la protection des données personnelles

La Protection des Données Personnelles

Cours 6

Danièle VéretAvocat

1

OBJECTIFS DU COURS ▫Etudier les principes généraux applicables

au domaine de la protection des données personnelles en France et dans l’UE

▫Etudier les règles spécifiques applicables à la protection des données personnelles et internet

▫Etudier les principes applicables aux transferts transnationaux de données

2

Thèmes couverts▫Introduction : comment est réglementé le

domaine de la protection des données ?▫Etendue de la protection des données▫La Commission Nationale de l’Informatique et

des Libertés (CNIL)▫Les principes applicables à la collecte de

données personnelles▫Les principes applicables à la protection des

personnes et à leurs données▫Les obligations applicables au responsable

du traitement de données▫La protection des données et internet▫Les transferts de données à l’international

3

Introduction : Historique (1)

▫La France, premier pays à mettre en œuvre une législation sur la protection de la vie privée avec la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « Loi Informatique et Libertés ».

Fondements : droits fondamentaux relatifs à la protection des droits de l’Homme

En réaction au développement de l’informatique dans la société et des bases de données automatisées

4

Historique (2)▫Le droit européen s’est intéressé à la

question plus tardivement Directive 95/46/CEE sur la protection des données La France a été le dernier Etat-membre de l’UE à

transposer la directive (et modifier la loi de 1978) le 6 août 2004 (loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)

Transposition plus rapide dans les pays qui n’avaient pas de texte sur la protection de la vie privée

5

Historique (3)▫La Loi Informatique et Libertés de 1978 a

inspiré plusieurs réglementation relatives à la protection de la vie privée à l’international : La Convention 108 du Conseil de l’Europe du 28 janvier

1981 Les principes directeurs sur les données personnelles

adoptés par l’assemblée générale des Nations Unies le 14 décembre 1990

La directive européenne sur la protection des données du 24 octobre 1995

Loi sur la protection des renseignements personnels au Canada

6

Etendue de la protection des données (1)

▫L’article 2 al.1er la loi s’applique : Aux traitements automatisés de données à

caractère perso Traitements non automatisés de données

contenues dans un fichier (sf si pour une activité exclusivement perso)

Application à tous types de données personnelles, qu’elles fassent l’objet d’un traitement automatisé ou manuel.

7Protection des Données Personnelles


▫L’article 2 al.2 de la Loi Informatique et Libertés prévoit que la protection s’applique aux données à caractère personnel, à savoir : « toute information relative à une personne physique

identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Il pourra s’agir d’un nom, numéro d’identification, voix,

image, empreintes génétiques, adresse IP, numéro de téléphone, etc.

8


▫Sont des traitements de données soumis à la Loi Informatique et Libertés: Toute opération portant sur de telles données, quel que soit le

procédé utilisé, (notamment) La collecte, l’enregistrement, l’organisation, la

conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la diffusion, la comparaison, l’interconnexion, la suppression, etc. des données à caractère personnel.

▫Les traitements de données mis en œuvre exclusivement pour une finalité personnelle ne sont pas couverts par la loi.


La CNIL – présentation (1)Chapitre III de la Loi, articles 11 à 22

La CNIL est une autorité administrative indépendante crée par la Loi Informatique et Libertés composée de 17 membres: Une autorité Indépendante Administrative Formation plénière Formation contentieuse


La CNIL – rôle (2)▫Elle a pour rôle :

Assurer l’application et le respect de la Loi Informatique et Libertés;

D’émettre des avis, délibérations et recommandations sur la base des questions et problèmes pratiques soulevés par le développement de nouveaux types de traitements de données. Ces documents servent à interpréter et compléter la règlementation en matière de protection de données personnelles

11

La CNIL –pouvoirs (3)

▫pouvoir de contrôle a priori (déclarations, demandes d’autorisation);

▫Depuis la transposition de la directive (loi 2004), pouvoir de contrôle renforcé : elle peut décider de sa propre initiative, de contrôler, au regard de la réglementation, le respect par toute personne morale des traitements de données mis en œuvre. Pour ce faire, elle peut accéder : Aux locaux professionnels; Aux matériels utilisés pour les traitements de données

et à tous documents.


