objet d'audits.

Guide Privacy ShieldComplément

En complément : Guide mis à la disposition des internautes par la Commission Européenne pour mieux comprendre le Privacy Shield

Paternité - Pas d'Utilisation Commerciale - Pas de ModificationRéalisé avec Scenari (nouvelle fenêtre)