[Données personnelles] Le « Privacy Shield » remplace le « Safe Harbor »

Sur le web

Par Elodie le

Un « bouclier de confidentialité » plutôt qu’une « sphère de sécurité ». Le Privacy Shield vient remplacer le Safe Harbor après accord des 28 pays membres, mais déjà le texte est critiqué pour son manque d’envergure et sa viabilité toute relative.

données_personnelles_safe_harbor_privacy_shield

Le robinet des données personnelles des internautes européens est de nouveau ouvert, mais avec un filtre cette fois-ci, du moins sur le papier. Le 8 juillet, les 28 États membres de l’UE ont signé l’accord visant à encadrer ce transfert de données entre l’Europe et les États-Unis en lieu et place du Safe Harbor datant de 2000 et invalidé le 6 octobre dernier par la CJUE.

« La décision 2000/520 doit être déclarée invalide dans la mesure où l’existence d’une dérogation qui permet d’une manière aussi générale et imprécise d’écarter les principes du régime de la ‘sphère de sécurité’ empêche par elle-même de considérer que ce régime assure un niveau de protection adéquat aux données à caractère personnel qui sont transférées aux États-Unis depuis l’Union européenne. » (CJUE)

La Cour estimait alors qu’au regard des révélations d’Edward Snowden sur le système de surveillance de masse mis en place par la NSA, les États-Unis n’offraient plus « un niveau de protection adéquat » (c’est-à-dire équivalent à celui fourni par l’Union) aux internautes européens.

« Il s’ensuit nécessairement que, a fortiori, des pays tiers ne sauraient en aucun cas être réputés assurer un niveau de protection adéquat aux données à caractère personnel des citoyens de l’Union lorsque leur réglementation autorise effectivement la surveillance et l’interception massive et non ciblée de ce type de données. » (CJUE)

Les 4 000 entreprises US (dont pléthore de GAFA) bénéficiant du Safe Harbor, ne pourraient donc plus se réclamer de lui en cas de litige. Une situation qui avait fait craindre un imbroglio politique et juridique et avait incité l’Europe et les États-Unis à renégocier fissa un nouveau texte.

privacy_shield

Ce nouvel accord laisse espérer une protection renforcée pour les données personnelles des Européens, du moins c’est ce qu’assure Vera Jourova, commissaire européenne en charge de la Justice, des Droits des consommateurs et de l’Egalité hommes-femmes :

« Pour la première fois, les États-Unis ont donné par écrit à l’UE l’assurance que l’accès des pouvoirs publics aux données à des fins répressives et de sécurité nationale serait subordonné à des limitations, des conditions et des mécanismes de surveillance bien définis et ont exclu toute surveillance de masse non ciblée des données des citoyens européens. »

En avril dernier, lors de la présentation de la première mouture de l’accord, le G29, réunissant les CNIL européennes s’inquiétait que le sujet de la surveillance de masse ne soit pas réglé. Il semblerait qu’il ait été entendu.

Toutefois, des doutes apparaissent déjà sur sa viabilité. L’invalidation du Safe Harbor n’avait pas signé la fin du transfert des données personnelles des internautes européens vers les États-Unis. En effet, de multiples dérogations comme autant de directives, clauses, et contrats entre d’entreprises existaient pour pallier ce coup d’arrêt.

Notamment l’article 26 de la directive 95/46/CE du 24 octobre 1995 (Directive sur la protection des données personnelles) qui permet à un État membre d’autoriser le transfert de données vers un pays n’assurant pas un niveau de protection adéquat ou encore les Binding Corporate Rules (BCR) qui permettent également de déroger à la règle.

safeharbor_CJUE_USA

Le Privacy Shield ne vient pas se substituer à toutes ces dérogations, ni même aux accords conclus entre les entreprises depuis l’invalidation du Safe Harbor (comme les clauses contractuelles types ou les règles internes d’entreprises). Ce qui laisse craindre une importante marge de manœuvre laissée aux entreprises alerte La Quadrature du Net :

« Cela signifie que si une entreprise couverte par le Privacy Shield s’en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, elle pourra continuer à traiter des données avec par exemple les deux mécanismes internes précédemment cités », explique l’association.

Par ailleurs, la Quadrature relève la différence de définition de la « surveillance de masse ». Pour les États-Unis, la « collecte massive » inscrite dans l’accord n’est pas considérée comme de la surveillance de masse, contrairement à l’Europe (dans l’affaire C-362/14 Schrems c. Data Protection Commissioner, à l’origine de l’invalidation du Safe Harbor). Gageons qu’après d’âpres négociations, l’Oncle Sam restera dans les limites qui lui ont été fixées et que la CJUE veillera également au grain.

Auquel cas, Max Schrems a d’ores et déjà annoncé qu’il contesterait ce nouvel accord, beaucoup trop en deçà de ses espérances.

Le texte prévoit néanmoins des mécanismes de recours par médiateur indépendant, l’Ombudsman, pour les Européens en cas de litige. Les sanctions à l’égard des contrevenants ont également été renforcées. Il est par ailleurs prévu que le texte soit actualisé tous les ans, alors que la Safe Harbor ne l’a jamais été en 15 ans.

Source: Source