La CNIL – (4)

•Organe très actif•Site internet: www.cnil.fr•La mission essentielle de la CNIL est de

protéger la vie privée et les libertés dans un monde interconnecté.

•La CNIL plaide pour l'inscription de la protection des données dans la constitution, au titre des droits fondamentaux des citoyens.

13

Principes applicables à la collecte de données personnelles (1)•Condition de licéité du traitement

▫Il existe deux principes de base s’appliquant à toute collecte de données à caractère personnel:

Le principe de loyauté Le principe de proportionnalité


Principes applicables à la collecte de données personnelles (2)- Le principe de loyauté -

L’article 6 de la Loi Informatique et Libertés : les collectes et traitements de données doivent être

effectués de manière loyal et licite pour des finalités déterminées, explicites et légitimes;

Seules les données objectives strictement liées à la finalité du traitement peuvent être collectées légalement;

La collecte et le traitement des données sensibles sont strictement règlementés▫ Les données sensibles sont les données concernant les origines

raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance à un syndicat, l’orientation sexuelle


Principes applicables à la collecte de données personnelles (3)- Le principe de proportionnalité -• Article 6: un traitement ne peut porter que sur des données à caractère

personnel qui satisfont aux conditions suivantes :▫ Les données sont collectées et traitées de manière loyale et licite ;▫ Elles sont collectées pour des finalités déterminées, explicites et légitimes

et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) ;

▫ Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

▫ Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées;

▫ Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.


Principes applicables à la collecte de données personnelles (4)

▫ Toute collecte de données illégale, déloyale ou frauduleuse et toute modification de la finalité du traitement de données est constitutive d’un manquement à la réglementation La responsabilité civile du responsable du traitement est engagée

(art.1382 C. civ) La responsabilité pénale du responsable du traitement aussi

donnant lieu à 5 ans d’emprisonnement et 300.000 € d’amende (art. 226-18 C. pénal)

▫ La Cour de cassation définit la collecte de données illicites dans un arrêt du 3 novembre 1987 : « Caractérise des moyens frauduleux, déloyaux ou illicites, la collecte de données auprès de tiers à l’insu des intéressés et sans déclaration de traitement »


Protection des personnes et de leurs données (1) – Accord exprès & préalable

• Accord exprès et préalable de la personne concernée par la collecte nécessaire

La Loi Informatique et Liberté ne requérait que la notification préalable de la personne concernée

La directive transposée exige dorénavant le consentement exprès de la personnes concernée pour la collecte de ses données


Protection des personnes et de leurs données (2) –limites au principe du consentement exprès et préalable

(article 7 loi 1978):

▫ Lorsque le responsable du traitement doit respecter une obligation légale

▫ Pour sauvegarder la vie de la personne concernée▫ Lorsque le responsable du traitement exerce une

mission de service public▫ Dans le cadre de l’exécution d’un contrat avec la

personne concernée▫ Lorsque le responsable du traitement remplit un intérêt

légitime

19

Protection des personnes et de leurs données (3) – information préalable• Une information préalable doit aussi être fournie

à la personne concernée:

L’identification du responsable du traitement; L’objet du traitement; L’existence des droits d’accès, de contestation, de correction ou

d’opposition à la collecte; Le caractère obligatoire ou facultatif des réponses et les

conséquences du refus; L’Identification du destinataire des données collectées; L’existence d’un transfert hors UE le cas échéant.


Protection des personnes et de leurs données (4) – limites de l’obligation d’information

•limites de l’obligation d’information : ▫ lorsque les données collectées sont très vite

anonymisées,▫ lorsque les données ne sont pas recueillies directement

auprès de la personne.

•Il est des cas où l’obligation d'information est exclue :

▫ pour les fichiers de police ou de gendarmerie,▫ pour les fichiers relatifs à des condamnations pénales,▫ lorsque l’information de la personne se révèle

impossible ou très difficile.

