zadhand
12/07/2016, 18h09
Après deux ans de négociations entre Bruxelles et Washington,
le Privacy Shield voit enfin le jour
Privacy Shield
Publiée le 12/07/2016 à 18:10
La Commission européenne a adopté ce matin le successeur du Safe Harbor,
invalidé par la justice européenne. Le bouclier Vie Privée ou Privacy Shield est un accord
juridique destiné à encadrer et donc autoriser le transfert dedonnées personnelles vers
l'autre côté de l'Atlantique, là où les géants du Net ont leurs datacenters.
25052
C’est lors d’un point presse organisé peu avant midi que Věra Jourova
a annoncé, souriante, l’heureux évènement. Il faut dire que cette journée
est le point d’orgue de deux années et demie de travail, avec pour bâton
un arrêt fondamental de la CJUE du 6 octobre 2015.Dans sa fameuse décision
Schrems, les juges luxembourgeois avaient en effet épinglé les défaillances du
précédent accord dit Safe Harbor qui permettait depuis 2000 aux géants du
Net de traiter les données personnelles des Européens dans leurs serveurs
américains. Seulement le raz-de-marée des révélations Snowden, outre des
trappes géantes dans le corps du texte avalisé par la Commission européenne,
ont montré sans mal combien les services du renseignement américains
pouvaient très librement accéder à ces informations, sans qu’aucune garantie
ne soit accordée aux principaux concernés, spécialement quant à l’accès au
juge (notre actualité détaillée).
Des transferts suspendus à cette décision d’adéquation
Depuis, l’ensemble des transferts était donc sous la menace de nouvelles
actions, d’autant que les modes alternatifs, et spécialement les clauses
contractuelles, pouvaient être aussi malmenés par de nouvelles décisions de
justice.L’arrivée d’un nouvel accord déclarant que les États-Unis présentent le
même niveau de protection que n’importe quel traitement en Europe était donc
très attendue par les acteurs des nouvelles technologies.
On pourra relire la position de Syntec Numérique par exemple, celle plus récente
de Microsoft, ou de Digital Europe.
La Commission européenne satisfaite de la Commission européenne
En fin de matinée, la commissaire européenne chargée de la Justice s’est voulue pleinement rassurante. « Nous avons travaillé très dur avec nos partenaires
américains » a-t-elle expliqué, avant de garantir que le bouclier « comprend des
obligations plus contraignantes » et, juré promis, il sera « appliqué plus rigoureusement
par les États-Unis ». Ainsi « tout accès aux données par les autorités américaines
sera limité au strict nécessaire et sur la base des réformes portant sur le renseignement annoncées par Barack Obama. »Elle soutient encore que ce bouclier a bien pris en
compte les critiques adressées par les autorités de contrôles réunies au sein du G29
(le groupe des CNIL européennes) ainsi que la position exprimée par le Parlement européen. Elle ajoute avoir travaillé étroitement « avec les entreprises, les
consommateurs et les États membres. Ce nouvel accord renforcera l’économie des échanges transatlantiques ». Bref, tout va pour le mieux.
Dans un communiqué, l’institution européenne détaille d’ailleurs les avancées
« dans le cadre du nouveau dispositif, le ministère américain du Commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes, afin de veiller à ce qu'elles observent les règles auxquelles elles ont
souscrit ». Le Privacy Shield reposera en effet, comme le Safe Harbor, sur un système d’auto certification des entreprises participantes, qui s’engageront à respecter les règles édictées par le document (PDF et annexes )
Les engagements des États-Unis
S’agissant de la surveillance de masse, les États-Unis se sont engagés à exclure
« toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire dans le cadre du bouclier de protection des données
UE-États-Unis ». Le recours à la collecte de données en vrac « serait soumis à
certaines conditions préalables et que cette collecte devrait être aussi ciblée et précise
que possible » annonce la Commission européenne, non sans prudence.
Dans son édition du jour, le Monde relativise « la collecte massive de données restera autorisée dans les cas où la collecte ciblée et individualisée s’avérera techniquement infaisable ». Des filtres seront ainsi utilisés pour éviter une collecte trop importante…
S’agissant du droit au recours, un citoyen « estimant que les données le concernant
ont fait l’objet d’une utilisation abusive dans le cadre du bouclier de protection des
données bénéficiera de plusieurs mécanismes accessibles et abordables de règlement
des litiges ». L’entreprise pourra donner suite à sa plainte, ou bien l'intéressé « pourra également s'adresser à son autorité nationale de protection des données, qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les
citoyens de l'Union soient examinées et réglées ». S’agissant des opérations de surveillance américaine, c’est un médiateur désigné par le département d’État qui jouera
le rôle tampon pour prendre en main les plaintes des Européens.
