Un délai de 3 mois pour s'extraire du 'safe harbor'

20/10/15 à 12:33 - Mise à jour à 12:33

Les entreprises ont encore jusque fin janvier pour mettre en sûreté les données qui tombent à présent encore sous le coup de la réglementation 'safe harbor' aux Etats-Unis.

Un délai de 3 mois pour s'extraire du 'safe harbor'

© Reuters

Voilà ce qu'a annoncé le contrôleur européen en matière de respect de la vie privée vendredi dernier lors d'une réunion à Bruxelles. Plus tôt, il avait été convenu que la date-butoir serait fixée au 1er janvier. La structure 'safe harbor' permettait à des entreprises européennes de stocker des données personnelles sur des serveurs installés aux Etats-Unis, où elles ne bénéficient pas de la protection légale à laquelle elles ont droit sur base de la réglementation de l'UE. La crainte est que les services secrets américains puissent accéder trop facilement aux informations des citoyens européens, si les données sont stockées aux Etats-Unis.

Suite à de récents jugements rendus par la Cour européenne de Justice, cette construction, surtout importante pour les entreprises qui utilisent une infrastructure 'cloud' publique, est devenue intenable. Plus de 4.400 entreprises dans l'UE recourent à la structure 'safe harbor'. Elles doivent à présent faire face au solide problème de savoir comment aboutir à une solution soit technique, soit juridique, susceptible de satisfaire le contrôleur européen en matière de respect de la vie privée.

Concertation bilatérale

Cette solution ne doit toutefois pas forcément venir d'elles-mêmes car la déclaration émise par les divers contrôleurs fait mention de la possibilité qu'ont l'UE et les Etats-Unis de se concerter pour résoudre le problème. Mais aussi longtemps que tel n'est pas le cas, la question continuera de planer comme une épée de Damoclès au-dessous de la tête des responsables de l'information des entreprises concernées.

Une solution possible pour ces dernières pourrait être de réglementer l'autorisation accordée par le contrôleur et liée à l'entreprise spécifique, ce qu'on appelle la 'binding corporate rule'. Mais celle-ci doit être profondément étayée et ne concerne provisoirement encore même pas cent entreprises dans l'UE. L'émigration vers d'autres pays en dehors de l'UE n'engendrerait du reste que peu de soulagement au niveau de la règle car l'on ne sait pas non plus très bien dans quelle mesure les dispositions de confidentialité qui y sont en vigueur, peuvent être approuvées par les contrôleurs européens.

Source: Automatiseringgids

En savoir plus sur:

Nos partenaires