Transferts et externalisation de données personnelles : Différence entre versions

De La Quadrature du Net
Aller à la navigationAller à la recherche
(L'Umbrella Agreement)
(Alternatives au Safe Harbor)
 
(8 révisions intermédiaires par 3 utilisateurs non affichées)
Ligne 24 : Ligne 24 :
 
== Privacy Shield ==
 
== Privacy Shield ==
  
Le 29 février 2016 une [http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf version]<ref>Etrangement, la version communiquée par les Etats-Unis diffère substantiellement : https://www.commerce.gov/sites/commerce.gov/files/media/files/2016/eu_us_privacy_shield_full_text.pdf.pdf</ref> proche de ce que devrait être la version finale du [[Le Privacy Shield | Privacy Shield]] a été publiée par la Commission, ainsi que les [http://europa.eu/rapid/press-release_IP-16-433_en.htm "notes"] d'autorités américaines censées prouver l'engagement et le sérieux qui sera mis dans l'application du futur accord.<br>
+
Le Privacy Shield (ou "Bouclier de vie privée" en français) est donc le successeur du Safe Harbor. Cette décision d'adéquation permet elle aussi à des entreprises américaines de certifier qu'elles respectent les standards et les législations en vigueur dans l'Union européeenne en matière de protection des données et de la vie privée.
On reste sur un système où les entreprises s'autocertifient, sans que des contôles soient réellement prévus (''nous analysons le texte en ce moment'').
 
Concernant les mesures contre les entreprises ne respectant pas les droits et obligations impliqués par le Privacy Shield, le § 26, par exemple, fait craindre qu'il soit un accord sans dents : "Les entités qui ont manquer '''avec persistence''' d'appliquer les principes de protection de la vie privée seront retirées de la liste (la ''Privacy Shield List'') des entités appliquant le Privacy Shield". Que veux dire "avec persistence" ? Il semblerait ainsi qu'il soit très difficile pour une entreprise d'être radiée de cette liste publiée sur le site officiel du Department of Commerce américain.
 
  
Le G29, qui regroupe toutes les autorités nationales de protection des données en Europe (en France c'est la CNIL), a rendu son [http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf opinion]<ref>Ainsi que ses documents de travail : http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp237_en.pdf.</ref> sur la version du 29 février du Privacy Shield. Cette opinion est qu'en l'état, le projet d'accord ne protège pas assez les droits fondamentaux des Européens. Cette position concorde avec la position de la société civile<ref>Pour ne citer qu'eux, [https://www.laquadrature.net/fr/lettre-oln-commission-libe-privacy-shield l'Observatoire des Libertés et du Numérique], [https://www.accessnow.org/cms/assets/uploads/2016/03/Priv-Shield-Coalition-LtrMar2016.pdf Access Now, l'EFF] et [http://tacd.org/wp-content/uploads/2016/04/TACD-Resolution_Privacy-Shield_April163.pdf les associations de consommateurs].</ref>, mais pas celle des avocats mandatés pour analyser le projet<ref>http://www.hoganlovells.com/files/Uploads/Documents/Privacy%20Shield%20Legal%20Analysis%20by%20Hogan%20Lovells%20%282016-03-31%29.pdf</ref>.
+
Pour l'analyse de la décision, consultez [https://wiki.laquadrature.net/Privacy_Shield la page du Privacy Shield].
 
 
Le 24 mai, Giovanni Buttarelli le contrôleur européen de la protection des données a indiqué, en présentant son rapport annuel, qu’il avait [http://arstechnica.co.uk/tech-policy/2016/05/eu-data-protection-chief-we-have-serious-concerns-about-privacy-shield/ des « doutes sérieux »] sur l’accord transatlantique. Néanmoins il dit préférer être pro-actif et proposer des solutions. Pour cela il présentera un avis le 30 juin.
 
 
 
== Alternatives au Safe Harbor ==
 
Comme indiqué dans cette [http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf décion du G29], pour l'instant les clauses contractuelles types et les binding corporate rules (BCR) sont l'alternative à favoriser. Mais beintôt elles aussi passeront sous les fourches caudines des autorités nationales de protection des données personnelles.
 
  
 
== L'Umbrella Agreement ==
 
== L'Umbrella Agreement ==
Cet accord-cadre, parfois appelé « Aacord parapluie » en français, a pour objectif de couvrir les échanges de données personnelles entre les services judiciaires et de police de l'Union européenne et les États-Unis  aux fins de la prévention, la recherche, la détection et la poursuite de délits et d'infractions pénales, y compris du terrorisme.  
+
Cet accord-cadre, parfois appelé « Accord parapluie » en français, a pour objectif de couvrir les échanges de données personnelles entre les services judiciaires et de police de l'Union européenne et les États-Unis  aux fins de la prévention, la recherche, la détection et la poursuite de délits et d'infractions pénales, y compris du terrorisme.  
  
