Données personnelles : Vers un échec du Privacy Shield ?

Article paru le 22 juillet 2016 | Partager sur les réseaux sociaux

Classé dans : Entreprise numérique Réglementaire

Le 12 juillet 2016, les États-Unis et la Commission Européenne ont adopté le Privacy Shield ou « bouclier de protection des données » en réponse à l’annulation du Safe Harbor en octobre 2015. Cette nouvelle mesure à pour vocation d’encadrer le transit des données entre les deux continents en garantissant notamment aux citoyens de l’Union Européenne une meilleure protection de leurs données personnelles.
Pourtant, ce traité est déjà largement critiqué par la CNIL et les autres instances de protection des données européennes qui l’estiment inabouti et considèrent insuffisant les engagements pris par les autorités américaines pour garantir le respect des principes qui y sont déclinés.

Que contient réellement ce traité ? Pourquoi défraye t-il autant la chronique ? Afin de répondre à ces questions, revenons quelques années en arrière au moment de la création du Safe Harbor.

Le Safe Harbor : une tentative avortée de protection des données.

La CNIL définit le Safe Harbor comme « un ensemble de principes de protection des données personnelles publié par le département du commerce américain, auquel des entreprises établies aux États-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractères personnel en provenance de l’Union Européenne ».

Parmi ces principes, on retrouve :

  • L’obligation d’informer les consommateurs de la collecte et de l’utilisation de leurs données personnelles.
  • L’obligation d’obtenir le consentement des consommateurs avant toute communication de ces données personnelles à un tiers-parti
  • L’obligation d’assurer la sécurité et l’intégrité des données utilisées.

Pendant 15 ans, le Safe Harbor a fourni un cadre réglementé aux échanges de données entre le continent américain et l’Europe jusqu’à la plainte déposée par Maximilian Schrems contre la filiale irlandaise de Facebook suite à la mise en lumière du programme PRISM, un programme de surveillance de masse des données mis en place par la NSA (révélé lors de l’affaire Snowden). Ce programme, considéré comme une « atteinte au contenu essentiel du droit fondamental au respect de la vie privée » [1] , avait provoqué l’annulation du traité le 6 octobre 2015 par la Cour de Justice de l’Union Européenne (CJUE).

Le Privacy Shield une version plus aboutie du Safe Harbor ?

Cette annulation du Safe Harbor en 2015 avait laissé les entreprises dans une impasse. En effet, le traité assurait un cadre légal au transfert des données outre-Atlantique ; mais en son absence et sans autorisation de la CNIL, tout échange de donnée avec les États-Unis était devenu illégal.
La situation n’était donc pas viable sur le long terme.
Afin de palier ce problème, un groupe de travail a été chargé de trouver un nouvel accord qui rétablirait un cadre légal pour les échanges de données avec les États-Unis et servirait au mieux les intérêts des citoyens européens : le Privacy Shield était né.

Outre le manque de protection des consommateurs face à la surveillance massive des données perpétrée par les services de renseignement américains, il était également reproché au Safe Harbor de ne pas fournir aux citoyens européens de moyen de recours en cas d’utilisation non autorisé de leurs données personnelles sur le territoire américain. Le Privacy Shield tient compte de ces points grâce notamment à l’amendement du Judicial Redress Act, qui à travers la création d’un médiateur« Ombudsperson » permet le suivi des plaintes déposées par les citoyens européens contre les entreprises américaines.

Le traité prévoit également une revue annuelle des mécanismes de contrôle du Privacy Shield afin de vérifier leur pertinence et leur bonne mise en application.
On comprend dès lors que le Privacy Shield est donc une version plus aboutie du Safe Harbor.

Un accord pourtant déjà menacé d’annulation

Malgré les différentes améliorations apportées à l’accord sur la protection des données, de nombreuses réserves ont été émises notamment par la CNIL, quant à son efficacité.

Plusieurs points sont remis en question, dont :

  • Le manque de clarté du texte, qui rend son analyse et par extension son application complexe
  • L’absence d’information sur la durée de conservation des données
  • L’absence de précision sur les modalités d’application de la surveillance de masse des données
  • Le manque d’indépendance du médiateur Omdubsperson, vis-à-vis des services de renseignements américains.

Face à ces incertitudes, quatre pays se sont abstenus de voter : l’Autriche, la Slovénie, la Bulgarie et la Croatie ; jugeant ainsi insuffisantes les mesures de protection mises en place.

L’affaire est à suivre : le 25 juillet 2016, les autorités de protection des données se réuniront afin d’émettre un avis sur ce traité. Toutefois, au regard des critiques formulées à date, les jours Privacy Shield pourraient bien être comptés…

[1] Communiqué de presse n°117/15 de la cours de justice de l’union européenne.

Sources :
http://europa.eu/rapid/press-release_MEMO-16-434_en.htm
https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield
https://www.cnil.fr/fr/adoption-de-la-decision-dadequation-du-privacy-shield-par-la-commission-europeenne
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf
https://www.cnil.fr/sites/default/files/typo/document/CNIL-transferts-SAFE_HARBOR.pdf
http://www.presse-citron.net/vie-privee-le-safe-harbor-cest-fini-place-au-privacy-shield/

Partagez cet article sur les réseaux sociaux