Directive 95/46/EC du Parlement européen: " (46) considérant que la protection des droits et libertés des personnes concernées à l’égard du traitement de données à caractère personnel exige que des mesures techniques et d’organisation appropriées soient prises tant au moment de la conception qu’à celui de la mise en oeuvre du traitement, en vue d’assurer en particulier la sécurité et d’empêcher ainsi tout traitement non autorisé; qu’il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l’état de l’art et du coût de leur mise en oeuvre au regard des risques présentés par les traitements et de la nature des données à protéger"

“Sécurité. Les organisations doivent prendre les précautions raisonnables permettant de protéger les informations personnelles contre toute perte, utilisation abusive et accès non autorisé, diffusion, altération et destruction.”

La directive de la Commission européenne sur la protection des données, entrée en vigueur en octobre 1998, interdit le transfert de données personnelles vers des nations de l’Union européenne qui ne respectent pas la norme d’adéquation sur la protection de la confidentialité. Malgré le fait que les États-Unis et l’Union européenne partagent l’objectif d’améliorer la protection de la confidentialité de leurs citoyens, les États-Unis ont une approche de la confidentialité différente de celle de l’Union européenne. Afin de relier ces différentes approches et de fournir aux organisations américaines un moyen simple de suivre la Directive, le Department of Commerce (Ministère de l’Économie et des Finances américain), en accord avec la Commission européenne, a élaboré un cadre "Safe Harbor" (Sphère de sécurité) et ce site Internet afin de fournir toutes les informations dont une organisation a besoin pour évaluer, et respecter, le Safe Harbor. La sécurité des informations fait également partie de la loi Safe Harbor.