Transferts et externalisation de données personnelles : Différence entre versions
(→L'Umbrella Agreement) |
|||
| Ligne 40 : | Ligne 40 : | ||
* établir une durée de conservation des données collectées. | * établir une durée de conservation des données collectées. | ||
| − | <br> Le 24 février 2016 la commissaire européenne à la justice, Věra Jourová, a [http://europa.eu/rapid/press-release_STATEMENT-16-401_en.htm salué] la signature par le Président Obama du [https://www.congress.gov/bill/114th-congress/house-bill/1428/text Judicial Redress Act]. Cette loi américaine a pour ambition d'offrir aux ressortissants d'''états alliés'' les mêmes voies de recours que celles dont disposent les citoyens US | + | <br>Le 24 février 2016 la commissaire européenne à la justice, Věra Jourová, a [http://europa.eu/rapid/press-release_STATEMENT-16-401_en.htm salué] la signature par le Président Obama du [https://www.congress.gov/bill/114th-congress/house-bill/1428/text Judicial Redress Act]. Cette loi américaine a pour ambition d'offrir aux ressortissants d'''états alliés'' les mêmes voies de recours que celles dont disposent les citoyens US en matière : |
| + | * de prévention, d'investigation, de détection ou de poursuite de crimes ; | ||
| + | * commerciale (sauf si des politiques de transfer de données personnelles à but commercial portent atteinte à la sécurité nationale des Etats-Unis - Section 2 (d)(1)(C)). | ||
Version du 4 mars 2016 à 17:33
Cette page présente un contenu en cours de réalisation.
Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.
Un transfert de données personnelles (DP) a lieu lorsque le traitement, c'est à dire l'exploitation, de ces données nécessite qu'elles soient envoyées dans un autre pays que celui dans lequel elles ont été collectées.
Qu'est-ce qui distingue l'externalisation du transfert ? Externaliser c'est faire appel à un tiers pour héberger des données personnelles (= sous-traitant informatique). Le recours au cloud computing est donc couvert par cette notion d'externalisation, qui est une tendance importante dans la fourniture de services en ligne.
Une externalisation implique toujours un transfert, mais l'inverse n'est pas systématique.
Sommaire
Transferts de données personnelles
Principe de légalité
Un principe fondamental gouverne les transferts de données personnelles, le principe de légalité.
En application de ce principe, il n'est possible d'exporter des données personnelles vers un pays hors UE que si ce pays dispose de protections équivalentes, ou rendues équivalentes, en la matière. L'encadrement légal du traitement des données personnelles par un pays peut être rendu équivalent à l'encadrement européen par des accords et des clauses contractuelles types.
Safe Harbor & Privacy shield
La Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un règlement et une directive) interdit le transfert de données personnelles en dehors des États membres de l'Union Européenne si les pays destinataires ont un régime légal de protection des données personnelles inférieur à celui de l'UE.
Safe Harbor
Sur le fondement de la Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un règlement et une directive) la Commission européenne a instauré avec l'administration américaine un méchanisme appelé le Safe Harbor (ou sphère de sécurité) en 2001 par sa décision 2000/520/CE, dite décision Safe Harbor.
Ce cadre juridique permettait aux entreprises américaines de s'autocertifier conformes avec les règles de protection des données européennes, sans avoir à obtenir une quelconque autorisation préalable d'aucune autorité nationale de protection des données. Cet accord a fait l'objet de vives critiques, notamment parce qu'il n'offrait pas aux résidants de l'Union européenne de réels moyens de saisir une autorité judiciaire ou administrative américaine. L'inégalité de recours entre européens et américains est contraire au droit européen.
Ce dispositif a été invalidé le 6 octobre 2015 par décision de la Cour de Justice de l’Union Européenne dans un arrêt maintenant célèbre, l'arrêt Maximillian Schrems c. Data Protection Commissioner.
Depuis lors, la Commission a eu pour mission de rédiger un nouvel accord avec les Etats-Unis. Cet accord sera le Privacy Shield.
Privacy Shield
Le 29 février 2016 une version proche de ce que devrait être la version finale de l'accord a été publiée par la Commission, ainsi que les "notes" d'autorités américaines censées prouver l'engagement et le sérieux qui sera mis dans l'application du futur accord.
On reste sur un système où les entreprises s'autocertifient, sans que des contôles soient réellement prévus (nous analysons le texte en ce moment).
Concernant les mesures contre les entreprises ne respectant pas les droits et obligations impliqués par le Privacy Shield, le § 26, par exemple, fait craindre qu'il soit un accord sans dents : "Les entités qui ont manquer avec persistence d'appliquer les principes de protection de la vie privée seront retirées de la liste (la Privacy Shield List) des entités appliquant le Privacy Shield". Que veux dire "avec persistence" ? Il semblerait ainsi qu'il soit très difficile pour une entreprise d'être radiée de cette liste publiée sur le site officiel du Department of Commerce américain.
Pour suivre l'avancement et les faiblesses déjà apparentes du futur accord, rendez-vous sur ce site .
L'Umbrella Agreement
Cet accord est parfois appelé « Accord parapluie » en français, qui est la traduction littérale de l'expression anglaise.
Il s'agit d'un accord en négociation (depuis 2010) entre l'Union européenne et les États-Unis. Le but de cet accord sera d'assurer un haut niveau de protection des données personnelles et de coopération entre l'Union européenne et les États-Unis dans le cadre de la prévention, l'investigation et la détection de la criminalité par les services de police et l'application des sanctions par les services de justice.
Cet accord vise également à
- assurer un droit de recours effectif à l'utilisateur ;
- encadrer plus strictement les finalités et les modalités des transfert ;
- établir une durée de conservation des données collectées.
Le 24 février 2016 la commissaire européenne à la justice, Věra Jourová, a salué la signature par le Président Obama du Judicial Redress Act. Cette loi américaine a pour ambition d'offrir aux ressortissants d'états alliés les mêmes voies de recours que celles dont disposent les citoyens US en matière :
- de prévention, d'investigation, de détection ou de poursuite de crimes ;
- commerciale (sauf si des politiques de transfer de données personnelles à but commercial portent atteinte à la sécurité nationale des Etats-Unis - Section 2 (d)(1)(C)).
Différence avec le Privacy Shield
L'Umbrella Agreement se différencie du Privacy Shield en ce qu'il portera sur les données personnelles échangées avec les US pour les activités de la police et de la justice, dans le but de lutter contre la criminalité et le terrorisme, alors que Privacy Shield portera sur les données échangées dans un but commercial (ou associatif).