 
Le but affiché est donc de faciliter l'application de la loi en matière pénale tout en prévoyant des garanties de la légalité des transferts.  
 
Le but affiché est donc de faciliter l'application de la loi en matière pénale tout en prévoyant des garanties de la légalité des transferts.  
Ligne 42 : Ligne 35 :
 
Cette accord-cadre n'est pas en soi un instrument juridique permettant le transfert de données mais elle vient compléter les garanties de protection des données des accords en vigueur et à venir autorisant les transferts.
 
Cette accord-cadre n'est pas en soi un instrument juridique permettant le transfert de données mais elle vient compléter les garanties de protection des données des accords en vigueur et à venir autorisant les transferts.
  
<br>Les négociations de cet accord entre la Commission européenne et les États-Unis ont débuté le 29 mars 2011<ref>http://europa.eu/rapid/press-release_MEMO-11-203_en.htm?locale=fr</ref> et ont officiellement été finalisées le 8 septembre 2015<ref>http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm</ref>, sans que le texte soit signé. Dans son annonce de la finalisation de l'accord, la Commissaire européenne à la justice, Mme Věra Jourová, a aussi déclaré que l'adoption de cet accord sera rendue possible par l'adoption par les US du Judicial Redress Act (projet de loi visant à accorder aux citoyens d'"états alliés" le droit de porter plainte devant un tribunal américain, au cas où leurs données personnelles seraient utilisées de façon illicite ou abusive lors d'un transfert vers les États-Unis).
+
Les négociations de cet accord entre la Commission européenne et les États-Unis ont débuté le 29 mars 2011<ref>http://europa.eu/rapid/press-release_MEMO-11-203_en.htm?locale=fr</ref> et ont officiellement été finalisées le 8 septembre 2015<ref>http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm</ref>, sans que le texte soit signé. Dans son annonce de la finalisation de l'accord, la Commissaire européenne à la justice, Mme Věra Jourová, a aussi déclaré que l'adoption de cet accord sera rendue possible par l'adoption par les US du Judicial Redress Act (projet de loi visant à accorder aux citoyens d'"états alliés" le droit de porter plainte devant un tribunal américain, au cas où leurs données personnelles seraient utilisées de façon illicite ou abusive lors d'un transfert vers les États-Unis).
  
Le 24 février 2016 Mme Jourová a [http://europa.eu/rapid/press-release_STATEMENT-16-401_en.htm salué] la signature par le Président Obama du [https://www.congress.gov/bill/114th-congress/house-bill/1428/text Judicial Redress Act]. <ref>
+
Le 24 février 2016 Mme Jourová a [http://europa.eu/rapid/press-release_STATEMENT-16-401_en.htm salué] la signature par le Président Obama du [https://www.congress.gov/bill/114th-congress/house-bill/1428/text Judicial Redress Act].  
  
 
Cela a conduit, le 2 juin 2016, à [http://www.consilium.europa.eu/en/press/press-releases/2016/06/02-umbrella-agreement/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Enhanced+data+protection+rights+for+EU+citizens+in+law+enforcement+cooperation+%3a+EU+and+US+sign+%22Umbrella+agreement%22 la signature] de cet accord-cadre (« Umbrella agreement ») par les représentants de l'Union européenne et des États-Unis.  
 
Cela a conduit, le 2 juin 2016, à [http://www.consilium.europa.eu/en/press/press-releases/2016/06/02-umbrella-agreement/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Enhanced+data+protection+rights+for+EU+citizens+in+law+enforcement+cooperation+%3a+EU+and+US+sign+%22Umbrella+agreement%22 la signature] de cet accord-cadre (« Umbrella agreement ») par les représentants de l'Union européenne et des États-Unis.  
Ligne 51 : Ligne 44 :
  
 
Critiques et analyse à suivre ...
 
Critiques et analyse à suivre ...
 
  
 
== Différence entre l'Umbrella Agreement et le Privacy Shield ==
 
== Différence entre l'Umbrella Agreement et le Privacy Shield ==
 
L'Umbrella Agreement se différencie du Privacy Shield en ce qu'il portera sur les données personnelles échangées avec les US pour les activités de la police et de la justice, dans le but de lutter contre la criminalité et le terrorisme, alors que Privacy Shield portera sur les données échangées dans un but commercial (ou associatif).
 
L'Umbrella Agreement se différencie du Privacy Shield en ce qu'il portera sur les données personnelles échangées avec les US pour les activités de la police et de la justice, dans le but de lutter contre la criminalité et le terrorisme, alors que Privacy Shield portera sur les données échangées dans un but commercial (ou associatif).
 +
 +
== Notes ==
 +
<references/>
  
  
 
[[Catégorie: Data Protection‏‎]]
 
[[Catégorie: Data Protection‏‎]]

Version actuelle datée du 17 août 2016 à 17:18


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.



Un transfert de données personnelles (DP) a lieu lorsque le traitement, c'est à dire l'exploitation, de ces données nécessite qu'elles soient envoyées dans un autre pays que celui dans lequel elles ont été collectées.

