Les inscriptions au club Privacy Shield sont ouvertes.
Depuis ce lundi 1er août 2016, les entreprises américaines qui souhaitent transférer des données à caractère personnel de l’Europe vers les États-Unis peuvent adhérer à ce dispositif qui succède au Safe Harbor, invalidé le 6 octobre dernier par la Cour de justice de l’Union européenne.
Le texte, adopté le 12 juillet et publié aujourd’hui au Journal officiel de l’UE, résulte d’une « décision d’adéquation » par laquelle les 28 États membres – auxquels s’ajoutent la Norvège, l’Islande et le Liechtenstein – reconnaissent que les U.S.A. assurent un niveau de protection suffisant des données personnelles.
L’adhésion au Privacy Shield est soumise à une « autocertification » en ligne. Les sociétés doivent s’engager à respecter une série de principes de protection de la vie privée publiés par le ministère américain du Commerce (DoC).
Parmi ces principes, l’obligation de fournir aux personnes concernées des informations sur un certain nombre d’éléments essentiels en rapport avec le traitement de leurs données à caractère personnel : nature des informations recueillies, finalité du traitement, droits d’accès et de choix, etc. L’entreprise est également tenue de rendre publique sa politique de gestion de la vie privée.
En vertu du principe « Intégrité des données et limitation des finalités », les données doivent se limiter à « ce qui est pertinent au fins du traitement » et « être fiables par rapport à l’utilisation prévue ». Elles ne peuvent par ailleurs être conservées sous une forme permettant d’identifier une personne « aussi longtemps que leur utilisation est conforme à la ou aux finalités pour lesquelles elles ont été initialement collectées ».
Il existe des exceptions, comme pour les médias, le secteur médical, les données exploitées à des fins de gestion de ressources humaines et les informations relatives aux voyageurs (réservations d’hôtels, billets des compagnies aériennes… confer ce document pour davantage de renseignements).
Pour pouvoir « s’autocertifier », une entreprise doit accepter que ses pratiques puissent être contrôlées par une juridiction compétente ; généralement la Federal Trade Commission, mais pas pour tous les secteurs – pat exemple, les institutions financières, les télécoms et les transports.
Dans tous les cas, l’entreprise doit afficher en ligne sa politique « Privacy Shield ». À défaut d’une présence sur Internet, elle doit définir une adresse où le document est consultable par le public. Il lui faut aussi définir un « référent » qui répondra, sous 45 jours, aux demandes d’individus dénonçant une exploitation illicite de leurs données.
Sur ce dernier point, les litiges non résolus devront passer par un médiateur ( « Ombudsperson ») qui officie au sein du département d’État américain, « en toute indépendance » vis-à-vis des services de renseignement.
Des voix se sont élevées contre ce mécanisme défini dans le principe « Voie de recours, application et responsabilité ». D’autant plus que l’administration U.S. se laisse de la marge : le Privacy Shield peut être mis entre parenthèses pour des raisons de sécurité nationale, d’intérêt public ou en cas de demande urgente de la part des forces de l’ordre.
Sur place, le ministère de la Justice prévoit de dresser une liste des entreprises « autocertifiées ». Pour celles qui sortiront de la boucle, il faudra continuer à appliquer le Privacy Shield aux données déjà collectées, ce tout au long de leur durée de conservation, sauf à les restituer, les supprimer… ou proposer « une protection adéquate » par d’autres moyens.
Si les grands acteurs américains du numérique, regroupés au sein d’associations comme DigitalEurope (Google, Amazon, HPE, Microsoft…) se sont globalement satisfaits du texte, les défenseurs des libertés civiles évoquent un « Safe Harbor 1.1 » examiné « dans la précipitation ».
Les CNIL européennes, plusieurs gouvernements et le Parlement à Strasbourg ont exprimé des inquiétudes, notamment sur le fait que les États-Unis font le distinguo entre « collectes massives » et « surveillance massive »…
Crédit photo : GrAl – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…