Pour gérer vos consentements :

Safe Harbor 2 : l’UE veut un rapport des entreprises sur les requêtes US

Pressée d’obtenir un nouveau cadre au transfert de données après l’invalidation du mécanisme Safe Harbor, la Commission européenne demande davantage de garanties aux États-Unis. Bruxelles veut le signalement par les entreprises américaines des demandes d’accès aux données de citoyens européens émanant des services de renseignement américains, rapporte le Wall Street Journal.

Comment en est-on arrivé là ? Considérant que le niveau adéquat de protection des données personnelles n’était pas assuré, la Cour de Justice de l’Union européenne (CJUE) a invalidé, le 6 octobre 2015, l’accord dit Safe Harbor du 26 juillet 2000. Plus de 4000 entreprises américaines qui y adhèrent, ainsi que les entreprises européennes qui leur transmettent des données, sont dans l’expectative. Même s’il existe des alternatives (clauses contractuelles types, règles internes d’entreprise ou BCR), la base légale des transferts de données vers les États-Unis doit être précisée dans le cadre d’un nouvel accord intergouvernemental.

Un « double contrôle »…

Les deux blocs ont déjà accepté la publication à venir d’un rapport annuel sur les demandes d’accès aux données de citoyens européens par les services fédéraux américains. L’Union européenne veut désormais obtenir « un double contrôle » opéré par les entreprises elles-mêmes. Et ce pour déterminer avec plus de précision le nombre et la fréquence des requêtes du renseignement américain. Mais des divergences perdurent. Washington accepterait l’idée d’un signalement sur une base volontaire uniquement, alors que Bruxelles veut le rendre obligatoire, a indiqué Vera Jourova, commissaire européenne chargée de la Justice, dans un entretien. La Commission souhaite aussi obtenir davantage d’informations « qualitatives » pour veiller à ce que l’accès des fédéraux soit « strictement nécessaire » et proportionné. Ces données qualitatives ne seraient pas rendues publiques pour ne pas compromettre le travail des services de renseignement, a indiqué la commissaire.

Volontaire ou obligatoire ?

Depuis le scandale des écoutes massives de la NSA (National Security Agency), Google, Twitter, Facebook et d’autres entreprises technologiques publient périodiquement des rapports sur les demandes d’information utilisateurs émanant de gouvernements et de leurs services de renseignement. Mais l’industrie IT américaine le fait volontairement et selon ses propres termes. Par ailleurs, pour les lettres de sécurité nationale (NSL) et les demandes formulées par l’administration américaine dans le cadre de la loi FISA (Foreign Intelligence Surveillance Act), les entreprises américaines peuvent uniquement fournir des fourchettes larges (de 0 à 999 demandes…).

Il y a urgence

Pour Vera Jourova, qui s’est aussi exprimée en faveur de la poursuite des réformes de la législation américaine visant à limiter la surveillance de masse, chaque partie comprend « l’urgence » d’un accord de « haut niveau ». Safe Harbor 2 devra répondre pleinement aux exigences de la CJUE, pour que le cadre résiste aux défis juridiques posés par les régulateurs en charge de la protection des données. Réunis au sein du groupe des CNIL européennes (G29), ces derniers attendent des autorités européennes et américaines une solution « satisfaisante » avant le 31 janvier 2016.

Lire aussi :

Safe Harbor : l’UE presse les Etats-Unis à négocier
Safe Harbor : l’ultimatum des CNIL européennes

crédit photo © Gts / Shutterstock.com

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

9 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

9 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

13 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

16 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

18 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago