Logo CdSL

Le Safe Harbor ou comment les USA
contournent une directive européenne...


Accueil
Presentation
Actualité
Dangers Indicateur de Page courante
Dossiers
Références
Listes
Nouveautés



Note: Ce texte a été écrit au cours du premier trimestre 2000. Depuis, le Safe Harbor a été mis en place, avec certaines améliorations par rapport à ce qui est écrit ci-dessous. Mais ces améliorations ne rendent toutefois pas ce texte obsolète (le principe général du Safe Harbour étant conservé). Une mise à jour de ce texte devrait être publiée prochainement.

Références en fin de page

L'article 26 de la directive Européenne indique que les transferts de données à caractère personnel vers des pays tiers, ne peut se faire que si ces pays assurent un niveau de protection "adéquat", ou lorsque la personne a expressément donné son accord.

Son texte exact est : "Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées."

Comme on le voit, le caractère "adéquat" peut être excessivement difficile à interpréter...

Pour montrer le problème, il suffit de voir le document édité par la "CNIL" anglaise, destiné à guider les "commissaires aux données" (des personnes réparties dans les différentes entreprises et services, dont le rôle est de contrôler que les traitements de données sont effectues correctement). Le problème est que le processus par lequel le commissaire doit passer pour valider le caractère "adéquat" du transfert contient de nombreux points qui peuvent être subjectifs. Tout indique donc que deux personnes munies du même document pourraient parvenir à un résultat différent.

Le terme adéquat est donc un terme à "haut risque" d'interprétation. Il aurait été beaucoup plus simple de se baser sur le principe du niveau de protection "équivalent", qui permet de faire des comparatifs plus objectifs, en liaison avec les fondements de la législation.

Il est à noter, que la Convention 108 utilisait le terme "équivalent". La directive est donc en net recul sur ce point...

En terme d'application, le texte de la directive pose aussi un autre problème. En effet, le texte dit qu'il incombe à la Commission de déterminer les pays ne possédant pas un niveau de protection adéquat. Il aurait été plus prudent de donner la liste des pays possédant une protection adéquate...

De plus, l'article 26, admet une liste importante des dérogations (permettant, par exemple le transferts de données sensibles dans le cadre de traitements effectués de façon contractuelle) dont le principe même est très discuté.

En tout état de cause, les USA, refusant d'établir une législation interne à propos des transferts de données (qu'ils considèrent devant être réglés par l'auto-régulation), entrèrent en négociation avec la commission Européenne afin de trouver un protocole d'accord permettant la circulation des données aux USA.

Les premiers contacts débouchèrent sur une notion nouvelle : le "Safe Harbor". Son principe consiste à implanter aux USA des points d'accès sur lesquels des sociétés ou services dûment autorisés (ayant le fameux niveau de protection "adéquat") devraient se connecter afin de pouvoir échanger des données à caractères personnelles avec les Européens.

Si l'idée de base est pour le moins originale, sa concrétisation montre d'immenses problèmes :

Sur la forme :

Le texte officiel de travail ("les principes") n'est pas un document Européen, mais un document Américain rédigé par le Département du commerce Américain...

De plus, ce texte n'est qu'une partie d'un ensemble d'autres textes, les autres étant des "FAQ" (Fréquently Asked Questions), répondant aux questions fréquemment posées (sur les droits d'accès, les données sensibles, etc..). Or, ces FAQ, comprenant les éléments "concrets" à propos des problèmes posés par le Safe Harbor, ne sont plus, par cette division, que des éléments indicatifs n'ayant aucune valeur juridique, puisque ne faisant pas partie du texte signé par les deux parties.

Sur le fond :

- Les Entreprises y adhèrent sur la base du volontariat, en ne faisant qu'une déclaration déclarant vouloir respecter les principes du Safe Harbor. Les problèmes sont multiples :
- Pour y adhérer, il suffit en fait de dire qu'on possède une charte (un "Privacy Agreement"), qu'on la rend publique, et qu'on s'engage à la respecter. Or absolument aucun texte n'impose des critères minimaux à la rédaction de cette charte. En fait, 80% des sociétés américaines présentes sur le Net (c'est à dire toutes celles ayant "bricolé" une page "Privacy") sont de-facto éligibles pour le Safe Harbor. Même si l'on sait que 80% d'entre-elles ne présentent pas des garanties suffisantes...
- Aucun contrôle préalable n'est fait sur le sérieux de la société, ni la réalité des mesures qu'elle prendrait effectivement pour respecter ces principes. Tout au plus, une procédure est prévue pour régler les litiges entre une société et un consommateur, mais ce n'est après tout que du "cas par cas", qui n'est que peu dommageable pour les sociétés dont le fond de commerce se compte en millions de fiches...

En fait, il ne s'agit que d'une version dissimulée de l'auto-régulation que les Européens refusent officiellement.

D'autre part, il faut savoir que les sociétés américaines peuvent se retirer du Safe Harbor à leur gré, sans avoir à respecter quelque engagement que ce soit... Il y a donc grand risque de voir des sociétés fantômes apparaître, adhérer au Safe Harbor, y remplir leurs disques durs, quitter le Safe Harbor, puis revendre ces données quelque temps après...

- Un autre problème très important à préciser concerne le champ d'application du Safe Harbor. En effet, sachant que le projet a été déposé par le Département du Commerce, et serait placé sous le contrôle de la FTC (Federal Trade Commission), ce texte ne peut donc logiquement s'appliquer que dans le cadre des échanges commerciaux. La FTC est elle compétente pour traiter des problèmes liés aux transfert de données dans d'autres contextes (par exemple les données sociales, non incluses dans la listes des données sensibles) ? Faudra-il donc que ces échanges entrent dans le secteur marchand (par exemple dans le cadre d'une privatisation des secteurs publics) afin qu'ils puissent être pris en compte par la FTC ? C'est évidement un piège dans lequel il faut éviter de tomber, et exiger dès maintenant que le Safe Harbor ne peut en aucun cas être applicable au transfert de données sensibles.

Dernier point : Même si le spectre de l'AMI s'est estompé, ce texte ouvre une brèche permettant à de nombreux autres états d'exiger de bénéficier des mêmes privilèges que les USA. C'est la mise à mort des principes de la Directive permettant une bonne garantie sur les transferts de données qui est mise en place...

Comme nous le voyons, il reste encore beaucoup de chemin à faire pour qu'une solution satisfaisante soit trouvée.

Pourtant, le Safe Harbor vient d'être adopté, le 21 juin 2000, par la Commission des libertés et des droits des citoyens du Parlement Européen, et devrait être votée entre le 3 et le 7 juillet...

----

Références (tout en anglais):

Documents de travail sur le Safe Harbor (principes et FAQs)

     http://www.ita.doc.gov/td/ecom/menu.html

Les réponses faites par la DG 15 (Commission Européenne) :

     http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm

"The Eight Data Protection Principle and Transborder DataFlows", Data Protection Registrar (Grande Bretagne), 1998

     http://www.dataprotection.gov.uk/transbord.htm




Début de Page
Page d'Accueil

http://www.clifti.org/dangers/safe-h.htm
Dernière mise à jour : 22/09/2001