Un message commun entre la France et l’Allemagne
Cette adoption formelle par la Commission fait suite à l’approbation du document par
la majorité des États membres, vendredi dernier. Il n’y a eu finalement que quatre abstentions, le reste des votes étant positif.Spécialement, la France et l’Allemagne
ont voté pour l’accord en question, non sans se délester d’un courrier commun adressé
à la Commission européenne, toujours la semaine dernière. Dans ce texte, dont nous avons pu nous procurer une version, les deux pays « prennent note » de la finalisation
du Privacy Shield, une étape cruciale pour sécuriser le transfert de données entre
l’Europe et les États-Unis. Cependant, la joie est contenue des deux côtés du Rhin.
Sous l’impératif de protection de la vie privée, ils promettent de surveiller attentivement
la mise en œuvre du bouclier. Une clause de revoyure permettra en effet d’adapter tel
ou tel élément de l’accord. Cette piste est vue avec un vif intérêt. « La révision annuelle offrira une occasion adéquate pour poursuivre un dialogue étroit avec les États-Unis, en vue d’identifier et résoudre tout problème qui pourrait résulter de l’application de ce nouvel encadrement et permettre d’améliorer ce qui sera jugé nécessaire, notamment au regard de l’entrée en vigueur en 2018 du nouveau règlement européen ».
Il faut dire que la situation de la France est un peu intenable sur le sujet : comment
critiquer la surveillance gloutonne américaine, quand Paris s’autorise à surveiller sans aucune contrainte les communications hertziennes ?
Du côté des autorités de contrôle
La CNIL s’est aussi fendue d’un communiqué. Elle rappelle que le G29 avait fait part
de ses « préoccupations » sur plusieurs dispositions du Privacy Shield. Le groupe des autorités de contrôle, présidé par Isabelle Falque-Pierrotin « avait en particulier regretté l’absence de plusieurs principes tels que la limitation de la durée de conservation et l’interdiction des décisions automatisées ».De même, « le G29 avait déploré que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter
la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens ». Enfin, l’institution avait « émis des doutes sur l’indépendance du médiateur (Ombudsperson) et sur le fait qu’il dispose de pouvoirs suffisants pour exercer son rôle efficacement et permettre d’obtenir un recours satisfaisant en cas de désaccord avec l’administration ». Avant de sabrer le champagne et faire pleuvoir les confettis, le G29
va continuer à ausculter la décision d’adéquation, avant d’en dresser un bilan
le 25 juillet prochain.L’analyse de Maximilien Schrems
Une personne n’a pas attendu cette date pour exprimer des critiques, c’est Maximilien Schrems, cet étudiant autrichien à l’origine de l’arrêt de la CJUE. Dans un long message explicatif (PDF), il considère que le Bouclier Vie Privée est loin de répondre aux attentes claironnées par la Commission européenne. Par exemple, aucune institution ne sera habilitée à inspecter les logiciels et les serveurs en cause, empêchant ainsi l’utilisateur
à démontrer ses allégations de surveillance indue.Selon lui encore, le document finalisé aujourd’hui n’est toujours pas dans les clous de la CJUE qui avait condamné la simple possibilité pour une législation d’avoir accès de manière généralisée au contenu des communications, ce que n’interdit pas la décision d’adéquation. Une position qui rejoint celle exprimée par la Quadrature du Net.S’agissant du médiateur américain, celui chargé de traiter les plaintes des citoyens européens, Schrems estime qu’il s’agira d’un sous-secrétaire du Département américain, non un véritable tribunal ou organisme indépendant. Au fil de son intervention, il ne pourra ni confirmer ni informer que les États-Unis se sont livrés à une surveillance sur le dos du plaignant. De même, il conclura en disant que les lois américaines ont été respectées ou que le problème de non-conformité a été remédié. C’est tout sauf un droit au recours effectif.Toujours selon le même personnage, « le bouclier Vie privée est le produit de la pression des États-Unis et de l'industrie des technologies, non le fruit d’une démarche rationnelle ou de considérations raisonnables.
Il est un peu plus qu'une petite mise à jour de Safe Harbor, mais non un nouvel accord ».
Cet accord « est mauvais pour les utilisateurs, qui ne pourront profiter des protections appropriées contre les atteintes à la vie privée, mais également pour les entreprises qui font face à une législation instable. La Commission européenne et le gouvernement des États-Unis ont finalement réussi à mécontenter tout le monde alors qu’ils auraient pu profiter de l’occasion pour mettre à jour des protections cruciales pour la consommation,
la confiance dans les services en ligne et le cloud computing. »
Et maintenant ?
La décision va maintenant être notifiée à l’ensemble des États membres qui seront liés. Les entreprises voulant s’abriter derrière cet instrument juridique devront pour leur part
se faire certifier auprès des autorités américaines à compter du 1er août prochain.
L’accord pourra être alors contesté devant les juridictions nationales puis
éventuellement la CJUE.
le Privacy Shield voit enfin le jour
Privacy Shield
Publiée le 12/07/2016 à 18:10
La Commission européenne a adopté ce matin le successeur du Safe Harbor,
invalidé par la justice européenne. Le bouclier Vie Privée ou Privacy Shield est un accord
juridique destiné à encadrer et donc autoriser le transfert dedonnées personnelles vers
l'autre côté de l'Atlantique, là où les géants du Net ont leurs datacenters.
25052
C’est lors d’un point presse organisé peu avant midi que Věra Jourova
a annoncé, souriante, l’heureux évènement. Il faut dire que cette journée
est le point d’orgue de deux années et demie de travail, avec pour bâton
un arrêt fondamental de la CJUE du 6 octobre 2015.Dans sa fameuse décision
Schrems, les juges luxembourgeois avaient en effet épinglé les défaillances du
précédent accord dit Safe Harbor qui permettait depuis 2000 aux géants du
Net de traiter les données personnelles des Européens dans leurs serveurs
américains. Seulement le raz-de-marée des révélations Snowden, outre des
trappes géantes dans le corps du texte avalisé par la Commission européenne,
ont montré sans mal combien les services du renseignement américains
pouvaient très librement accéder à ces informations, sans qu’aucune garantie
ne soit accordée aux principaux concernés, spécialement quant à l’accès au
juge (notre actualité détaillée).
Des transferts suspendus à cette décision d’adéquation
Depuis, l’ensemble des transferts était donc sous la menace de nouvelles
actions, d’autant que les modes alternatifs, et spécialement les clauses
contractuelles, pouvaient être aussi malmenés par de nouvelles décisions de
justice.L’arrivée d’un nouvel accord déclarant que les États-Unis présentent le
même niveau de protection que n’importe quel traitement en Europe était donc
très attendue par les acteurs des nouvelles technologies.
On pourra relire la position de Syntec Numérique par exemple, celle plus récente
de Microsoft, ou de Digital Europe.
La Commission européenne satisfaite de la Commission européenne
En fin de matinée, la commissaire européenne chargée de la Justice s’est voulue pleinement rassurante. « Nous avons travaillé très dur avec nos partenaires
américains » a-t-elle expliqué, avant de garantir que le bouclier « comprend des
obligations plus contraignantes » et, juré promis, il sera « appliqué plus rigoureusement
par les États-Unis ». Ainsi « tout accès aux données par les autorités américaines
sera limité au strict nécessaire et sur la base des réformes portant sur le renseignement annoncées par Barack Obama. »Elle soutient encore que ce bouclier a bien pris en
compte les critiques adressées par les autorités de contrôles réunies au sein du G29
(le groupe des CNIL européennes) ainsi que la position exprimée par le Parlement européen. Elle ajoute avoir travaillé étroitement « avec les entreprises, les
consommateurs et les États membres. Ce nouvel accord renforcera l’économie des échanges transatlantiques ». Bref, tout va pour le mieux.
Dans un communiqué, l’institution européenne détaille d’ailleurs les avancées
« dans le cadre du nouveau dispositif, le ministère américain du Commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes, afin de veiller à ce qu'elles observent les règles auxquelles elles ont
souscrit ». Le Privacy Shield reposera en effet, comme le Safe Harbor, sur un système d’auto certification des entreprises participantes, qui s’engageront à respecter les règles édictées par le document (PDF et annexes )
Les engagements des États-Unis
S’agissant de la surveillance de masse, les États-Unis se sont engagés à exclure
« toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire dans le cadre du bouclier de protection des données
UE-États-Unis ». Le recours à la collecte de données en vrac « serait soumis à
certaines conditions préalables et que cette collecte devrait être aussi ciblée et précise
que possible » annonce la Commission européenne, non sans prudence.
Dans son édition du jour, le Monde relativise « la collecte massive de données restera autorisée dans les cas où la collecte ciblée et individualisée s’avérera techniquement infaisable ». Des filtres seront ainsi utilisés pour éviter une collecte trop importante…
S’agissant du droit au recours, un citoyen « estimant que les données le concernant
ont fait l’objet d’une utilisation abusive dans le cadre du bouclier de protection des
données bénéficiera de plusieurs mécanismes accessibles et abordables de règlement
des litiges ». L’entreprise pourra donner suite à sa plainte, ou bien l'intéressé « pourra également s'adresser à son autorité nationale de protection des données, qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les
citoyens de l'Union soient examinées et réglées ». S’agissant des opérations de surveillance américaine, c’est un médiateur désigné par le département d’État qui jouera
le rôle tampon pour prendre en main les plaintes des Européens.
Un message commun entre la France et l’Allemagne
Cette adoption formelle par la Commission fait suite à l’approbation du document par
la majorité des États membres, vendredi dernier. Il n’y a eu finalement que quatre abstentions, le reste des votes étant positif.Spécialement, la France et l’Allemagne
ont voté pour l’accord en question, non sans se délester d’un courrier commun adressé
à la Commission européenne, toujours la semaine dernière. Dans ce texte, dont nous avons pu nous procurer une version, les deux pays « prennent note » de la finalisation
du Privacy Shield, une étape cruciale pour sécuriser le transfert de données entre
l’Europe et les États-Unis. Cependant, la joie est contenue des deux côtés du Rhin.
Sous l’impératif de protection de la vie privée, ils promettent de surveiller attentivement
la mise en œuvre du bouclier. Une clause de revoyure permettra en effet d’adapter tel
ou tel élément de l’accord. Cette piste est vue avec un vif intérêt. « La révision annuelle offrira une occasion adéquate pour poursuivre un dialogue étroit avec les États-Unis, en vue d’identifier et résoudre tout problème qui pourrait résulter de l’application de ce nouvel encadrement et permettre d’améliorer ce qui sera jugé nécessaire, notamment au regard de l’entrée en vigueur en 2018 du nouveau règlement européen ».
Il faut dire que la situation de la France est un peu intenable sur le sujet : comment
critiquer la surveillance gloutonne américaine, quand Paris s’autorise à surveiller sans aucune contrainte les communications hertziennes ?
Du côté des autorités de contrôle
La CNIL s’est aussi fendue d’un communiqué. Elle rappelle que le G29 avait fait part
de ses « préoccupations » sur plusieurs dispositions du Privacy Shield. Le groupe des autorités de contrôle, présidé par Isabelle Falque-Pierrotin « avait en particulier regretté l’absence de plusieurs principes tels que la limitation de la durée de conservation et l’interdiction des décisions automatisées ».De même, « le G29 avait déploré que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter
la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens ». Enfin, l’institution avait « émis des doutes sur l’indépendance du médiateur (Ombudsperson) et sur le fait qu’il dispose de pouvoirs suffisants pour exercer son rôle efficacement et permettre d’obtenir un recours satisfaisant en cas de désaccord avec l’administration ». Avant de sabrer le champagne et faire pleuvoir les confettis, le G29
va continuer à ausculter la décision d’adéquation, avant d’en dresser un bilan
le 25 juillet prochain.L’analyse de Maximilien Schrems
Une personne n’a pas attendu cette date pour exprimer des critiques, c’est Maximilien Schrems, cet étudiant autrichien à l’origine de l’arrêt de la CJUE. Dans un long message explicatif (PDF), il considère que le Bouclier Vie Privée est loin de répondre aux attentes claironnées par la Commission européenne. Par exemple, aucune institution ne sera habilitée à inspecter les logiciels et les serveurs en cause, empêchant ainsi l’utilisateur
à démontrer ses allégations de surveillance indue.Selon lui encore, le document finalisé aujourd’hui n’est toujours pas dans les clous de la CJUE qui avait condamné la simple possibilité pour une législation d’avoir accès de manière généralisée au contenu des communications, ce que n’interdit pas la décision d’adéquation. Une position qui rejoint celle exprimée par la Quadrature du Net.S’agissant du médiateur américain, celui chargé de traiter les plaintes des citoyens européens, Schrems estime qu’il s’agira d’un sous-secrétaire du Département américain, non un véritable tribunal ou organisme indépendant. Au fil de son intervention, il ne pourra ni confirmer ni informer que les États-Unis se sont livrés à une surveillance sur le dos du plaignant. De même, il conclura en disant que les lois américaines ont été respectées ou que le problème de non-conformité a été remédié. C’est tout sauf un droit au recours effectif.Toujours selon le même personnage, « le bouclier Vie privée est le produit de la pression des États-Unis et de l'industrie des technologies, non le fruit d’une démarche rationnelle ou de considérations raisonnables.
Il est un peu plus qu'une petite mise à jour de Safe Harbor, mais non un nouvel accord ».
Cet accord « est mauvais pour les utilisateurs, qui ne pourront profiter des protections appropriées contre les atteintes à la vie privée, mais également pour les entreprises qui font face à une législation instable. La Commission européenne et le gouvernement des États-Unis ont finalement réussi à mécontenter tout le monde alors qu’ils auraient pu profiter de l’occasion pour mettre à jour des protections cruciales pour la consommation,
la confiance dans les services en ligne et le cloud computing. »
Et maintenant ?
La décision va maintenant être notifiée à l’ensemble des États membres qui seront liés. Les entreprises voulant s’abriter derrière cet instrument juridique devront pour leur part
se faire certifier auprès des autorités américaines à compter du 1er août prochain.
L’accord pourra être alors contesté devant les juridictions nationales puis
éventuellement la CJUE.