Oubliez le Safe Harbor invalidé le 6 octobre 2015 par la CJUE, voici le Privacy Shield nouveau cadre de protection des données personnelles des Européens.

L’invalidation du Safe Harbor par la Cour de Justice de l’Union Européenne le 6 octobre dernier avait donné lieu à de grandes négociations entre autorités américaines et européennes sur les instruments à mettre en place concernant les échanges de données, les autorités européennes de régulation de données ayant fixé le 31 janvier dernier comme date limite pour trouver un accord. Parallèlement, le Groupe de Travail de l’article 29 (G29) des autorités européennes de régulation de données s’est réuni ce matin à Bruxelles.

Des obligations plus fortes pour les entreprises américaines

Le Privacy Shield, conclu hier entre les autorités américaines et européennes en remplacement du Safe Harbor, souligne que le nouvel accord prévoit « des obligations plus fortes » pour les compagnies américaines, pour protéger les données personnelles des Européens, et une action de surveillance et de gestion plus importante du Département américain du Commerce et de la FTC (Federal Trade Commission). Les Européens auront la possibilité, en cas de doute ou de conflit, de diligenter une enquête avec nomination d’un médiateur. La Commissaire Européenne Vera Jourova souligne de son côté que  l’accord US/EU Privacy Shield protègera les droits fondamentaux des Européens en cas de transfert de données personnelles vers les Etats-Unis. Elle a mentionné en conférence de presse « qu’une lettre officielle du bureau de la NSA (National Security Agency) s’engageant dans le nouveau processus est la seule caution que nous avons obtenue des Etats-Unis dans ce nouveau processus ». Nous voilà pleinement rassurés…

Trois éléments de cadrage

Concrètement, le nouvel accord  prévoit trois éléments de cadrage  :

  1. Des obligations fortes pour les entreprises qui échangent des données personnelles des citoyens européens
  2. Des gardes-fous et des obligations de transparence pour les accès aux données personnelles du gouvernement américains
  3. Une protection effective des citoyens européens avec des possibilités de recours.

Par ailleurs, des négociations du Groupe de Travail, présidé par Isabelle Falque-Pierrotin, présidente de la Cnil, ont donné lieu ce matin à une conférence de presse à Bruxelles accessible sur le lien suivant. Les traits tirés, Isabelle Falque-Pierrotin s’y exprime dans un anglais parfait pendant près d’une heure.

 

Isabelle Falque-Pierrotin salue, tout en émettant certaines réserves, le Privacy Shield. Elle indique quatre impératifs qui doivent être respectés dans ce cadre.

  • Des règles d’accès aux données précises.
  • La nécessité de la proportionnalité.
  • Des mécanismes de surveillance indépendants.
  • Des possibilités de recours ouvertes aux citoyens.
Elle insiste aussi sur le fait que le groupe de travail de l’article G29 va examiner l’accord, et que, pour l’instant, les autres outils de transfert de données (Binding Corporate Rules, BCR, et clauses conctractuelles types) continuent de s’appliquer.

Elle salue enfin le rôle du DPO (Data Protection Officer), appelé à devenir, selon elle, « le pivot de la politique de conformité de l’entreprise » sur les données personnelles.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143933
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI