Après le Safe Harbor, la gestion des données clients et salariés en "zone grise" : la to do list du directeur administratif et financier

Le Privacy shield : peut mieux faire

1) Son contenu

Le Privacy Shield, publié depuis février 2016 et composé de nombreux documents, prévoit les grands principes que devront respecter les entreprises américaines (et, en particulier, les fournisseurs d'hébergement) pour présenter des garanties de protection suffisantes au profit des personnes dont les données sont collectées :

- "Notice Principle" : information complète et transparentes sur la collecte et les traitements des données ;

- "Choice Principle" : possibilité de s'opposer à la transmission des données et nécessité d'un consentement exprès en cas de transfert des données sensibles ;

- "Security Principle" : contraintes de sécurité auxquelles devront se conformer les entreprises américaines ;

- "Data Integrity and Purpose Limitation Principle" : respect de la finalité du traitement : les données transférées ne doivent pas être utilisées dans un but autre que celui consenti par la personne concernée ;

- "Access Principle" : droit d'accès aux données dans un délai raisonnable ;

- "Accountability for Onward Transfer Principle" : obligation d'encadrer, par contrat, la revente ou le transfert des données par le responsable du traitement au profit d'un tiers, lequel sera soumis aux mêmes obligations que le responsable du traitement en vertu du Privacy Shield ;

- "Recourse, Enforcement and Liability Principle" : des moyens de recours sont offerts aux citoyens européens dont les données sont collectées ou traitées en violation du Privacy Shield.

2) Les améliorations attendues

Selon le G29 donc, le Privacy Shield n'apporte pas un niveau de protection équivalent à celui prévu au sein de l'Union européenne. Parmi les "reproches" :

- les définitions relatives à la protection des données prévues dans la loi européenne ne sont pas similaires à celles utilisées dans le Privacy Shield, lequel propose des notions alternatives. Par exemple, le principe relatif à la finalité du traitement qui est, selon le G29, imprécis ;

- de même, les voies de recours telles que prévues ne s'exerceraient qu'en anglais et sont donc jugées, par le G29, comme impraticables.

- surtout, la collecte des données de manière massive et indiscriminée reste possible pour des raisons de sécurité nationale.

Le G29 a donc invité la Commission européenne à apporter des clarifications et à résoudre les difficultés relevées.