Microsoft décide d’adhérer aux Safe Harbor Principles
Publié le 27/05/2001 par Frédéric Dechamps
Microsoft a récemment annoncé son intention d’adhérer au programme des « safe harbor principles » rejoignant ainsi environ quarante autres entreprises américaines. En franchissant ce pas, Microsoft entend certainement faciliter l’acquisition de données personnelles provenant de l’Union européenne. L’adhésion de Microsoft intervient dans le cadre complexe et laborieux du flux transfrontalier de données personnelles entre…
Microsoft a récemment annoncé son intention d’adhérer au programme des « safe harbor principles » rejoignant ainsi environ quarante autres entreprises américaines. En franchissant ce pas, Microsoft entend certainement faciliter l’acquisition de données personnelles provenant de l’Union européenne.
L’adhésion de Microsoft intervient dans le cadre complexe et laborieux du flux transfrontalier de données personnelles entre l’Union européenne et les pays tiers, et singulièrement les USA.
Bref aperçu des articles 25 et 26 de la Directive 95/46 du 24 octobre 1995
D’après l’article 25.1 de la directive, un transfert de données à caractère personnel faisant l’objet d’un traitement ou destinées à faire l’objet d’un traitement après leur transfert ne peut avoir lieu que si le pays tiers assure un niveau de protection « adéquat ».
Cet article définit ensuite les critères sur lesquels il convient d’apprécier le caractère adéquat (25.2) et prévoit par ailleurs une information mutuelle des différents Etats membres des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat (25.3). Il établit, enfin, des règles destinées à résoudre les divergences de vue entre les Etats membres et la Commission (25.4, 5 et 6). Si la Commission constate qu’un pays tiers n’assure pas un niveau de protection adéquat, les Etats membres doivent se conformer à sa décision et « prendre les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause ».
A contrario, l’article 25-6 permet à la Commission de constater, après avis du « Groupe 29 » (parce que créé par l’article 29), et d’un groupe composé des représentants des Etats membres (« groupe 31 » d’après le numéro de l’article qui le crée), qu’un pays tiers assure un niveau de protection adéquat en raison de sa législation interne ou de ses engagements internationaux.
Les « safe harbor principles » ?
L’adoption de cette Directive avait suscité, Outre-Atlantique, une certaine émotion.
En application des articles 25 et 26 de la Directive, le transfert de données personnelles vers les Etats-Unis risquait en effet d’être purement et simplement interdit, sauf s’il bénéficiait d’une des dérogations prévues par l’article 26 de la Directive.
Parmis ces dérogations, la possibilité d’offrir des garanties appropriées par voie contractuelle ; à cet égard, signalons que la Commission a élaboré le 27 mars 2001 une proposition de décision reprenant un modèle de clauses, laquelle a été immédiatement critiquée par le département du commerce américain qui a qualifié le projet d’incompatible avec les real-world operations – voir la correspondance entre les États-Unis et l’Europe, disponible en ligne.
Depuis 1998, l’article 25 de la Directive a servi de fondement aux discussions animées entre l’Europe et les États-Unis, qui ont abouti à une décision de la Commission européenne du 27 juillet 2000 reconnaissant le caractère adéquat du niveau de protection offert par les États-Unis.
L’engagement des Etats-Unis repose sur un modèle totalement original. Il s’agit des « safe harbor principles » que l’on traduit habituellement par « principes de la sphère de sécurité ».
La caractéristique la plus originale de cet engagement est qu’il repose sur une adhésion totalement volontaire des entreprises américaines à un corps de principes de protection des données. En échange de cette adhésion volontaire, ces entreprises sont réputées offrir un niveau de protection adéquat qui autorise les flux transfrontières de données à caractère personnel. C’est donc à ce système que vient d’adhérer Microsoft.
