• #Données
  • #Privacy Shield
  • #Réglementation
  • #Sécurité

Le Privacy Shield, une donnée à l’avenir incertain ?

À peine adopté, le Privacy Shield, cet accord euro-américain sur le transfert de données entre l’Union Européenne (UE) et les États-Unis, semble emprunter la même voie que son prédécesseur, le Safety Harbor. En effet, alors qu’il est censé limiter l’aspiration de métadonnées par les agences de renseignements américaines, l’accord ne semble pas avoir les arguments suffisants pour convaincre les plus sceptiques !

Le 12 juillet dernier, l’UE a adopté le Privacy Shield. Cet accord entre les États-membres européens et les États-Unis a pour principale vocation d’améliorer la collaboration transatlantique concernant l’emploi qui est fait des données personnelles de leurs concitoyens respectifs. Des sujets tels que la surveillance de masse étaient donc en ligne de mire, afin de permettre au Privacy Shield d’être en accord avec les enjeux de société.

En effet, outre cette question de l’usage des données personnelles, l’année dernière avait vu la Cour de Justice de l’Union Européenne (CJUE) invalider l’ancienne version de l’accord, alors appelée Safe Harbor. Jugé peu enclin à réellement protéger l’usage qui pouvait être fait des données personnelles des citoyens européens une fois en transit sur le sol américain, l’accord avait nécessité une remise à zéro des négociations devant aboutir à l’actuel Privacy Shield.

C’est pourquoi les attentes vis-à-vis de ce dernier étaient grandes. Cependant, les premières impressions qui ressortent de cette nouvelle version récemment adoptée ne présagent rien de fameux pour sa longévité. En effet, Max Shrems, un juriste autrichien, et Jan-Philipp Albrecht, eurodéputé Vert, ont publié une tribune dans l’Irish Times sur le sujet, ils y évoquent que « le Privacy Shield doit respecter les critères définis par l’UE et ses cours de justice, qui ont clairement indiqué que la collecte de masse est incompatible avec le droit fondamental à la protection des données personnelles » or, ils ont constaté « que les règles [du Privacy Shield] n’arrivent pas à la cheville des règles imposées par l’UE. […] Étant donné ses nombreux manquements, il est très probable que [cet accord] soit invalidé par la justice européenne. »

En effet, il semble que les actions imposées aux instances américaines ne soient pas réellement contraignantes.  De la sorte, les agences américaines, telles que la NSA (National Security Agency) et le FBI (Federal Bureau of Investigation), ont interprété à leur avantage l’utilisation des données pour la surveillance de masse. Ils ont ainsi précisé qu’ils continueraient la collecte, mais sans la rendre « massive », terme qu’ils apparentent au stockage de la totalité d’Internet par un seul acteur. De même, ils s’engagent à ne pas recueillir d’informations sans avoir établi de critères au préalable, soit une recherche directe de numéros et d’adresses par exemple à la place de la collecte d’informations non qualifiées. Une pratique qui n’est pas sans rappeler celle pointée du doigt lors de l’affaire Snowden initiant une crise de confiance de la part de bon nombre d’utilisateurs de nouvelles technologies.

Crédit photo : http://goldenageofgaia.com/wp-content/uploads/2013/09/nsa-hq.jpg Siège de la NSA
Crédit photo : http://goldenageofgaia.com/wp-content/uploads/2013/09/nsa-hq.jpg
Siège de la NSA

Du côté des entreprises, Google, Facebook, Microsoft et toutes autres organisations amassant des données d’utilisateurs, doivent pratiquer une « auto-certification ». Il faut entendre par là le respect d’une liste de principes, tels que communiquer sur la finalité d’usage des données, laisser la possibilité aux utilisateurs d’obtenir ou de corriger leurs données transmises (et non de les supprimer !) ou encore demander le consentement explicite en cas d’utilisation de données sensibles. Basés sur la bonne volonté de chaque entreprise, la seule vérification est faite par le Département du Commerce américain (DoC pour Department of Commerce) qui enregistre annuellement les entreprises se conformant à la pratique.

Enfin, en cas de litige avec une entreprise, les propriétaires des données possèdent des recours mis en place par le Privacy Shield. Toutefois, leur complexité risque de dissuader toute action. En effet, en premier lieu c’est au DoC d’intervenir afin de vérifier que l’entreprise respecte bien les principes de l’accord et ce, même si vous vous adressez à des gardiens des données nationaux, tels que la Commission Nationale de l’Informatique et des Libertés (CNIL) pour la France. S’en suit une attente de réaction de la part de l’entreprise pouvant atteindre 75 jours, 45 jours puis 30 supplémentaires si elle n’a pas répondu. Passé ce délai, si elle n’a toujours pas réagi à la plainte de l’utilisateur, elle est rayée de la liste des entreprises en accord avec le Privacy Shield et c’est au tour de la Federal Trade Commission (FTC, Autorité de la concurrence américaine) de lancer une procédure pouvant aboutir à une amende et des dommages et intérêts.

Sur le seul aspect relatif à la surveillance de masse, difficile de croire que le Privacy Shield puisse faire mieux que le Safe Harbor en termes de longévité. La prochaine échéance, le 25 juillet, verra les autorités de protection de données européennes chargées de l’application dans chaque Etat-membre, émettre leur avis concernant l’accord. Du côté des entreprises, le groupe DigitalEurope, qui représente Apple, Google et Microsoft, est cependant sûr qu’il repassera devant la CJUE, instance européenne à l’origine de l’invalidation du  Safe Harbor.

Reste à voir si la Cour de Justice considérera que le Privacy Shield diffère bel et bien de son prédécesseur en termes de respect des données personnelles des citoyens européens par les agences de renseignement américaines. Les faits montrent que ce n’est pas nécessairement le cas… Affaire à suivre !

Crédit photo : https://www.accessnow.org