Les mois passent, les critiques persistent face au Privacy Shield. Une délégation de la commission des libertés civiles s’est rendue aux États-Unis. Ses conclusions font état de lacunes à combler d’urgence.
Le Privacy Shield est l'accord signé par la Commission européenne avec les États-Unis au lieu et place du Safe Harbor de 2000, annulé en octobre 2015 par la CJUE. Ces documents sont fondamentaux : ils fluidifient la circulation des données personnelles glanées sur le vieux continent par les géants des nouvelles technologies, mais aussi de plus petites structures.
Dans son fameux arrêt Schrems, la Cour de justice a cependant exigé des garanties solides dans l’exploitation de ce vivier afin d’éviter notamment la surveillance de masse de millions de données personnelles.
Clause de révision annuelle
Suivant l’arrêt de la CJUE, dans le Privacy Shield, une clause de revoyure ou de vérification annuelle a été intégrée afin d’apprécier dans le temps la solidité des engagements initiaux. À l’approche de la première vérification programmée en septembre, une délégation de la commission des libertés civiles (LIBE) s’est rendue à Washington. Menée par l’eurodéputé Claude Moraes, elle a constaté des problèmes persistants qui doivent être résolus, selon elle, d’urgence.
En guise d’exemples, elle cite les quatre postes vacants (sur cinq) au sein du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB) ou encore les pouvoirs de l’ombudsman, médiateur saisi via les CNIL nationales à la demande d’un citoyen. De même, la délégation s’interroge sur l’articulation de cet accord avec la Section 702 de la loi sur la surveillance et le renseignement étranger (loi FISA) permettant de rechercher des informations nominatives concernant les étrangers.
La charte des droits fondamentaux, le futur réglement sur les données personnelles
Autant de zones d’ombre qui « doivent être immédiatement prises en compte pour s'assurer que le Privacy Shield respecte la Charte des droits fondamentaux de l'UE et les nouvelles règles de protection des données de l'UE qui entrent en vigueur en mai 2018. Ce n'est que de cette façon que l'on pourra garantir que le protection de la vie privée résistera à l'épreuve du temps et qu'elle servira son but » explique Claude Moraes.
Ce n’est pas la première fois que des critiques sont adressées au Privacy Shield. Une résolution votée par les eurodéputés en avril dernier dressait déjà un sombre tableau de cet accord. Elle suivait les constats du autorités de contrôle européennes qui en juillet 2016 faisaient état « d’importantes préoccupations » concernant l’accès par les autorités américaines aux données transférées depuis l’Union européenne.
Plusieurs questions soulevées devant la Cour de justice de l'Union européenne
En plus de ces multiples fronts, la Quadrature du Net, FDN et FFDN ont ouvert une autre brèche devant la CJUE : celle-ci aura à examiner si le Privacy Shield est bien dans les clous des exigences de la jurisprudence Schrems. Les trois acteurs ont soulevé quatre moyens devant la justice européenne.
Ils reprochent en particulier à la Commission européenne d'avoir constaté que ce bouclier de protection des données « assure un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en dépit de l’absence de limitation au strict nécessaire des exploitations autorisées par la réglementation des États-Unis ».
Commentaires (5)
#1
Y’at-il réciprocité dans ce Privacy Shield, c’est-à-dire les entreprises Européennes ont-elles le droit de collecter de façon symétrique des données personnelles des citoyens Américains?
#2
Je parie que Trump lira ça aux toilettes, et que comme par hasard, il n’y aura plus de PQ…
#3
l’accord est là pour que la Commission puisse rendre une décision d’adéquation (les USA ont a priori une protection des données personnelle équivalente, ce qui simplifie les transferts de données vers les USA). Donc la réciprocité n’est pas nécessaire à proprement parler. En plus, je ne suis pas sûr mais il me semble que les USA n’ont eux pas besoin de décision d’adéquation pour les transferts hors USA.
Par contre, il est possible que l’accord en parle.
#4
Je crois que la concept de vie privée est beaucoup plus succint aux USA.
Exemple en France/EU opt-in obligatoire
USA: Opt-out
Bref, pas sur que la notion de vie privée inquiéte aux USA, du moins les autorités/politiques (pour les citoyens/consommateurs c’est autre chose).
#5