Pour gérer vos consentements :

Privacy Shield : Bruxelles se range sous un blason décrié

Un texte examiné « dans la précipitation », qui « passe sciemment à côté du cœur de l’arrêt de la CJUE invalidant le Safe Harbor » et enfreint la Charte des droits fondamentaux de l’UE en ouvrant la voie à une « braderie sordide de la vie privée de dizaines de millions d’internautes européens » : La Quadrature du Net a un avis tranché sur le Privacy Shield.

La Commission européenne a adopté, mardi 12 juillet 2016, ce dispositif voué à encadrer les flux transatlantiques de données personnelles en apportant aux citoyens des garanties et des voies de recours concernant la protection de leurs droits.

Le Privacy Shield constitue une « décision d’adéquation » par laquelle les 28 États membres de l’Union européenne – auxquels s’ajoutent la Norvège, le Liechtenstein et l’Islande, sous l’égide du groupe « Article 31 » – reconnaissent que les États-Unis assurent un niveau suffisant de protection des données personnelles.

En conséquence, sous réserve de répondre aux exigences inscrites dans le texte, une entreprise peut transférer, sans restrictions, des données de citoyens européens vers l’autre côté de l’Atlantique.

Le Safe Harbor portait ce même objectif, mais la Cour de justice de l’Union européenne l’a invalidé le 6 octobre 2015, dans le cadre d’une procédure intentée contre Facebook par le dénommé Maximillian Schrems, résident autrichien.

Depuis lors, une course contre la montre s’est enclenchée, sous l’impulsion d’organisations telles que DigitalEurope, qui regroupe essentiellement des firmes américaines du numérique (Amazon, Google, HPE, Intel…).

Un bouclier pour tous ?

En février dernier, Bruxelles et Washington avaient trouvé un accord auquel Microsoft avait été la première grande entreprise IT à se rallier officiellement, sous conditions.

Du côté des défenseurs des libertés civiles à l’ère numérique, on évoquait un « Safe Harbor 1.1 », fait de « réchauffé », tout particulièrement parce qu’il ne requérait alors aucune modification substantielle de la loi aux États-Unis.

Entre-temps, les CNIL européennes, plusieurs gouvernements et le Parlement à Strasbourg ont exprimé des inquiétudes, pointant notamment du doigt le fait que si les États-Unis font le distinguo entre « collectes massives » et « surveillance massive », l’Union européenne ne peut adopter la même approche au regard de la décision CJUE du 6 octobre 2015.

Des voix se sont aussi élevées contre le mécanisme de médiateur ( « Ombudsperson »). Ce dernier doit officier au sein du département d’État américain, « en toute indépendance » vis-à-vis des services de renseignement, pour examiner les recours des citoyens européens qui estiment qu’une entreprise américaine a commis un abus dans le traitement de leurs données personnelles.

Côté américain, on s’impatiente. Ainsi Julie Brill, ancienne commissaire à la FTC, confiait-elle dernièrement à Politico : « Les législateurs européens vont devoir décider clairement la manière dont ils se positionnent par rapport au reste du monde ».

La Quadrature du Net dénonce précisément cette pression « qui a forcé les États membres à analyser et à adopter le texte en seulement une semaine, et ce alors même que les CNIL européennes ne se réuniront que le 25 juillet pour évaluer si leurs attentes et leurs réserves ont été prises en compte ».

« Surveillance » ou « collecte » ?

Le ton est différent chez Andrus Ansip. Le vice-président de la Commission européenne chargé du numérique considère que le Privacy Shield apporte « un niveau de protection élevé aux citoyens » et « une sécurité juridique aux entreprises ».

Sur ce dernier point, des dispositions se sont ajoutées par rapport au Safe Harbor. Tout particulièrement l’obligation, pour les sous-traitants d’une entreprise réalisant des transferts sous l’égide du Privacy Shield, de fournir le même niveau de protection des données. Le texte est aussi plus explicite sur la rétention desdites données.

En matière de surveillance, la Maison Blanche a pris des engagements écrits, tout en apportant des clarifications sur les conditions des « collectes massives ». Elle a aussi accepté que le Privacy Shield soit réétudié à fréquence annuelle par le département du Commerce, en association avec la Commission européenne.

Pour démontrer que les lignes ont bougé depuis l’affaire Snowden, l’administration U.S. met en avant une directive de janvier 2014 qui restreint la marge de manœuvre du renseignement américain ; et l’USA Freedom Act de 2015, qui limite la portée des collectes de données.

Pour ce qui est des voies de recours, les autorités européennes chargées de la protection des données personnelles transmettront les dossiers au département américain du Commerce ou à la Federal Trade Commission.

Crédit photo : Sashkin – Shutterstock.com

Recent Posts

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

2 jours ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

6 jours ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

2 semaines ago

GenAI : comment choisir une solution « prête à l’emploi »

Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…

3 semaines ago

Sora : comment fonctionne le nouveau modèle text-to-vidéo

OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…

1 mois ago

GenAI : qui peut accéder à Gemini (ex Bard) ?

Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…

1 mois ago