En ce moment En ce moment

La gestion des données par les entreprises après Safe Harbour : point de vue d'un avocat

Publié par le | Mis à jour le
La gestion des données par les entreprises après Safe Harbour : point de vue d'un avocat

L'invalidation du Safe Harbour américain par la CJUE le 6 octobre 2015 constitue un coup d'arrêt aux transferts massifs et indifférenciés de données personnelles vers les États-Unis. Quelques conseils à destination des entreprises, notamment de leurs CFO, à la croisée du juridique et de l'IT.

  • Imprimer

A l'heure où le numérique bat son plein et surfe parfois sur des vides juridiques, on assiste à un transfert massif et indifférencié, pour ne pas dire sauvage, de données personnelles de l'Europe vers les serveurs américains des géants du web devenus aujourd'hui incontournables : Google peut revendiquer chaque jour près de 8.64 milliards de recherches, Facebook 4.75 milliards de contenus partagés. L'individu, par l'utilisation en apparence gratuite d'internet, se retrouve alors, et souvent à son insu, lui-même produit de cette industrie avec mise à disposition sans garde-fous des données relatives à sa vie privée.

Or, le 6 octobre 2015, la CJUE invalidait la décision du 26 juillet 2000 de la Commission européenne qui considérait que les États-Unis assuraient un niveau de protection suffisant. En vertu de ce niveau de protection, le transfert de données à caractère personnel de l'Union européenne vers les États-Unis était autorisé. D'où le Safe Harbour (ou "sphère de sécurité") qui, depuis 15 ans, permettait aux entreprises américaines, plus de 5.000 à l'heure actuelle, d'auto-certifier auprès de leurs autorités locales qu'elles se conformaient au niveau de protection exigé en Europe.

De fait, le principe en Europe est celui de l'interdiction de transférer les données personnelles en dehors de l'UE (Directive 95/46/CE du 24 octobre 1995) sauf à ce que le pays destinataire soit reconnu par la Commission européenne comme "offrant un niveau de protection des données suffisant". L'Europe ne pouvant toutefois se cantonner à ses frontières et ces rares exceptions étatiques, plusieurs outils ont alors été mis en place pour permettre de tels flux notamment outre-Atlantique. On relèvera principalement :

- la possibilité de recueillir l'accord individuel et exprès de la personne à laquelle se rapporte les données, peu adaptée aux transferts de masse ;

- les clauses contractuelle types (ou Model Clauses) approuvées par la Commission européenne entre deux responsables de traitement ou un responsable et un sous-traitant,

-et les règles contraignantes d'entreprise (ou Binding Corporate Rules - BCR) limitées aux transferts intragroupe, ou encore l'adhésion aux programmes de Safe Harbour...


Avec la décision du 6 octobre 2015, il n'est désormais plus possible de réaliser un tel transfert sur la seule base du Safe Harbour.

A lire en page suivante: quelle gestion des données privilégier ?

Me Frédérique Sallée, DLA Piper

Sur le même sujet

IFRS 16, vers quelles évolutions des règles comptables ?
Réglementation
Econocom
IFRS 16, vers quelles évolutions des règles comptables ?

IFRS 16, vers quelles évolutions des règles comptables ?

Par Econocom via Marketme

Les nouvelles normes comptables IFRS 16 entrent en vigueur à partir de Janvier 2019, pour une meilleure comparabilité des données financières. [...]

[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions
Réglementation
[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions
pathdoc - Fotolia

[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions

Par Yves Garagnon, DiliTrust

Il convient, dans les contrats SaaS, de préciser expressément les engagements pris par le fournisseur au titre du RGPD. Nous résumons ici, en [...]

RGPD : tout savoir pour mettre son entreprise en conformité
Réglementation
RGPD : tout savoir pour mettre son entreprise en conformité
©tanaonte - stock.adobe.com

RGPD : tout savoir pour mettre son entreprise en conformité

Par Bénédicte Gouttebroze

À compter du 25 mai 2018, tout organisme exploitant des données personnelles de personnes résidant sur le territoire européen devra se conformer [...]

Fichier des écritures comptables: quel bilan dans les PME et ETI?
Réglementation
Fichier des écritures comptables: quel bilan dans les PME et ETI?
©Bits and Splits - stock.adobe.com

Fichier des écritures comptables: quel bilan dans les PME et ETI?

Par Bénédicte Gouttebroze

En cas de contrôle fiscal, les entreprises doivent fournir à l'administration leur fichier des écritures comptables (FEC). Une obligation depuis [...]

La rédaction vous recommande