Qu'est-ce qui distingue l'externalisation du transfert ? Externaliser c'est faire appel à un tiers pour héberger des données personnelles (= sous-traitant informatique). Le recours au cloud computing est donc couvert par cette notion d'externalisation, qui est une tendance importante dans la fourniture de services en ligne.

Une externalisation implique toujours un transfert, mais l'inverse n'est pas systématique.

Principe de légalité[modifier]

Un principe fondamental gouverne les transferts de données personnelles, le principe de légalité.
En application de ce principe, il n'est possible d'exporter des données personnelles vers un pays hors UE que si ce pays dispose de protections équivalentes, ou rendues équivalentes, en la matière. L'encadrement légal du traitement des données personnelles par un pays peut être rendu équivalent à l'encadrement européen par des accords et des clauses contractuelles types.

Safe Harbor & Privacy shield[modifier]

La Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un règlement et une directive) interdit le transfert de données personnelles en dehors des États membres de l'Union Européenne si les pays destinataires ont un régime légal de protection des données personnelles inférieur à celui de l'UE.

Safe Harbor[modifier]

Sur le fondement de l'article 25 (5) et (6) de la Directive 95/46/CE sur la protection des données personnelles (bientôt remplacée par un règlement et une directive) la Commission européenne a instauré avec l'administration américaine un méchanisme appelé le Safe Harbor (ou sphère de sécurité) en 2001 par sa décision 2000/520/CE, dite décision Safe Harbor.

Ce cadre juridique permettait aux entreprises américaines de s'autocertifier conformes avec les règles de protection des données européennes, sans avoir à obtenir une quelconque autorisation préalable d'aucune autorité nationale de protection des données. Cet accord a fait l'objet de vives critiques, notamment parce qu'il n'offrait pas aux résidants de l'Union européenne de réels moyens de saisir une autorité judiciaire ou administrative américaine. L'inégalité de recours entre européens et américains est contraire au droit européen.

Ce dispositif a été invalidé le 6 octobre 2015 par décision de la Cour de Justice de l’Union Européenne dans un arrêt maintenant célèbre, l'arrêt Maximillian Schrems c. Data Protection Commissioner.

Depuis lors, la Commission a eu pour mission de rédiger un nouvel accord avec les Etats-Unis. Cet accord sera le Privacy Shield.

Privacy Shield[modifier]

Le Privacy Shield (ou "Bouclier de vie privée" en français) est donc le successeur du Safe Harbor. Cette décision d'adéquation permet elle aussi à des entreprises américaines de certifier qu'elles respectent les standards et les législations en vigueur dans l'Union européeenne en matière de protection des données et de la vie privée.

Pour l'analyse de la décision, consultez la page du Privacy Shield.

L'Umbrella Agreement[modifier]

Cet accord-cadre, parfois appelé « Accord parapluie » en français, a pour objectif de couvrir les échanges de données personnelles entre les services judiciaires et de police de l'Union européenne et les États-Unis aux fins de la prévention, la recherche, la détection et la poursuite de délits et d'infractions pénales, y compris du terrorisme.

Le but affiché est donc de faciliter l'application de la loi en matière pénale tout en prévoyant des garanties de la légalité des transferts.

Cette accord-cadre n'est pas en soi un instrument juridique permettant le transfert de données mais elle vient compléter les garanties de protection des données des accords en vigueur et à venir autorisant les transferts.

Les négociations de cet accord entre la Commission européenne et les États-Unis ont débuté le 29 mars 2011[1] et ont officiellement été finalisées le 8 septembre 2015[2], sans que le texte soit signé. Dans son annonce de la finalisation de l'accord, la Commissaire européenne à la justice, Mme Věra Jourová, a aussi déclaré que l'adoption de cet accord sera rendue possible par l'adoption par les US du Judicial Redress Act (projet de loi visant à accorder aux citoyens d'"états alliés" le droit de porter plainte devant un tribunal américain, au cas où leurs données personnelles seraient utilisées de façon illicite ou abusive lors d'un transfert vers les États-Unis).

Le 24 février 2016 Mme Jourová a salué la signature par le Président Obama du Judicial Redress Act.

Cela a conduit, le 2 juin 2016, à la signature de cet accord-cadre (« Umbrella agreement ») par les représentants de l'Union européenne et des États-Unis.

Le texte doit encore être validé par le Parlement européen - qui dispose d'un droit de véto sur la question.

Critiques et analyse à suivre ...

Différence entre l'Umbrella Agreement et le Privacy Shield[modifier]

L'Umbrella Agreement se différencie du Privacy Shield en ce qu'il portera sur les données personnelles échangées avec les US pour les activités de la police et de la justice, dans le but de lutter contre la criminalité et le terrorisme, alors que Privacy Shield portera sur les données échangées dans un but commercial (ou associatif).

Notes[modifier]