Confidentialité des données - Safe Harbor

Écrit par Frédéric Simonet.

Pour apaiser l'inquiétude européenne à propos du respect de la protection des données, les Etats-Unis proposent depuis 1998 un système de protection des données, qualifié habituellement de "Safe Harbor Principles", associant le département du commerce américain et la Commission européenne.

Source : Les Safe Harbor Principles - Une protection adéquate ?
Année : 2000

Principes du Safe Harbor

L'opérateur doit indiquer ses règles de confidentialités

Les organisations souscrivant aux principes du Safe Harbor doivent divulguer leurs règles de confidentialité et relever de la compétence de la Commission fédérale du commerce en vertu des dispositions du « Federal Trade Commission Act » qui interdit les manœuvres et les pratiques déloyales ou frauduleuses dans le domaine du commerce ou de tout autre organisme remplissant une mission analogue.

Sanction des pratiques déloyales. Réparation des préjudices

Il est considéré que les "principes internationaux de la sphère de sécurité relatifs à la protection de la vie privée" assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union européenne vers des organisations établies aux Etats-Unis si et dans la mesure où les conditions suivantes sont réunies en ce qui concerne les données à transférer :

  • L’organisation destinataire des données s’est clairement et publiquement engagée à observer les principes du Safe Harbor.
  • L’organisation est soumise aux pouvoirs légaux d’un organisme public habilité à instruire les plaintes et à obtenir des mesures de redressement contre les pratiques déloyales ou frauduleuses ainsi que la réparation des préjudices subis par les personnes concernées, quels que soient leur pays de résidence ou leur nationalité, en cas de non respect des principes ».

La commission européenne s'implique en amont

Les transferts de données à caractère personnel vers un pays tiers n’ont lieu que si le pays en question assure un niveau de protection requis. Le niveau de protection requis est contrôlé en amont par La Commission européenne de façon à ce que les Etats membres puissent transférer leurs données sans que des garanties supplémentaires soient nécessaires. Cela permet aussi de simplifier les procédures que doivent suivre les responsables des traitements de données qui envisagent de transférer des données vers des pays tiers.

Le niveau de protection des données s’apprécie au regard des circonstances relatives à un transfert de données et il est tenu compte, en particulier, des règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.

Évolution permanente du Safe Habor depuis 1998

Suite aux négociations ininterrompues depuis 1998 entre la Commission européenne et les Etats-Unis, la position américaine a largement évolué. Le Department of Commerce du gouvernement américain a publié diverses versions des Safe Harbor Principles ou, selon la traduction française, des « principes internationaux de la sphère de sécurité relatifs à la protection de la vie privée », qui visent à assurer la protection des données à caractère personnel transférées d’un Etat membre européen vers les Etats-Unis.

Les Safe Harbor Principles ne concernent pas les données « purement américaines », c'est-à-dire celles collectées auprès de citoyens américains aux Etats-Unis, et donc non protégées à l'origine par la Directive.

Limites du Safe Habor

On peut regretter la non uniformité des règles en vigueur (liée à l'origine des données), ce qui entraîne des risques de méconnaissance des règles du Safe Harbor au sein des organisations américaines.

Ainsi, la race est considérée comme donnée sensible au sens du Safe Harbor et non du point de vue de la législation américaine.

On peut donc craindre qu’un employeur américain ne range pas spontanément la race comme donnée sensible. En d'autres termes, le fait que le Safe Harbor soit une législation d'exception laisse craindre une moindre effectivité des règles y contenues.