Transferts et externalisation de données personnelles : Différence entre versions

De La Quadrature du Net
Aller à la navigationAller à la recherche
Ligne 9 : Ligne 9 :
 
Une externalisation implique toujours un transfert, mais l'inverse n'est pas systématique.
 
Une externalisation implique toujours un transfert, mais l'inverse n'est pas systématique.
 
= Transferts de données personnelles =
 
= Transferts de données personnelles =
 +
== Principe de légalité ==
 +
Un principe fondamental gouverne les transferts de données personnelles, le principe de légalité. <br>En application de ce principe, il n'est possible d'exporter des données personnelles vers un pays hors UE que si ce pays dispose de protections équivalentes, ou rendues équivalentes, en la matière. L'encadrement légal du traitement des données personnelles par un pays peut être rendu équivalent à l'encadrement européen par des accords et des clauses
 
== Safe Harbor & Privacy shield ==
 
== Safe Harbor & Privacy shield ==
 
La Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un [[Synthèse du règlement sur la protection des données | règlement]] et une [[Synthèse de la directive sur les données personnelles | directive]]) interdit le transfert de données personnelles en dehors des États membres de l'Union Européenne si les pays destinataires ont un régime légal de protection des données personnelles inférieur à celui de l'UE.  
 
La Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un [[Synthèse du règlement sur la protection des données | règlement]] et une [[Synthèse de la directive sur les données personnelles | directive]]) interdit le transfert de données personnelles en dehors des États membres de l'Union Européenne si les pays destinataires ont un régime légal de protection des données personnelles inférieur à celui de l'UE.  

Version du 3 mars 2016 à 14:04


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.



Un transfert de données personnelles (DP) a lieu lorsque le traitement, c'est à dire l'exploitation, de ces données nécessite qu'elles soient envoyées dans un autre pays que celui dans lequel elles ont été collectées.

Qu'est-ce qui distingue l'externalisation du transfert ? Externaliser c'est faire appel à un tiers pour héberger des données personnelles (= sous-traitant informatique). Le recours au cloud computing est donc couvert par cette notion d'externalisation, qui est une tendance importante dans la fourniture de services en ligne.

Une externalisation implique toujours un transfert, mais l'inverse n'est pas systématique.

Transferts de données personnelles

Principe de légalité

Un principe fondamental gouverne les transferts de données personnelles, le principe de légalité.
En application de ce principe, il n'est possible d'exporter des données personnelles vers un pays hors UE que si ce pays dispose de protections équivalentes, ou rendues équivalentes, en la matière. L'encadrement légal du traitement des données personnelles par un pays peut être rendu équivalent à l'encadrement européen par des accords et des clauses

Safe Harbor & Privacy shield

La Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un règlement et une directive) interdit le transfert de données personnelles en dehors des États membres de l'Union Européenne si les pays destinataires ont un régime légal de protection des données personnelles inférieur à celui de l'UE.

Safe Harbor

Sur le fondement de la Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un règlement et une directive) la Commission européenne a instauré avec l'administration américaine un méchanisme appelé le Safe Harbor (ou sphère de sécurité) en 2001.

Ce cadre juridique permet aux entreprises américaines de s'autocertifier conformes avec les règles de protection des données européennes, sans avoir à obtenir une quelconque autorisation préalable d'aucune autorité nationale de protection des données.

Ce dispositif a été invalidé le 6 octobre 2015 par décision de la Cour de Justice de l’Union Européenne dans un arrêt maintenant célèbre, l'arrêt Maximillian Schrems c. Data Protection Commissioner.

Depuis lors, la Commission a eu pour mission de rédiger un nouvel accord avec les Etats-Unis. Cet accord sera le Privacy Shield.

Privacy Shield

Le 29 février 2016 une version proche de ce que devrait être la version finale de l'accord a été publiée par la Commission. On reste sur un système où les entreprises s'autocertifient, sans que des contôles soient réellmement prévus (je suis en train d'étudier cet aspect). Concernant les mesures contre les entreprises ne respectant pas les droits et obligations impliquées par le Privacy Shield, le § 26, par exemple, montre qu'il est un accord sans dents : "Organisations that have persistently failed to comply with the Privacy Principles will be removed from the Privacy Shield List" => Que veux dire persistently ? Il semblerait qu'il soit très difficile pour une entreprise d'être radiée de cette liste publiée sur le site officiel du Department of Commerce américain.

Pour suivre l'avancement et les faiblesses déjà apparentes du futur accord, rendez-vous sur ce site .

L'Umbrella Agreement

Externalisation de données personnelles