21

Protection des personnes et de leurs données (5) - droit d’accès à ses données personnelles :

Modification et mise à jour des données Contestation du traitement de données Opposition à la collecte de données (par

rapport aux campagnes de marketing et aux activités de prospection commerciale)


Obligations applicables au responsable du traitement de données

La Loi Informatique et Libertés définit le responsable d’un traitement comme étant « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens »

Le responsable d’un traitement doit respecter les obligations suivantes : Obligation de déclarer le traitement de données

Déclaration autorisation

Obligation de sécurité


Obligations applicables au responsable du traitement de données

▫Obligation de déclaration du traitement de données préalablement à sa création

▫Deux systèmes sont applicables à tout nouveau traitement de données à caractère personnel en fonction de la finalité du traitement et du type de données collectées : La déclaration du traitement de données La demande d’autorisation


Obligations applicables au responsable du traitement de données - Déclaration

25

La déclaration « normale » La déclaration de conformité à une norme simplifiée (déclaration « simplifiée »)

La déclaration « normale »▫Tout traitement de données à caractère

personnel (sauf dispense), même non informatisé, doit faire l’objet d’une déclaration auprès de la CNIL

▫Exemples de traitements de données soumis à déclaration préalable: Traitement dont la finalité est le contrôle de l’activité

professionnelle des salariés (vidéosurveillance, utilisation d’Internet et de la messagerie, géolocalisation)

Les traitements liés à l’embauche (bases de données de candidats, CV)

Les fichiers médicaux informatisés Les fichiers utilisés par les comités d’entreprise Les traitements transférés hors de l’UE


La déclaration « normale »

Sanction en cas de manquement:▫Responsabilité pénale▫Peine d’emprisonnement de 5 ans et/ou

d’une amende de 300.000 € Les sites web en tant que tels sont exemptés

de déclaration


La déclaration « simplifiée »

▫La loi prévoit « pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu, le cas échéant, les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration »

▫Il s’agit alors d’une déclaration de conformité à une norme simplifiée


« La déclaration simplifiée »

▫Exemples de normes simplifiées publiées par la CNIL :

La norme simplifiée n°72 sur le contrôle d’accès aux locaux professionnels et sur la gestion du temps de travail et des congés

La norme simplifiée n°46 sur les traitements les plus fréquemment mis en œuvre par les services des ressources humaines (gestion du personnel, utilisation des matériels informatiques, organisation du travail, gestion de carrière, formation)

La norme simplifiée n°48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects


Dispense de déclaration• Sont dispensés de déclaration 13 types de

traitements ayant fait l’objet d’une décision de la CNIL dont :

Ceux mis en œuvre par les particuliers agissant dans le cadre d'activités exclusivement personnelles

Ceux mis en œuvre par les Eglises, partis politiques, syndicats et organismes ou associations à caractère religieux, politique, philosophique ou syndical pour les fichiers de membres, d’adhérents ou de personnes qui sont en contact régulier avec

Ceux mis en œuvre par les professionnels du domaine artistique pour les traitements de données personnelles utilisés dans le cadre de cette activité (livres, films, TV…)

Les traitements de comptabilité général

30

Le CIL

▫ Suite à la transposition de la directive en droit français, les entreprises peuvent désormais désigner un « correspondant informatique et libertés – CIL » Le CIL a la charge de :

s’assurer que tous les traitements mis en œuvre par l’entreprise sont conformes à la loi et que le principe de respect de la vie privée est dûment appliqué au sein de l’entreprise

Conserver une liste à jour de tous les traitements internes Effectuer des formations en interne sur les questions liées à l’informatique

et aux libertés De mener des audits informatique et libertés réguliers

▫ La nomination d’un CIL n’est pas obligatoire▫ Si un CIL est désigné, sa désignation doit être déclarée à la

CNIL et approuvée par celle-ci▫ L’entreprise reste responsable en cas de violation de la loi▫ Le CIL peut être un tiers à la société▫ Les entreprises disposant d’un CIL sont dispensées de

l’obligation de déclaration pour la plupart des traitements de données personnelles


