Le Privacy Shield adopté mais contesté

L’accord Privacy Shield remplace le Safe Harbor (sphère de sécurité) mis en place en 2001 entre l’UE et le Département du commerce américain. Celui-ci définissait les principes que les entreprises devaient s’engager à respecter pour être autorisées à transférer et stocker les données personnelles des européens vers des centres de traitement situés sur le sol américain. Environ 4000 sociétés, parmi lesquelles les grands acteurs du net comme Google, Microsoft, Amazon ou Facebook, mais aussi des banques, des assurances ou des commerces en ligne, affirment se conformer aux critères du Safe Harbor, le contrôle éventuel étant assuré par la Commission fédérale du Commerce (FTC). Très controversé dès sa création, l’accord a finalement été invalidé en octobre 2015 par la Cour de justice de l’Union européenne (CJUE) qui a estimé que la protection était insuffisante, en particulier au regard des pratiques de surveillance de masse de la National Security Agency (NSA) révélées par Edward Snowden en 2014.

En février 2016, la Commission européenne a validé une première mouture du Privacy Shield censé offrir un niveau de protection accru. Mais le G29 (groupe des autorités européennes de protection des données personnelles ) puis le Parlement européen lui ont demandé de revoir la copie. En cause, entre autre, le fait que rien ne garantisse qu »il n’y ait pas de collecte massive et indiscriminée des données ni que le futur médiateur chargé de traiter les plaintes des citoyens européens soit indépendant, l’absence de limitation de la durée de collecte et d’interdiction des décisions automatisées. Le 12 juillet, une seconde version a été approuvée par la Commission qui a jugé l’accord « adéquat » aux exigences européennes. Pour Věra Jourová, une des commissaires en charge du dossier, le bouclier de protection propose « des normes renforcées en matière de protection des données, assorties de contrôles plus rigoureux visant à en assurer le respect, ainsi que des garanties en ce qui concerne l’accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en cas de plainte ».

Les critiques fustigent déjà un accord qui ne garantit pas une protection « essentiellement équivalente ». Il repose toujours sur un processus d’auto-certification des entreprises, même si le respect de critères doit être soumis à un plus grand contrôle. Pour Max Schrems, le jeune avocat allemand dont la plainte est à l’origine de l’annulation du Safe Harbor, le « bouclier » est encore loin du compte. La finalité des traitements n’est pas limitée et les entreprises se laissent toute latitude de collecter des données « pour tous les services que nous pourrions fournir à vous ou d’autres ». Les européens ont théoriquement le choix de s’opposer à un traitement si ils le jugent abusif, mais ils devront d’abord identifier l’entreprise américaine responsable, pour ensuite la contacter et exercer leurs droits. L’opposition à un traitement ou l’effacement de données est un processus à tiroirs complexe qui est ultimement tranché par un « comité Privacy shields » dont les pouvoirs réels ne sont pas précisés. Le principal point noir reste la collecte de données que les autorités publiques américaines se laissent la possibilité d’effectuer dans les cas où la « sécurité nationale » et « l’intérêt public » sont en cause, y compris de façon massive « si un ciblage individuel n’est pas possible ». Dans un article publié dans le Irish Times, Max Schrems note que la formulation reste identique à celle du Safe Harbor et que l’accord ne sera donc pas conforme si il atterrit à nouveau devant la CJUE. Comme lui, la Quadrature du Net dénonce la non-indépendance du médiateur censé régler les litiges avec les particuliers. « L’initiative aurait été bonne si ce médiateur était réellement indépendant. Mais d’une part il est nommé par le Secrétaire d’État, d’autre part les requérants ne peuvent s’adresser directement à lui et devront passer par deux strates d’autorités, nationale puis européenne ».

Le G29 est en train d’étudier le texte et donnera sa position le 25 juillet. Mais les acteurs s’attendent déjà à ce qu’il soit à nouveau contesté devant les tribunaux nationaux puis devant la CJUE.

Le commmuniqué de la Quadrature du Net