Le Département américain du Commerce n’a pas commencé à valider les demandes d’adhésion au nouveau programme de protection des données Privacy Shield. Vingt-quatre heures après que les entreprises ont certifié leur conformité, aucune validation n’apparaissait encore sur le site Internet du Département. Microsoft a été l'une des premières à certifier qu’elle respectait les nouvelles règles s’appliquant au transfert des données personnelles des citoyens de l'Union européenne vers les États-Unis. La formalité d’enregistrement auprès de l'Administration du commerce international (ITA) du Département du Commerce est ouverte depuis lundi. « Nous espérons bien que notre demande sera approuvée dans les tout prochains jours », a déclaré le vice-président de Microsoft pour les affaires européennes John Frank, dans un blog de l’entreprise. « Microsoft n'a pas attendu l'approbation officielle pour commencer à appliquer les nouvelles règles », ajoute-t-il précisant encore qu’« à l'avenir, toutes les données que nous transférerons de l'Europe vers les États-Unis seront couvertes par les garanties de confidentialité du Privacy Shield ».

Workday, un fournisseur de services de ressources humaines et de services financiers dans le cloud, a également soumis sa demande de certification lundi. L'ITA va avoir du pain sur la planche si toutes les entreprises auto-certifiées dans le cadre du Safe Harbor antérieur choisissent de se réinscrire au Privacy Shield. Au cours des 16 années d’application du Safe Harbor, quelque 5534 entreprises s’étaient enregistrées, et le statut de certification était toujours répertorié comme « valide » pour 3375 d’entre elles. En octobre de l’année dernière, la Cour de justice de l’Union européenne avait invalidé le Safe Harbor, le jugeant insuffisant. Cette décision avait obligé l'UE et les responsables américains à trouver un cadre plus conforme pour protéger le transfert des données des utilisateurs européens de l’autre côté de l’Atlantique. De nombreuses entreprises multinationales sont tributaires de ces transferts pour leur fonctionnement interne, comme le traitement de la paie ou le traitement des informations clients.

Un système d'enregistrement en cinq étapes

Les fonctionnaires européens et l’administration américaine ont validé les nouvelles règles le 12 juillet, et le Département du Commerce a déclaré qu'il commencerait à accepter les certifications à partir du 1er août. Celui-ci a mis en place un système d’enregistrement en cinq étapes pour permettre aux entreprises de valider leur auto-certification. En premier lieu, celles-ci doivent s’assurer qu’elles sont éligibles au programme d’auto-certification. Par exemple, les banques et les opérateurs de télécommunications n’ont pas accès à ce programme. Ensuite, elles doivent mettre en place une politique de confidentialité claire et concise qui réponde à tous les principes du Privacy Shield. Notamment, elles doivent identifier le mécanisme de recours indépendant qu’une entreprise pourra utiliser en cas de litige, en général, un service d'arbitrage basé aux États-Unis, ou un accord autorisant une coopération avec les autorités européennes de protection des données. Les entreprises qui passent par l’auto-certification doivent également indiquer comment elles comptent s’y prendre pour vérifier leur conformité. Enfin, elles doivent désigner un contact Privacy Shield, c’est-à-dire une personne attitrée qui pourra répondre aux plaintes sous 45 jours.

Même si les entreprises certifient elles-mêmes leur conformité aux règles de confidentialité du Privacy Shield, le processus n’est pas gratuit. Pour le traitement des demandes, renouvelables tous les ans, et pour l’inscription au registre, le Département américain du Commerce fait payer des frais de dossier : les entreprises dont le chiffre d’affaires est inférieur à 5 millions de dollars doivent débourser 250 dollars, et celles dont le chiffre d’affaires dépasse les 5 milliards de dollars pourront payer jusqu’à 3250 dollars. Par ailleurs, les entreprises devront payer pour s’affilier à un service d'arbitrage ou pour couvrir les frais engagés par les autorités de protection des données pour traiter les plaintes.