Mardi 6 octobre, la Cour de justice de l’Union européenne aura rendu sa décision à propos de la validité ou non du Safe Harbor, ou Sphère de sécurité, qui permet aux entreprises américaines de certifier qu’elles respectent la législation de l’Espace Economique Européen lors de l’exploitation et du transfert de données personnelles vers les Etats-Unis. L’objectif est de renforcer le cadre autour de la protection des flux et du stockage de données.
Sur son site, la Cnil précise que les principes du Safe Harbor sont basés sur ceux de la Directive 95/46 du 24 octobre 1995. Il s’agit d’assurer l’information des personnes concernées, d’accorder à la personne concernée de s’opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes. Il s’agit du consentement explicite des personnes pour le recueil de données sensibles, du droit d’accès, de rectification, finalement de la sécurité.
Le Safe Harbor permet donc d’assurer une protection adéquate pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis.
Il va falloir vérifier certaines informations
Cela pourrait avoir comme conséquence d’interdire à bon nombre d’entreprises américaines d’importer des données d’Europe si elles se montrent trop « légères » sur ces points. A ce jour, l’une des seules certifications qui respecterait les exigences européennes pour les entreprises basées aux Etats-Unis seraient les Binding Corporate Rules (BCR), ou règles internes d’entreprise, qui portent à la fois sur les données personnelles traitées directement par l’entreprise (responsable traitements de données) ainsi que sur les données que l’entreprise gère pour le compte de ses clients (sous-traitant de données).
Par l’intermédiaire de Paul Appleby, Executive Vice-President Wordwide Sales & Marketing, BMC, entreprise récemment certifiée par les BCR, a donné son point de vue sur ce contexte qui pourrait amener des changements forts :
« Le contexte d’attaques répétées ayant entraîné la fuite massive de données personnelles a instauré un climat de défiance dans la manière dont les entreprises assurent la sécurité de leurs flux et stockage. Les inquiétudes autour de la protection des données sont de plus en plus présentes dans les débats et il est dommage de constater que nombre d’entreprises et institutions n’émettent pas la volonté de renforcer un cadre sécuritaire en place depuis plus de 15 ans, alors que nous sommes plus que jamais dans un univers dont les lignes bougent à un rythme accéléré ! Il y a là un manque de cohérence et une évolution à deux vitesses qui pourrait être corrigée simplement en se conformant à des certifications qui existent déjà (BCR, …). Cela pourrait également réinstaurer la confiance des consommateurs, un bénéfice non négligeable pour le business des entreprises concernées. Nous sommes à l’aube de pouvoir tirer les choses par le haut, sur le long terme, ne la manquons pas par peur de quelques complications à court et moyen terme ! »
puis