Elaboré au départ par le gouvernement américain conformément au droit américain, le dispositif sur la sphère de sécurité a par la suite été précisé à de nombreuses reprises dans le cadre des négociations menées par la Commission et le gouvernement américain, conjointement avec de nombreux acteurs économiques. L’accord se divise en deux parties : d’une part, les principes de la sphère de sécurité proprement dits et, d’autre part, les questions les plus fréquemment posées par les entreprises américaines (FAQ).
Les 7 principes peuvent être résumés comme suit.
-
le principe de notification (toute organisation doit informer les personnes concernées des raisons de la collecte et d’utilisation d’informations à caractère personnel, de la façon de la contacter pour toute demande ou plainte, des tiers auxquels les informations sont communiquées, des choix et des moyens qu’offre l’organisation pour limiter l’utilisation et la divulgation de ces données) ;
-
le principe du choix (toute organisation doit offrir aux personnes concernées la possibilité de décider si leurs informations peuvent être divulguées à un tiers ou peuvent être utilisées dans un but incompatible avec le(s) objectif(s) pour le(s)quel(s) les données ont été initialement collectées ou dans un but approuvé ultérieurement par la personne concernée) ;
-
le principe régissant le transfert ultérieur des données personnelles ;
-
le principe de sécurité des données personnelles ;
-
le principe d’intégrité des données personnelles ;
-
le droit d’accès aux données personnelles ;
-
et, enfin, le principe relatif à la mise en œuvre du dispositif en son entier.
Les questions fréquemment posées (FAQ), au nombre de quinze, correspondent à autant de situations concrètes dans lesquelles se posent des problèmes d’application des principes et pour lesquelles le ministère du commerce américain apporte un certain nombre de précisions.
Une protection efficace ?
Divers auteurs ont déjà mis en avant la faiblesse des principes de la sphère de sécurité tant au niveau du contenu qu’au niveau de sa mise en œuvre pratique (Voyez notamment Y. Poullet; Les safe harbor principles : une protection adéquate ?, disponible sur ce site
A titre d’exemple, les entreprises américaines doivent s’engager a soumettre les éventuels litiges à un organisme indépendant de règlement des conflits qui sera chargé de traiter les plaintes. La FAQ n° 11 définit plus précisément les garanties que doivent offrir ces organismes notamment en ce qui concerne leur indépendance.
A la lecture de la FAQ n° 11, on ne peut que constater que ces garanties sont très maigres pour le consommateur européen. Cette constatation est d’autant plus surprenante que les instances européennes avaient déjà adopté, le 30 mars 1998, une recommandation concernant les principes applicables aux organes responsables pour la résolution extrajudiciaire des litiges de consommation (98/257/CE). Cette recommandation préconise en effet 7 principes devant être respectés par les organismes précités, et définit très précisément les garanties d’indépendance.
On comprend dès lors mal pour quelle raison ces divers principes n’ont pas été repris dans l’accord dégagé avec les Etats-Unis. En définitive, accorder une protection n’a de sens que si des sanctions pertinentes et efficaces sont susceptibles d’être mises en œuvre, ce qui ne nous semble pas être le cas.
Enfin, le système de protection des données personnelles n’est pas entièrement abouti du seul fait de la mise en place du dispositif de la sphère de sécurité . En témoignent les récentes polémiques suscitées par les pratiques de certaines entreprises aux Etats-Unis, comme Amazon ou DoubleClick. On constate également une sensibilisation croissante de l’opinion publique américaine en faveur d’une protection plus effective des données personnelles recueillies par les entreprises.
La question de la nécessité d’une loi fédérale en matière de protection des données personnelles risque très certainement de se poser avec plus d’acuité que par le passé.
Pour l’heure, il faut espérer que l’adhésion du géant américain Microsoft aux principes de la sphère de sécurité sera interprété, aux yeux des entreprises américaines, comme une légitimation de l’accord laborieusement dégagé par les instances européennes.
Plus d’infos
En effectuant une recherche sur ce site, sous le mot-clef « Safe Harbour« .