[Privacy Shield] Le remplaçant du Safe Harbor suscite déjà la méfiance des CNIL européennes

Business

Par Elodie le

Jusqu’à la dernière minute, les États-Unis et la Commission européenne auront maintenu le suspense sur la finalisation d’un nouvel accord portant sur le « Safe Harbor » invalidé par la CJUE en octobre dernier.

privacy_shield_accord_safe_harbor_méfiance_cnil_europe

Les rumeurs annonçaient l’échec des négociations, ce ne sera finalement pas un Safe Harbor 2 mais un Privacy Shield (bouclier de confidentialité).

Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) invalidait le Safe Harbor, coupant le robinet des données personnelles des internautes européens récoltés et analysées par les entreprises US. 4 000 firmes, dont les GAFA (Google, Apple, Facebook, Amazon), bénéficiaient de cet accord.

Le transfert des données ne s’est pas arrêté pour autant, la CJUE permettant sa poursuite tant qu’un nouvel accord n’avait pas été trouvé. Par ailleurs, divers mécanismes juridiques permettaient la continuité du business :

— l’article 26 de la directive 95/46/CE du 24 octobre 1995 (Directive sur la protection des données personnelles) permet à un État membre d’autoriser le transfert de données vers un pays n’assurant pas un niveau de protection adéquat.

— les Binding Corporate Rules (BCR) permettent également de déroger à la règle. La CNIL les définit comme « un code de conduite interne qui définit la politique d’un groupe en matière de transferts de données personnelles hors de l’Union européenne. »

Néanmoins, en cas de litige sur le sujet, Facebook et Google ne pourraient pas se retrancher derrière le Safe Harbor, ce dernier a été jugé trop peu protecteur (voire mensonger par rapport aux promesses formulées), les agences gouvernementales US pouvant y accéder à l’envi.

Pour rappel, en marge des révélations d’Edward Snowden sur le programme PRISM (permettant à la NSA d’aller siphonner les données des internautes européens dans les serveurs des grandes entreprises américaines sous couvert de sécurité nationale), un jeune Autrichien, Maximilien Schrems, s’est tourné vers la CNIL irlandaise estimant que les données transférées depuis Facebook n’étaient pas suffisamment protégées.

safeharbor_CJUE_USA

L’autorité irlandaise de contrôle a rejeté sa plainte prétextant que l’accord signé par la Commission européenne prévoyait que les États-Unis « offrent un niveau de protection adéquat » (c’est-à-dire équivalent à celui fourni par l’Union, NDLR). Protection prévue dans le cadre du régime dit de la « sphère de sécurité » auquel les entreprises américaines peuvent souscrire volontairement. La Haute cour de justice d’Irlande a donc saisi la CJUE, qui a reconnu que les données n’étaient pas suffisamment protégées.

Les négociateurs américains et européens avaient donc jusqu’au 2 février pour trouver un accord sur le texte remplaçant le Safe Harbor : le Privacy Shield.

Les premières dissonances n’ont pas tardé à apparaître : le groupe de l’article 29, rassemblant les agences de contrôle du respect de la vie privée des États membres de l’Union européenne, soit les CNIL européennes, n’a pas tardé à pointer les lacunes possibles de ce nouveau texte. Le 3 février, le G29 a demandé un complément d’information pour vérifier que Privacy Shield « protège suffisamment les données personnelles des citoyens ».

En effet, le texte de l’accord n’a pas été divulgué, seul un résumé des lettres d’intention formulées par les deux parties est disponible et prévoirait « des garanties claires et des obligations de transparence concernant l’accès du gouvernement des États-Unis » aux données des internautes européens. Cependant, ces lettres d’intention n’ont aucune valeur juridique.

Il faudra attendre le 29 février pour qu’elles soient rendues publiques avec l’ensemble du texte. Le G29 a donné cette date butoir pour recevoir leur complément d’information, notamment concernant les recours juridique mis à la disposition des citoyens européens en cas de violation de leurs données personnelles.

D’ici là, la présidente de la CNIL, Isabelle Falque-Perrotin, a tenu à rappeler qu’« aujourd’hui, l’usage du Safe Harbor est illégal ».

Source: Source