Obligations applicables au responsable du traitement de données - Autorisation

Certains types de fichiers sont soumis à un contrôle renforcé de la part de la CNIL par le biais de son autorisation préalable : Soit à cause de la catégorie de données collectées (données

sensibles) Soit à cause de la finalité du traitement ; 8 catégories de traitements

prévus à l’article 25 de la Loi Informatique et Liberté dont notamment: Les fichiers de statistiques qui contiennent des données relatives aux

origines raciales ou ethniques, etc. sans l’accord exprès de la personne intéressée sont interdits. Les dérogations sont strictement réglementées

Les traitements automatisés concernant les données génétiques, sauf pour les traitements mis en œuvre par des médecins ou des biologistes et qui sont nécessaires dans le cadre de la médecine préventive, du diagnostic, etc.

Les traitements relatifs aux délits, aux condamnations ou aux mesures de sûreté

Les traitements relatifs aux interconnexions de fichiers aux finalités différentes


Obligations applicables au responsable du traitement de données – obligation de sécurité

Les personnes traitant des données doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger les données contre les risques suivants: Destruction accidentelle ou illicite des données Perte accidentelle Altération des données Accès ou divulgation non autorisé Tout autre traitement illicite



Les mesures de sécurité doivent être: décrites dans le formulaire de déclaration à la

CNIL (art. 34 Loi Informatique et Liberté) Appliquées préalablement à la mise en œuvre

du traitement de données▫ Contrôles sur la fiabilité des équipements et des logiciels

utilisés, avec possibilité d’un audit préalable pour tester des problèmes éventuels d’erreurs ou d’omissions, etc. pouvant donner des résultats incorrects avec des conséquences négatives sur les personnes concernées

▫ Evaluation générale de la sécurité et des risques



•L’archivage des données Décision de la CNIL concernant les procédures et les

mesures de sécurité applicables à l’archivage des données à caractère personnel

L’obligation de sécurité est applicable aux tiers traitant les données pour le compte d’une entreprise

Tout manquement aux obligations de sécurité peut entraîner la mise en œuvre de la responsabilité pénale : 5 ans d’emprisonnement et/ou 300.000€ d’amende (x5 pour les personnes morales)


Obligations applicables au responsable du traitement de données -fin

▫Autorégulation et Codes de conduite: Les organisation professionnelles et les

associations peuvent développer leur propre système d’autorégulation concernant la prospection et la collecte des données à caractère personnel Par exemple, les associations marketing

suivantes ont développé des Codes de conduite, approuvés par la CNIL : le Syndicat national de la communication directe (SNCD) et l’Union française du marketing direct (UFMD)


Protection des données et internet•Règles spécifiques applicables à la

protection des données et à internet▫Sites web

▫Cookies

▫Sollicitations commerciales et spamming

▫Données de connexion


Sites web▫Sur certains sites web, il peut être demandé de

remplir un questionnaire (ex. sites de e-commerce). Ces questionnaires doivent préciser quelles questions/réponses sont obligatoires pour pouvoir fournir le service ou traiter la commande et lesquelles sont optionnelles

▫Les fichiers de données personnelles collectées par l’intermédiaire du web sont soumis à toutes les dispositions de la Loi Informatique et Libertés à partir du moment où le site vise le public français (en France) et/ou est exploité par une personne morale de droit français.


Cookies ▫ « Un cookie est un enregistrement d'informations par le

serveur dans un fichier texte situé sur l'ordinateur client (le vôtre), informations que ce même serveur (et lui seul) peut aller relire et modifier ultérieurement » (déf. CNIL)

▫ Les cookies permettent la collecte de données à l’insu de l’internaute.

▫ Ces données permettent ensuite d’identifier le profil des utilisateurs : fréquence de retour sur le site, type et nombre de pages vues, etc.

