logo

Comment sont protégées vos données ?

La protection des données personnelles doit être assurée par l’entreprise qui les conserve. Leur niveau de protection est donc régi par le cadre législatif dépendant de sa nationalité ainsi que du contrat et/ou des conditions générales définies. Par conséquent, lors de la transmission de vos données assurez vous que l’entreprise à qui vous les confiez, les protégera.

La protection des données personnelles doit être assurée par l’entreprise qui les conserve. Leur niveau de protection est donc régi par le cadre législatif dépendant de sa nationalité ainsi que du contrat et/ou des conditions générales définies. Par conséquent, lors de la transmission de vos données assurez vous que l’entreprise à qui vous les confiez, les protégera.

TRANSFERT DES DONNÉES VERS UNE ENTREPRISE FRANCAISE

La protection des données transférées à une société française est très réglementée ce qui est rassurant. Les sociétés françaises d’hébergement de données doivent se conformer à la loi informatique, fichiers et liberté de 1978, à la directive 95/46/CE au niveau communautaire et à la convention n°108 établie par le Conseil de l’Europe. Tout ce dispositif législatif mis en place, est contrôlé et sanctionné par la CNIL. Au niveau européen de plus en plus de pays disposent d’un organisme de contrôle équivalent à la CNIL. Mais qu’en est-il de toutes les sociétés non européennes ?

TRANSFERT DES DONNÉES D’EUROPE VERS UNE ENTREPRISE AMERICAINE

La situation est bien moins rassurante au regard du récent accord qui doit garantir la protection des données en provenance de l’Union Européenne. Cet accord, le « UE-US Privacy Shield » vise exclusivement le transfert des données en provenance de l’Espace Economique Européen vers les Etats-Unis. Il a été négocié entre 2015 et 2016 entre l’Union européenne et les États-Unis d’Amérique. Il se compose d’une série d’engagements de la part du gouvernement fédéral des États-Unis et d’une décision de la Commission européenne[1]. La Commission a accepté, le 12 Juillet 2016, ces dispositions relatives à la protection de la vie privée réputées conformes au regard du niveau de protection des données appliquées en Union Européenne.

Cet accord ne constitue pas un traité international, mais se compose d’une série de dispositions, qui réglemente la protection des données personnelles qui sont transférées depuis un État membre de l’Union européenne vers les États-Unis. Il était devenu indispensable suite à l’invalidation du « Safe Harbor » par la Cour de justice européenne, en octobre 2015.[2][3]

UN DISPOSITIF CONTROVERSÉ

L’accord – la presse américaine a parlé d’un «deal» – a subit, dès le début, des critiques considérables. Max Schrems, l’avocat autrichien pourfendeur du « Safe Harbor », avance ses arguments pour invalider le Privacy Shield à l’occasion du Cloud Indépendance Day juste avant sa ratification[4]. Il déclare : « Le Privacy Shield pose des problèmes à la fois dans le domaine commercial et sur le plan des politiques publiques ». Effectivement selon son point de vue, au regard du nouveau texte, il dénonce l’utilisation des données personnelles sur le plan commercial et souligne que les sociétés européennes continuent à ne pas disposer des mêmes droits que les sociétés américaines. De plus, il doute de l’impartialité du médiateur désigné et régi par le ministère des affaires étrangères américaines. Max Schrems souligne que le problème perdure au regard de la surveillance de masse car le texte ne relève aucun changement par rapport au « Safe Harbor » et rappelle les 6 exceptions du texte : « La détection et la lutte à certaines activités de puissances étrangères, l’anti-terrorisme, la lutte contre la prolifération nucléaire, la cyber sécurité, la détection et la lutte contre les menaces visant les Etats-Unis et les forces armées alliées et, enfin, la lutte contre les menaces de crimes transnationaux.» alors que cela est contraire à la jurisprudence rendue par la cour de justice de l’Union Européenne.

Les entreprises françaises sont soumises à plusieurs réglementations dans le domaine de la protection des données personnelles ; le contrôle de la CNIL, la surveillance de l’autorité des marchés financiers et le règlement européen sur les données personnelles (GDPR) en 2018 imposent des sanctions graves en cas de non respects des réglementations à l’instar du Privacy Shield.

Le Groupe de travail Article 29 par sa présidente Isabelle Falque-Pierrotin, déclare lors de la conférence de presse à Bruxelles, le 13 Avril 2016, que le Privacy Shield constitue un « progrès majeur » pour la protection des données personnelles mais toutefois émet des réserves[5]. Le G29 demande des clarifications sur certains sujets : « Il est difficile de comprendre tous les documents et les annexes. Il n’y a pas un seul document, mais plusieurs, ainsi que des annexes et des courriers. Certains se contredisent ». Elle précise que le sujet sur la surveillance en masse des données par les agences de renseignements américaines, qui avait permis d’invalider le « Safe Harbor » est possible dans le cadre du Privacy Shield. Une décision doit être rendue par la Cour de justice de l’Union Européenne d’ici à la fin de l’année pour clarifier ce point.

Le G29 estime ne pas avoir eu suffisamment de garanties sur les droits, les pouvoirs et le recours de l’Ombudsperson.

Malgré le grand pas en avant en matière de protection des données personnelles que nous apporte cet accord[6], il soulève encore de graves critiques et manque de clarté pour permettre une confiance dans les sociétés certifiées.

Pomelo-Paradigm en tant que société française respecte et protège vos données.