- Safe Harbor
-
Les principes de la Sphère de sécurité (Safe Harbor) permettent à une entreprise américaine de certifier qu'elle respecte la législation de l'Espace économique européen (EEE) afin d'obtenir l'autorisation de transférer des données personnelles de l'EEE vers les Etats-Unis.
Sommaire
Origines
La Directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998, interdit le transfert de données personnelles en dehors des États non membres de l'EEE qui protégeraient les données personnelles à un niveau inférieur à celui de l'EEE. Les États-Unis d'Amérique et l'EEE partagent l'objectif d'améliorer la protection des données de leurs concitoyens, mais n'abordent pas ce thème de la même manière.
Afin de faire la passerelle entre ces deux approches de respect de la vie privée et permettre aux entreprises et organisations américaines de se conformer à la Directive européenne, le Département du Commerce des États-Unis, en concertation avec la Commission Européenne, a instauré un cadre juridique dénommé "Safe Harbor" (Sphère de sécurité).
Le Département du Commerce des États-Unis, en concertation avec l'Administration fédérale suisse chargée de la protection des données, a également instauré un cadre juridique permettant aux entreprises et organisations américaines de se conformer aux lois suisses de protection des données personnelles.
Principes
- Notification - Les individus situés dans l'EEE doivent être informés du fait que leurs données sont collectées et de la façon dont ces données vont être utilisées.
- Choix - Les individus doivent avoir la possibilité de refuser que les données les concernant soient transférées à des tiers ou utilisées dans un but autre que celui auquel la personne a consenti précédemment.
- Transfert à des tiers - Le transfert de données à des tiers parties ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles
- Sécurité - L'entreprise prendra les mesures nécessaires pour protéger les informations collectées contre la suppression, le mauvais usage, la divulgation ou l'altération de ces données.
- Intégrité des données - L'entreprise s'engage à n'utiliser les données collectées que dans le but pour lequel l'utilisateur a donné son accord.
- Accès - Les individus doivent pouvoir accéder aux informations les concernant, et pouvoir les corriger ou les supprimer s'ils le souhaitent.
- Application - L'entreprise mettra tout en œuvre pour que ces règles soient effectivement appliquées et contrôlera leur respect.
Certification
Après avoir été certifiée, l'entreprise ou doit être à nouveau certifiée tous les 12 mois. Elle peut soit contrôler elle-même qu'elle se conforme à ces principes, ou faire appel à un tiers pour effectuer cette évaluation. Ce processus de contrôle exige que les employés l'effectuant soient dûment formés et qu'un dispositif permettant de gérer les éventuels litiges soit mis en place. La Federal Trade Commission contrôle ce programme. En 2009, la Federal Trade Commission a lancé sa première action en justice contre une entreprise californienne (Balls of Kryptonite)[1], accusée d'avoir enfreint les règles du Safe Harbour, et a engagé des procédures transactionnelles avec d'autres.
Plus de mille entreprises américaines ont adhéré à l'accord Safe Harbor, dont entre autres Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard et Facebook.
Liens externes
- Site officiel américain dédié au Safe Harbor (en anglais)
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Notes et références
- Federal Trade Commission, « Court Halts U.S. Internet Seller Deceptively Posing as U.K. Home Electronics Site », 2009
Wikimedia Foundation. 2010.