▫ Ils sont utilisés à des fins de marketing▫ L’utilisation de cookies par les sites web est autorisée,

sous réserve d’informer les utilisateurs de leur présence sur le site et la possibilité de les refuser

▫ Toute absence de notification est constitutive d’un délit (art. 226-18 du Code pénal)


SpammingLe spamming consiste en l’envoi en masse de courriels

non-sollicités à un grand nombre de destinataires avec lesquels l’émetteur n’a pas de contacts pré-existants

▫ Les adresses électroniques ont généralement été collectées de manière illicite

▫ La pratique du spamming est différente de la prospection commerciale/sollicitation qui sont des pratiques licites

▫ Les traitements de données dans le but de prospection commerciale sont soumis aux dispositions de la Loi Informatique et Libertés à partir du moment où le public concerné est situé en France

▫ La personne concernée doit donner son consentement libre, spécifique et informé pour la collecte (système de l’opt-in), sauf concernant les messages marketing pour des produits ou services identiques ou similaires à ceux préalablement fournis (système de l’opt-out autorisé)


Données de connexion▫ Jusqu’à récemment, la CNIL recommandait vivement

que les données de connexion ne soient conservées que pour la durée de la transmission des données

▫ Un certain nombre d’exceptions ont, par la suite, été admises: les FAI et opérateurs de télécom ont été autorisés à conserver les données de connexion à des fins de facturation et de paiement; également aux fins d’aider les autorités de police et la sécurité nationale

▫ La LCEN du 21 juin 2004 dispose désormais que les FAI et les hébergeurs doivent conserver les données de connexion pendant une période d’un an et divulguer ces données aux autorités/forces de l’ordre à leur demande afin de les aider dans le cadre de leurs enquêtes


Transfert de données à l’international

à l’intérieur de l’Union Européenne

à l’extérieur de l’UE, vers un pays présentant un niveau de protection adéquat

à l’extérieur de l’UE, vers un pays ne présentant pas un niveau de protection suffisant

42

Transferts au sein de l’UE▫ L’un des objectifs principaux de la directive sur la

protection des données de 1995 a été de créer un ensemble de règles relatives à la protection de la vie privée commun à tous les pays membres de l’UE : Pour établir un système de protection de haut niveau

équivalent dans tous les Etat-membres Pour éliminer les obstacles aux échanges de données

nécessaires au bon fonctionnement du marché intérieur

▫ Nécessité d’équilibrer les finalités de libre circulation des données entre les Etats-membres tout en sauvegardant les droits fondamentaux des personnes


Transferts au sein de l’UE

▫Principe : pas de restriction aux transferts de données à caractère personnel vers un autre Etat-membre

Extension aux pays membres de l’EEE (Espace économique européen – Islande, Norvège, Liechtenstein)


Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat

▫Principe : tout transfert de données personnelles hors de l’UE est soumis à la condition que le pays destinataire fournisse un niveau de protection de la vie privée et des droits fondamentaux des personnes (art. 68 Loi Informatique et Libertés) – à savoir, un niveau de protection adéquat


Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat

▫La Commission Européenne est la seule autorité pouvant décider quels pays paraissent présenter un niveau adéquat de protection de la vie privée, compte tenu des critères figurant dans la directive de 1995. A ce jour, seul un nombre très limité de pays ont été

admis comme présentant ce niveau de protection: L’Argentine, le Canada, Guernesey, L’Ile de Man, la Suisse Pour les Etats-Unis, seules les sociétés ayant choisi de se

conformer aux principes du Safe Harbor sont concernées


Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant

▫Principe : aucun transfert de données personnelles vers un pays non-membre de l’UE ne présentant pas un niveau de protection adéquat n’est autorisé Cela inclus les transferts de données intra-groupes, à

savoir, les transferts entre les sociétés d’un même groupe mais opérant dans des régions du monde différentes

Sauf si le destinataire s’engage à fournir un niveau de protection de la vie privée suffisant


Pays ne présentant pas un niveau adéquat de protection•Exception

▫Art. 69 de la loi Informatique et libertés Consentement de la personne concernée Transfert nécessaire à l’une des conditions

énumérées à l’article 69 de la loi

48

Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant▫Les sociétés peuvent décider individuellement

de se conformer aux obligations de fournir un niveau de protection suffisant aux données à caractère personnel transférées vers des pays qui n’offrent pas un niveau de protection adéquat Trois systèmes ont été développés pour permettre aux

entreprises de transférer les données à l’international Le contrat standard de transfert de données Les Safe Harbour Principles (Etats-Unis) Les Binding Corporate Rules (BCR)


