En 1998, l’Union Européenne réglementait le droit à l’intimité des Européens sur Internet via la Directive sur la protection des données de l’UE, qui se retrouve en Espagne dans la Loi Organique de Protection des Données. Cette législation oblige les entreprises du Web à déclarer les données personnelles qu’elles stockent et interdit l’exportation de ces données vers d’autres pays (excepté entre pays européens qui sont soumis à la même Directive).
D’autres pays se sont ajoutés à la liste des législations sûres, mais pas les États-Unis, pour lesquels le transfert de données demeurait interdit par défaut. Avant l’impact de cette situation pour les commerces online américains en Europe, en juillet 2000 la Commission Européenne avait signé un accord de Safe Harbor. En vertu de cet accord, il était possible que les données personnelles circulent entre l’Europe et les États Unis et soient stockées là-bas avec une exigence de sécurité moindre que ce que dispose la norme européenne.
L’annulation en octobre 2015 de l’accord Safe Harbor (port sûr) a généré de multiples doutes pour les entreprises qui utilisent des services en ligne, quant au niveau actuel de respect de la législation de protection des données dans l’Union Européenne.
Bien que l’annulation de Safe Harbor soit un progrès pour la protection des données personnelles, c’est une mauvaise nouvelle pour les entreprises qui utilisent des outils pour stocker ce type de données de manière habituelle et qui vont devoir maintenant dédier du temps pour le respect de ces nouvelles conditions ou même changer de fournisseur.
Qu’est-ce qu’on entend par données personnelles
Les données personnelles sont toutes les informations qui permettent d’identifier ou qui rendent simplement identifiable une personne physique ou une adresse IP (prénom, noms, adresse, numéro de téléphone, immatriculation du véhicule, courrier électronique, photographie, images vidéo, etc.).
Si dans le cadre de son activité économique, l’entreprise traite des données personnelles de personnes physiques, elle est obligée de respecter la norme en vigueur pour les protéger. Ne sont pas qualifiées de personnes physiques les personnes décédées, les travailleurs indépendants, ni les personnes de contact des sociétés commerciales avec lesquelles se réalise une relation commerciale.
Afin de respecter la Loi de Protection des Données en Espagne (LOPD), il est nécessaire de :
- Notifier à l’Agence Espagnole de Protection des Données (AEPD) les fichiers de données avec lesquels l’entreprise travaille
- Informer les personnes concernées du moment de la récolte des données, de la finalité et des mécanismes dont elles bénéficient pour exercer leurs droits (ARCO : Accès, Rectification, Annulation, et Opposition)
- Garantir le respect des devoirs de secret et de confidentialité
- Elaborer un document de sécurité qui regroupe les moyens techniques et organisationnels adoptés pour garantir la protection des données.
Pour plus d’informations concernat l’annulation de l’accord Safe Harbor,