Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Privacy shield : vers une confiance renouvelée ou bafouée ?

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur le bouclier mis au point pour protéger les données personnelles des citoyens européens. Où l'on découvre que les Aliens sont concernés...    
Twitter Facebook Linkedin Flipboard Email
×

Privacy shield : vers une confiance renouvelée ou bafouée ?
Moins beau que ces boucliers traditionnels africains, le bouclier juridique européen pourrait bien être aussi moins efficace. © publicdomainpictures.net

Et si on commençait par un executive summary à la française, ce pourrait être :

"Maître Corbeau, en UE protégé,

Tenait en son bec des données.

Maître Renard, par la monnaie attiré,

Lui tint à peu près ce langage :

"Privacy Shield, mon ami"


Vendredi 8 juillet, les représentants des Etats membres de l’Union européenne ont approuvé la version finale du bouclier de protection des données UE/Etats-Unis (ou Privacy Shield). Cette allégorie de choix permet de désigner le futur cadre juridique de sécurité destiné à protéger les données personnelles des citoyens européens exportées vers les Etats-Unis. Concrètement, les entreprises européennes vont pouvoir recourir aux services des entreprises américaines (fournisseurs de prestation de cloud notamment) sans avoir besoin de recourir à des garanties appropriées (Binding Corporate Rules, Clauses Contractuelles Types) et sans autorisation préalable de l’autorité de contrôle (CNIL). Comme au bon vieux temps…

 

Pour rappel, ce nouvel accord va remplacer la sphère de sécurité (ou "Safe Harbor") qui avait été instituée par une décision de la Commission européenne en 2000 aux mêmes fins. Outre les énormes failles du dispositif, la sphère de sécurité n’ayant en rien gêné la collecte massive de données personnelles de citoyens européens notamment par la NSA (dénoncée par Snowden en 2013), la Cour de justice européenne avait invalidé la décision de 2000 en octobre 2015. Le "bouclier de protection" est donc venu grossir les écheveaux juridiques de l’Union européenne.

 

Le packaging ?... assez indigeste

Le bouclier de protection des données UE/Etats-Unis est un document dense et complexe constitué de la décision d’adéquation permettant de reconnaître un niveau de protection "essentiellement équivalent" aux exigences européennes (44 pages) et ses 7 annexes (104 pages).

 

Bonne lecture donc de ce Paquet documentaire quasi inchangé malgré les critiques du G29 dans son avis du 13/04/2016 notamment sur le manque de clarté de l’ensemble voire les incohérences terminologiques. Il semble donc que la Commission n’ait pas retenu le bien fondé d’un glossaire (dommage !), l’utilité d’ajouter certaines définitions pourtant fondamentales (telles « processor » …) ou certaines précisions nécessaires (sur la définition des personal data et de leurs traitements par exemple).

 

Le meaning ?... plutôt fumeux

Selon les déclarations de la Commission européenne du 8 juillet 2016, le bouclier de protection des données "impose des obligations plus strictes aux entreprises qui traitent des données et fait en sorte que ces règles soient appliquées et que leur respect soit assuré dans la pratique". Et avec une lecture moins complaisante ?

 

Sur les obligations prescrites, si le texte négocié avec les Etats-Unis prévoit effectivement différentes garanties, le bouclier de protection continue de reposer, à l’instar du cadre initial, sur une base d’auto-certification des entreprises américaines.

 

Sur l’application des règles et leur respect, les entreprises ayant adhéré volontairement aux principes du bouclier de protection gèrent leur conformité et sont placées sous le contrôle quasi exclusif … de l’administration américaine (Département du commerce américain et Federal Trade Commission).

 

Contrairement aux préconisations du G29 sur le "volet commercial", il apparait que certaines insuffisances n’ont pas reçu de correctif tel l’effacement des données qui n’est pas expressément prévu après la fin de la prestation ou en ce qui concerne les garanties requises pour les traitements automatisés de données qui semblent se résumer à une simple évaluation d’impact.

 

Par ailleurs, la protection des droits des citoyens européens et en particulier les voies de recours pourraient faire penser à un parcours du combattant face à l’administration américaine… enfin, que dire du médiateur (Ombudsperson), chargé de traiter les plaintes des citoyens européens, dont l’indépendance et les moyens sont intégralement garantis par les Etats-Unis.

 

… voire douteux

Quand la Commission ajoute; "Pour la première fois, les États-Unis ont donné par écrit à l’UE l’assurance que l’accès des pouvoirs publics aux données à des fins répressives et de sécurité nationale serait subordonné à des limitations, des conditions et des mécanismes de surveillance bien définis et ont exclu toute surveillance de masse non ciblée des données des citoyens européens"… De quoi parle-t-on ?

 

Sur l’assurance par écrit des Etats-Unis, il est donc fait référence à de simples lettres qui ont valeur (bien entendu) d’engagement ferme et fiable au même titre qu’une loi ou qu’une convention internationale.

 

Sur la surveillance de masse non ciblée, la liste des exceptions permettant aux pouvoirs publics d’accéder aux données des citoyens européens pose question. Le bouclier de protection ne s’appliquera pas aux situations intéressant la "sécurité nationale" et "l’ordre public " (ce qui comprend : la lutte contre le terrorisme, la protection contre les menaces visant les Etats-Unis et ses alliés, la détection de certaines activités de puissances étrangères, le crime organisé et… les aliens !! ).

 

Le timing ?... vraiment serré

C’est à court délai (le 12 juillet) et sur la base de la version approuvée du bouclier de protection des données que la Commission européenne a adopté et publié sa nouvelle décision d’adéquation permettant d’encadrer les transferts transatlantiques de données personnelles des citoyens européens. Toutefois, il faudra encore attendre un peu avant l’entrée en application effective du bouclier du fait, en particulier, du temps nécessaire à la mise en œuvre du mécanisme d’auto-certification (à compter du 01/08/2016).

 

Sans compter que le G29 (toutes les autorités de contrôle de l’UE) doit rendre un avis sur l’ensemble du document le 28 juillet étant noté qu’il semble que beaucoup de ses réserves précédemment formulées ne semblent pas avoir été suivies…

 

Le fair play, c'est de l'anglais, pas de l'américain

Malheureusement, quelles que soient les mesures de protection envisagées, on se heurte à une problématique de fond qui renvoie à nos conceptions des données personnelles. Pour l’Europe, il s’agit d’un droit fondamental intrinsèquement attaché à la personne (imprescriptible et incessible) alors que, outre atlantique, la donnée personnelle est potentiellement un bien comme un autre...

 

La question s’avère plus politique que juridique et malheureusement, pour le bouclier de protection des données comme pour le Règlement européen de protection des données, devra être très probablement tranchée par la Cour de justice de l’Union européenne.

 

Isabelle CANTERO, Avocat, Responsable du Pôle vie privée et données personnelles, Caprioli & Associés, société d’avocats

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale