Les révélations d’Edward Snowden sur la surveillance de masse des services américains avaient permis d’ouvrir le débat aussi bien au niveau du grand public que des pouvoirs publics européens. Cela a conduit à la rediscussion du Safe Harbor qui encadrait le transfert de données personnelles vers les Etats-Unis afin de convenir d’un nouvel accord.

La Cour de Justice de l’Union Européenne (CJUE) a accéléré le processus en invalidant le Safe Harbor dans un arrêt très commenté d’octobre 2015 considérant que cet accord ne permettait pas aux citoyens européens d’avoir les garanties nécessaires concernant l’utilisation  de leurs données à des fins étrangères à celles de leur collecte. Cette décision a eu pour effet d’interdire le transfert de données à destination des entreprises américaines sur la base de cet accord.

Depuis, du chemin a été parcouru pour arriver à un nouveau texte qui, pour l’occasion, a un nouveau nom : le Privacy Shield ! Il permet aux entreprises européennes de transférer à nouveau leurs données personnelles vers les Etats-Unis.

Safe Harbor, Privacy Shield : kesako ?

privacy shieldDepuis 2001, le Safe Harbor, négocié entre les autorités européennes et américaines, permettait le transfert des données de citoyens européens vers les Etats-Unis. Les entreprises américaines se déclarant conformes aux exigences du texte pouvaient détenir des données européennes. Cependant, ce texte a été remis en cause lors des révélations sur le système de surveillance de masse de la NSA par Snowden. Les autorités américaines et européennes avaient alors entamé des discussions afin de modifier cet accord.

C’est un Autrichien, Max Schrems, qui a sonné le glas de ce système. Sa plainte auprès de l’équivalent de notre CNIL en Irlande contre Facebook a permis de faire invalider le Safe Harbor par la CJUE en octobre dernier.

Le Privacy Shield a alors été rédigé et décrié par de nombreuses associations défendant les libertés, des personnes de la société civile mais aussi par les autorités de protection de la vie privée européennes et même des parlementaires. Puis corrigé et, finalement, adopté le 12 juillet.

Sortez votre bouclier

Chers à notre CNIL, les traitements devront être proportionnés aux besoins de l’entreprise qui collecte les données.privacy shield2

Tout comme pour un traitement européen, le consentement des personnes, dont les données sont collectées, est exigé pour le traitement de données sensibles. Si l’utilisation des données dépasse les finalités déclarées, les personnes concernées par le traitement pourront demander le blocage de l’utilisation de leurs données directement auprès du responsable du traitement ou devant un

juge. Les droits de consultation et de modification s’appliqueront aussi aux traitements outre-Atlantique.

La faille dans l’armure

Contrairement à la législation en vigueur en Europe, la conservation des données des citoyens européens aux Etats-Unis n’est toujours pas limitée dans le temps. Les données des citoyens européens pourront être conservées indéfiniment, à condition de ne pas dépasser les finalités. En ce qui concerne les décisions prises automatiquement par des ordinateurs (par exemple le rejet d’une demande de crédit, ou un profilage individuel), les Etats-Unis s’engagent simplement à évaluer l’impact de ces pratiques sur les libertés, à l’occasion des discussions annuelles prévues avec la Commission.

Les autorités américaines se sont engagées à surveiller les pratiques des sociétés s’étant déclarées conformes à la législation du Privacy Shield, à corriger les abus et à es sanctionner.

Coté étatique, rien ne change vraiment. Les services de renseignement et de police américains pourront continuer d’intercepter et d’exploiter les données personnelles des européens, notamment pour protéger la sécurité nationale (contre le terrorisme par exemple), dans un but d’intérêt public (qui regroupe un grand nombre d’aspects) et de lutte contre le crime organisé. Pour ces cas, du fait du grand nombre de données, sans consentement des personnes concernées, la conservation ne pourra excéder cinq ans.

Par ailleurs, le terme de « collecte massive » n’est pas défini de la même façon par nos amis américains. Le directeur du renseignement précise que  « massive » ne signifie pas « indiscriminée ». Les services de renseignement utilisent des filtres pour minimiser la collecte de données non pertinentes.  La collecte de masse non autorisée par défaut pourra avoir lieu si  celle-ci est  ciblée et individualisée et qu’elle s’avère techniquement infaisable.

Quels recours ?

Plusieurs procédures de plainte seront mises en place :

  • contacter directement l’organisme détenant ses données
  • saisir le médiateur en passant par l’intermédiaire de son agence nationale de protection (CNIL en France), qui transmettra le dossier. Un poste de médiateur sera créé afin de recevoir les plaintes des européens.
  • faire appel à une commission d’arbitrage paritaire.

Les citoyens européens auront donc les mêmes droits que les citoyens américains.

La Commission européenne pourra prendre des mesures de rétorsion pouvant aller jusqu’à la dénonciation de l’accord en cas de non-respect de celui-ci.

Qu’en disent les autorités de contrôles européennes ?

privacy shield 3Le G29, groupe rassemblant les autorités de protection de la vie privée de l’Union européenne, a donné un avis mitigé sur cet accord. Pour lui, le manque de règles spécifiques pour les décisions automatisées et l’absence d’un droit d’opposition est regrettable.

Les Etats-Unis n’ont pas donné assez de garantie sur la manière dont ils éviteront la surveillance massive des citoyens européens.

Pour ce qui est de la procédure de contestation auprès des tribunaux américains, le G29propose d’aider les personnes concernées à exercer leurs droits en particulier dans la gestion de leurs plaintes. L’indépendance du médiateur est aussi remise en cause. Rien n’assure qu’il aura les moyens nécessaires pour assurer sa mission, ni qu’il sera impartial.

Face aux critiques de la société civile, de certains parlementaires européens ainsi que des autorités de protection de la vie privée, cet accord devra faire ses preuves. Espérons qu’il ne soit pas lui aussi invalidé par le juge européen, tout comme son prédécesseur. La première évaluation annuelle conjointe sera décisive.