Il y a maintenant 200 entreprises s’abritant derrière le Privacy Shield, l'accord-cadre permettant aux sociétés de traiter les renseignements personnels des citoyens de l'Union européenne sur des serveurs aux États-Unis. Pour bénéficier du Privacy Shield, les entreprises doivent s’inscrire auprès de l'International Trade Administration du département américain du Commerce. Il s’agit d’un processus d'auto-certification très souple, de sorte que l'ITA doit seulement vérifier que les formulaires sont remplis correctement, et non pas que les entreprises respectent toutes les règles de confidentialité de l’accord. Des sanctions peuvent toutefois être appliquées ensuite en cas de manquements. Le Privacy Shield est un passage obligé pour s’assurer que les renseignements personnels des citoyens européens bénéficient de la même protection juridique aux États-Unis comme l'exige la législation de l'UE.
L'ITA a commencé le traitement des demandes le 1er août dernier, et le 26 août, l’organisme avait accepté 90 dossiers, sur un total de 200 entreprises y compris les « entités couvertes supplémentaires ». Microsoft et Salesforce comptent parmi les sociétés ayant déposées des dossiers. La promesse de Microsoft d’accepter toutes les règles de confidentialité du Privacy Shield couvre les données traitées par ses entités aux Caraïbes, en Inde, les activités mobiles et en ligne, les ventes régionales et les divisions chargées des licences, ainsi que la société principale.
Microsoft a ratissé large
Mais ce même enregistrement indique également que les données des citoyens de l'UE pourraient être traitées par une douzaine d'acquisitions partiellement digérées par Microsoft : Acompli, achetée en 2014 pour améliorer la messagerie mobile Outlook ; Blue Stripe Software, une société de gestion de cloud acquise en 2015; l’écran d’accueil pour smartphone Android Double Labs ; Equivio spécialisée dans l’analyse de documents ; FieldOne Systems, une extension à Dynamics CRM ; ou encore l’outil de cartographie en ligne Vexcel et la plate-forme décisionnelle pour Office 365 VoloMetrix. L'enregistrement de Salesforce.com est plus simple et couvre « Salesforce.com, inc et ses filiales américaines ».
Le Privacy Shield a succédé au Safe Harbor, qui a couvert les transferts de données transatlantiques de juillet 2000 à octobre 2015, après que la Cour de justice de l'Union Européenne (CJUE) a jugé qu'il fournissait une protection insuffisante pour les données personnelles des citoyens Européens. 5 534 organisations avaient signés le Safe Harbor avant la décision de la Cour de Justice, avec un statut de certification toujours répertorié comme « courant » pour 3 375 d'entre elles. Si l'ITA continue de traiter les auto-certifications au rythme actuel, deux ans ou plus seront nécessaires pour placer toutes ces organisations sous le parapluie Privacy Shield.
Facebook tente aussi d'échapper au Privacy Shield
Une entreprise emblématique ne bénéficie pas encore du Privacy Shield. Il s’agit de Facebook. Son enregistrement auprès du Safe Harbor avait indirectement conduit à l'effondrement du cadre juridique, après une plainte au Commissaire à la protection des données irlandaise à propos de sa politique de confidentialité qui a donné lieu à une question juridique à propos du Safe Harbor auprès de la CJUE.
Depuis la décision de la CJUE, Facebook maintient qu’il ne dépendait pas du Safe Harbor, mais bénéficie d’autres mécanismes juridiques lui permettant de traiter les informations personnelles des citoyens Européens aux États-Unis. Il s’agit d’accords privés bilatéraux passés entre une société avec un siège européen qui souhaite transférer des données à un prestataire américain.
Commentaire