La législation européenne sur les données personnelles en dix questions

Le cabinet d’analyse américain Forrester vient de publier un document pour aider les entreprises à s’y retrouver dans la législation européenne sur les données personnelles. Les auteurs répondent à une dizaine de questions que se posent les entreprises surtout dans le cas où elles veulent transférer des données d’un pays à un autre. Si un focus est mis sur les sociétés américaines, une bonne partie des explications intéressent n’importe quelle organisation en commençant par les multinationales. Petit tour d’horizon de quelques questions auxquelles répond le rapport.

Qu’est-ce que le G29 ?

Le G29 regroupe l’ensemble des CNIL européennes. L’une de ses missions importantes est de déterminer si un pays hors de l’Union européenne (UE) à un niveau de protection suffisant par rapport aux standards en vigueur en Europe.

Quels sont les pays donc la réglementation est compatible avec les pratiques européennes ?

Douze pays exactement ont une législation équivalente à ce qui se fait en Europe : Andorre, l’Argentine, le Cana, l’Uruguay, les Iles Féroé, Guernsey, l’Ile de Man, Jersey, La Nouvelle Zélande, Israël, la Suisse et dans une certaine mesure les Etats-Unis (voir question suivante). Une entreprise ayant une filiale dans un de ces pays peut transférer sans problème des données personnelles vers cette entité.

Qu’est-ce que le Safe Harbor ?

Le Safe Harbor est un accord entre les Etats-Unis et l’Europe. Une entreprise européenne peut transférer des données vers une société américaine si celle-ci est certifiée Safe Harbor mais à condition de demander des preuves de sa conformité tous les ans voire plus régulièrement. Pour aller encore plus loin, mieux vaut choisir un partenaire qui implémente les BCR (Binding Corporate Rules) (voir ci-dessous).

Est-ce que le Patriot Act s’applique aux divisions européennes des sociétés américaines ?

En général, oui. L’entité européenne d’une entreprise américaine devra fournir les données stockées sur ses datacenters américain, si les Etats-Unis les réclament. Seule alternative : créer une entité légale distincte. L’application du Patriot Act mérite alors discussion.

Qu’est-ce qu’une clause contractuelle type (model clause) ?

Les clauses contractuelles types servent à transférer des données vers un pays hors de l’union européenne qui ne fait pas partie des douze pays compatibles avec notre règlementation (voir plus haut). Elles servent d’alternatives aux entreprises qui ne sont pas certifiées Safe Harbor. La société doit, par exemple, accepter d’être auditée par l’entité d’où proviennent les données personnelles. Les données ne doivent être utilisées que pour remplir l’objectif fixé lors du transfert. Le propriétaire des données doit pouvoir corriger les informations et bloquer des informations le concernant. Les clauses contractuelles types sont peu utilisées par les entreprises car jugées trop contraignantes.

Qu’est-ce qu’une BCR ?

Les BCR (Binding Corporate Rules ou règles internes d’entreprise) servent aussi au transfert de données personnelles hors de l’Europe. Ces règles internes d’entreprise définissent la politique de l’entreprise en matière de transfert de données personnelles. Elles doivent être validées par la Cnil.

Contrairement au Safe Harbor et aux clauses contractuelles types, les BCR ne sont pas définies pour un transfert particulier. Une fois qu’une organisation a mis en place des BCR, tous ses transferts de données en interne entre pays sont considérés comme légaux. Les entreprises qui font appel à des prestataires externes qui récupèrent leurs données personnelles ont tout intérêt à faire appel à des fournisseurs ayant des BCR en interne. De plus en plus d’organisations s’y intéressent.

Quid de la réglementation allemande ?

La réglementation allemande sur les données personnelles est considérée comme l’une des plus restrictives au monde. L’Allemagne considère, par exemple, qu’être certifié Safe Harbor ne suffit pas et demande des garanties supplémentaires. Elle traite aussi les adresses IP comme des données personnelles. En 2011, la Cnil allemande a ainsi banni l’utilisation de Google Analytics.

Qu’est-ce qui nous attend avec le prochain règlement européen ?

En janvier 2012, la Commission européenne a proposé une réforme de la directive de 1995. Jusqu’ici les Etats européens devaient transposer en droit local la directive européenne. Avec le futur règlement encore en discussion, aucune transposition ne sera nécessaire. Il pourra être directement mis en application dans les 28 pays de l’Union, normalement d’ici 2016. Cette réglementation s’appliquera à la fois aux entreprises domiciliées en Europe et hors de l’Europe. D’où l’intense lobbying mis en oeuvre par les géants américains, Facebook, Google et Microsoft.

Qu’est-ce qu’implique la directive européenne sur les cookies ?

Depuis 2011, la directive européenne sur les cookies stipule que tous les sites web doivent obtenir le consentement de l’utilisateur avant de le tracer avec des cookies. Les sites web peuvent, par exemple, afficher une boîte de dialogue lui demandant son accord explicit. Il est conseillé d’être transparent sur l’utilisation qui est faite des cookies par le site et d’autoriser les internautes à refuser leur utilisation (même à posteriori) sans restreindre l’accès qu’ils ont au site.

Quel est le point de vue de l’Europe sur la géolocalisation via les téléphones mobile ?

Les données de géolocalisation sont considérées comme des données personnelles au même titre que les noms et adresses des internautes.