Contrat standard ou Clauses Contractuelles Types

La Commission européenne a développé un contrat standard de transfert de données (publié en 2001 et modifié en 2004). Ce document contient un certain nombre d’obligations à la charge de l’importateur des données : Mise en œuvre de procédures de sécurité applicables au transfert de

données et au traitement Respect de la finalité du traitement de données Identification d’un service interne responsable du suivi des

demandes de l’exportateur des données et de la CNIL, ainsi que des questions posées par les personnes concernées

L’exportateur des données doit s’assurer que l’importateur est capable de respecter les obligations légales Les entreprises ne sont pas obligées d’utiliser le contrat standard. Si

elles l’utilisent, aucune stipulation contractuelle ne peut être modifiée (principe du « tout ou rien »)


Contrat standard

•Lien sur le site de la CNIL•Les clauses contractuelles type •http://www.cnil.fr/vos-responsabilites/tran

sferer-des-donnees-a-letranger/contrats-types-de-la-commission-europeenne/

51

Les Clauses Contractuelles Types •modèles de contrats de

transfert adoptés par la Commission européenne▫les Clauses Contractuelles Types encadrant

les transferts de données personnelles entre deux responsables de traitement (CCT 2001 et 2004)

▫les Clauses Contractuelles Types encadrant les transferts de données personnelles entre un responsable de traitement et un sous-traitant (CCT 2010)

52

DéfinitionsResponsable de traitement : Sous-traitant :

• personne, autorité publique, service ou organisme qui détermine les finalités et les moyens du traitement. Un responsable de traitement se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement.

• personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données à caractère personnel pour le compte et sur instruction du responsable du traitement.

53

Le Safe Harbor▫ Le Safe Harbor (Sphère de sécurité) repose sur une

démarche volontaire d’entreprises établies aux Etats-Unis qui s’auto-certifient comme adhérant à une série de principes de protection des données personnelles et de protection de la vie privée, publiés par le « Ministère du commerce » des Etats-Unis (US Commerce Department)

▫ Les Etats-Unis privilégient le principe de l’auto-régulation et du contrat en matière de protection des données à caractère personnel

▫ La Commission européenne a adopté le 26 juillet 2000 une décision d’adéquation qui reconnaît que les principes du Safe Harbor assurent une protection adéquate


Le Safe Harbor▫ Les Safe Harbor Principles

Des FAQs complètent le dispositif avec un rappel des règles de base, notamment:

▫ Les principes, négociés entre les autorités américaines et la Commission européenne, sont essentiellement basés sur ceux de la directive de1995 : Information des personnes Possibilité accordée à la personne concernée de s’opposer à un transfert à des

tiers ou à une utilisation des données pour des finalités différentes Consentement explicite pour les données sensibles Droit d’accès Sécurité Etc.

▫ La liste des entreprises adhérentes au Safe Harbor est dressée par le « Ministère du commerce » US et publié dans un registre public


Le safe Harbor

▫Toutes les entreprises américaines ne choisissent pas de se conformer aux principes du Safe Harbor

▫Dans le cadre des transferts internationaux de données à caractère personnel, elles peuvent également choisir de mettre en place des systèmes de transferts régis contractuellement : Contrat de protection de la vie privée Binding Corporate Rules


Les Binding Corporate Rules

Système similaire à un contrat intra-groupe (ex. General Electric, Microsoft) contenant un ensemble de règles applicables à la protection des données personnelles et aux transferts de données à l’intérieur du groupe. Les BCRs sont communiquées à l’autorité de régulation des données à caractère personnel d’un Etat-membre de l’UE pour approbation/validation. Une fois approuvées par une autorité les BCRs seront automatiquement reconnues comme valides par les autres autorités

Système développé par quelques très grandes entreprises et validé à niveau européen par le « groupe de l’article 29 » (groupe des représentants des autorités de protection des données personnelles des différents Etats-membres) issu de l’article 29 de la directive de 1995


la protection des données personnelles

Documents