mercredi 2 novembre 2016

Rapports commerciaux Union européenne-USA, protection des données

 Les rapports commerciaux entre l'Union Européenne et les États-Unis sont une réalité.
Cela se manifeste par des échanges ou transactions qui impliquent la collecte et l'utilisation de données à caractère personnel (nom, numéro de téléphone, date de naissance, numéro de carte de crédit, domicile, sexe, situation matrimoniale).
Somme toute, la collecte de tout type d'information permettant une identification personnelle et précise de l'individu reste un fait dans la plupart des rapports commerciaux UE/ USA.
Des données qui migrent d'un point à un autre souffrent d'un risque énorme de volatilité et de sécurité incertaine. 
Comment protéger ces données personnelles collectées ?
 

Depuis le 1er Aout 2016, un nouveau cadre de protection des droits fondamentaux des citoyens de l'UE dont les données personnelles sont transférées vers les États-Unis a été mis en place.

Ce nouveau cadre négocié entre l’Union européenne et les Etats-Unis remplace ainsi le Safe Harbour .

Notons, à toute fin utile, que la protection des données est un droit qui s'applique indépendamment de la question de savoir qu'on est ou non citoyen de l'UE.
Ce nouveau mécanisme de protection des données collectées, s'appelle le bouclier de protection des données.

Le fonctionnement de ce mécanisme appelle des conditions, à savoir par exemple l'adhésion stricto sensu des entreprises américaines à ce système auprès de leur ministère du commerce. Et au niveau de l'UE, parlant notamment de la France, toute entreprise établie en France désireuse transférer des données vers les USA, doit impérativement effectuer une déclaration en renseignant son annexe transfert.

A cette occasion, elles pourront choisir de cocher la case « Privacy shield » parmi la liste des garanties encadrant le transfert des données, après avoir vérifié que l’entreprise destinataire des données est effectivement enregistrée comme telle auprès de l’administration américaine. 

Le '' Privacy Principles'' est le cadre directeur des principes de protections de la vie privée.
Aussi, toute entreprise désirant cette certification,  doit à la base avoir une politique de protection de la vie privée conforme aux principes de protection de la vie privée. C'est d'ailleurs, le  ministère du commerce américain qui gère et administre ce bouclier et veille également à ce que les entreprises respectent leur engagement. 
Le bouclier de protection des données ouvre un certain nombre de droits aux individus :
  •     le droit par exemple d’être informé sur le type de données collectées et l'intention pour l'entreprise américaine de transférer vos données
  •     le droit pour l'individu, d’être  informer sur la façon dont elle peut contacter l'entreprise en cas de conflit relatif à l'utilisation de ses données à caractère personnel; par ailleurs, l'entreprise doit fournir un lien vers sa politique de confidentialité.
  •     le droit à la sécurité des données, l'entreprise doit sans équivoque assurer la protection des données si transfert de données vers une autre société (cas des filiales et des sociétés mère).
  •     le droit d'accès aux  données personnelles et la possibilité de les rectifier.
  •     le droit d'introduire une réclamation et d'en obtenir réparation à titre gratuit si l'entreprise ne respectait pas les règles du bouclier et violait ainsi son obligation de protection.

L'opérabilité de ce mécanisme peut être difficile dans son applicabilité.

Aussi, est-il toujours possible, de recourir aux autres garanties prévues par la règlementation européenne pour transférer des données en dehors de l’Union européenne, à savoir :
  •     la signature de clauses contractuelles rédigées sur les modèles de clauses adoptées par la Commission européenne
  •     l’adoption de règles d’entreprises contraignantes (« Binding corporate rules» ou BCR). Le Binding Corporate Rules est un code de conduite qui définit la politique d'une entreprise en matière de transfert de données personnelles. ( Source CNIL).

 

Sources

1) "Lancement du bouclier de protection des données UE-EU". Commission européenne - Actualité du 12/07/2010, consulté le 02/11/2016.

http://ec.europa.eu/news/2016/07/20160712_fr.htm


2) "Protéger les données personnelles, accompagner l'innovation, preserver les libertés individuelles". CNIL: Le Privacy Shield, 01/09/2016. Consulté le 02/11/2016.

https://www.cnil.fr/fr/le-privacy-shield

3)Privacy Shield overview. EU-US.
Consulté le 02/11/2016

https://www.privacyshield.gov/list
 

Pour aller plus loin

Le Safe Harbor, Commission nationale de l'informatique et des libertés, (CNIL).
consulté le 02/11/2016.

https://www.cnil.fr/sites/default/files/typo/document/CNIL-transferts-SAFE_HARBOR.pdf


Aucun commentaire:

Enregistrer un commentaire