L’Europe adopte le ‘safe harbor’

Aux Etats-Unis, la protection des données personnelles reste sectorielle et auto-règlementée, alors que l’Europe a adopté une directive dès octobre 1998 (voir édition du 5 juin 2000). Aujourd’hui, la Commission européenne reconnaît que la « sphère de sécurité », mise en place par le ministère américain du commerce sous le nom de « safe harbor », « assure un niveau de protection adéquat aux données à caractère personnel transférées à partir de l’UE. » Deux ans de discussions auront été nécessaires pour parvenir à cette solution qui devrait inscrire sur sa liste les premières entreprises américaines début novembre.

Le principe de la « sphère de sécurité » repose en effet sur une liste, tenue par le ministère américain du commerce, de toutes les entreprises répondant aux exigences du dispositif et ayant souhaité s’y inscrire. La liste, publique, sera réactualisée fréquemment et la FTC (Federal trade commission, Commission fédérale du commerce américain) sera chargée de veiller au respect des règles. L’adhésion à la « sphère de sécurité » est facultative, aussi des transferts de données pourront être réalisés vers des sociétés non-membres comme c’est le cas aujourd’hui. En France, dans la majeure partie des cas, il est nécessaire d’avoir passé un contrat avec la Cnil, mais il restera des exceptions comme le consentement des personnes impliquées, par exemple.

Le Parlement européen a émis des réserves sur la « sphère de sécurité ». Dans une résolution du 5 juillet de cette année il demande notamment que le dispositif soit amélioré en ce qui concerne les recours des particuliers. Actuellement la résolution est entre les mains des autorités américaines.

Pour en savoir plus  :

* Le dossier de la Commission européenne

* La résolution du Parlement européen