Lako
08/08/2016, 19h28
Malgré les assurances données, du bout des lèvres, par les parlementaires européens, l’accord dit « Privacy Shield », qu’ils viennent de valider avec les Etats-Unis sur la protection des données en circulation dans les câbles reliant les deux continents, suscite déjà des commentaires et critiques, avant même de passer devant la cour de justice de l’Union européenne. De quoi retourne-t-il au juste ?Le juriste autrichien, Max Screms, célèbre pour avoir intenté un procès à Facebook pour le droit à la vie privée et qui est à l’origine de l’abrogation du premier accord dit « Safe Harbor », conclu entre l’Europe et les Etats-Unis sur les données personnelles, est parmi les premières personnalités à avoir réagi contre le nouveau texte « Privacy Shield », présenté à la mi-juillet par les parlementaires européens comme la panacée pouvant garantir la confidentialité des données personnelles des citoyens européens.
« Le Privacy Shield doit respecter les critères définis par l’UE et ses cours de justice, qui ont clairement indiqué que la collecte de masse est incompatible avec le droit fondamental à la protection des données personnelles », écrit-il dans une tribune cosignée avec le député européen écologiste, Jan-Philipp Albrecht, publiée par le journal irlandais l’Irish Times. C’est en effet grâce à son combat contre l’exploitation de ses données personnelles par Facebook que la cour de justice de l’Union européenne a fini par statuer que « les citoyens de l’Union européenne auront désormais un droit de regard sur la protection de leurs données personnelles, même si elles sont transférées aux Etats-Unis », rapporte le site de la télévision française http://geopolis.francetvinfo.fr (http://geopolis.francetvinfo.fr/) qui reprend un passage de la décision de la cour européenne explicitant clairement : « L’existence d’une décision de la Commission (européenne) constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle », a indiqué la Cour de justice de l’Union européenne.
La requête du juriste autrichien avait commencé par un recours devant l’autorité irlandaise chargée de la protection des données personnelles pour obtenir l’interdiction du transfert de ses données vers le territoire des Etats-Unis.
Cette dernière s’était alors appuyée sur les termes du fameux accord de Safe Harbor pour considérer que les garanties étaient suffisantes de la protection des données privées, et par conséquent rejeter le recours.
Les cadres législatifs européens et américains de protection des données personnelles étaient différents, pour ne pas dire divergents. Pour l’Europe, explique le site de l’encyclopédie en ligne Wikipédia, « la Directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998, interdit le transfert de données personnelles en dehors des Etats non membres de l’EEE qui protégeraient les données personnelles à un niveau inférieur à celui de l’EEE. » Considéré comme un bien quelconque, la donnée est vue autrement aux Etats-Unis où les entreprises et les intérêts privés ont une forte présence dans le domaine de la gestion des données privées. « Afin de faire la passerelle entre ces deux approches de respect de la vie privée et permettre aux entreprises et organisations américaines de se conformer à la Directive européenne, le département du Commerce des Etats-Unis, en concertation avec la Commission européenne, a instauré un cadre juridique dénommé Safe Harbor (sphère de sécurité) », ajoute Wikipédia au sujet de ce texte d’accord qui a longtemps fait office de cadre de référence pour la gestion de la circulation des données personnelles entre les deux rives de l’Atlantique, avant que la cour de justice de l’Union européenne ne le trouve obsolète et décrète son invalidité, en octobre 2015, suite à la démarche du juriste autrichien.
Les experts des deux parties se sont mis depuis autour d’une table pour imaginer un autre cadre législatif pour pourvoir assurer la continuité des flux de données privées entre les deux continents tout en tenant compte des attentes de l’opinion publique européenne, « grisée » par les pratiques de « siphonage » massif des données opéré par les renseignements américains sur tous les tuyaux transportant de la donnée depuis et vers l’Europe.
Les multiples « faits d’espionnage » relatés par le donneur d’alerte Edward Snowden, ancien agent du renseignent américain, ont donné à réfléchir à beaucoup de monde, et remis au goût de l’actualité les préoccupations de confidentialité des données. « L’ampleur de la surveillance menée sur Internet par les Etats-Unis, et l’absence de garde-fous pour les internautes européens avaient lourdement pesé dans l’annulation du Safe Harbour », note pour sa part le site lemonde.fr.
L’enthousiasme des auteurs du texte « Privacy Shield » présenté à la mi-juillet, ne semble pas avoir fait l’effet boule de neige, dans la mesure où de nombreuses voix se sont immédiatement élevées pour dire toutes les craintes encore vivaces de voir les Américains continuer de « siphonner » allègrement les données confidentielles des citoyens et même des Etats européens. « A peine adopté, l’accord Privacy Shield sur les données personnelles est déjà menacé », met en titre le site du quotidien français lemonde.fr, dans un papier mis en ligne le 13 juillet dans lequel on peut également lire que « l’avenir de l’accord Privacy Shield entre l’Union européenne et les Etats-Unis, obtenu après de longs mois de difficiles négociations sous l’égide de la Commission, est déjà menacé. »
Ce nouveau projet d’accord vient donc remplacer le désuet « Safe Harbor » pour tracer un cadre de droit pour tous les opérateurs, notamment les entreprises économiques et commerciales, qui, par exemple, proposent des services européens tout en étant installés de l’autre côté de l’Atlantique, et dont l’activité repose sur le transfert des données personnelles de citoyens européens vers le territoire américain.
Le principe de cet accord est de faire assurer un seuil de respect des droits sur les données personnelles équivalant au niveau garanti par les normes juridiques et réglementaires en Europe. Pour cela, il faut encore attendre, selon les premières lectures faites de ce projet d’accord, car, comme l’écrit le site lemonde.fr, « rien n’indique à ce stade que les pratiques des services de renseignement américain aient significativement changé », ajoutant pour illustration que « l’accord prévoit que les Etats-Unis puissent surveiller les données des Européens dans les affaires de ‘‘sécurité nationale’’ ou lorsque ‘‘l’intérêt public’’ est en cause. Des notions floues qui laissent une bonne marge de manœuvre aux autorités américaines. Par ailleurs, la collecte de grandes quantités de données européennes est toujours envisagée… si un ciblage individuel n’est pas possible. »
Dans leur tribune publiée sur le journal irlandais l’Irish Times, le juriste autrichien, Schrems, et le député européen écologiste, Jan-Philipp Albrecht, estiment en effet qu’il « est terriblement clair que les règles du Privacy Shield n’arrivent pas à la cheville des règles imposées par l’UE.
Partant du constat que le cadre du fameux Safe Harbor, « la sphère de sécurité n’ayant en rien gêné la collecte massive de données personnelles de citoyens européens, notamment par la NSA, la juriste Isabelle Cantero estime donc logiquement que ce « bouclier de protection » est donc venu grossir les écheveaux juridiques de l’Union européenne. ».
Parmi les premières faiblesses constatées, dit-elle, des lacunes d’ordre « terminologique » dans la mesure où elle relève que les propositions de définitions de certains termes et notions, proposées notamment par les autorités de régulation nationales chargées du respect de la vie privée, n’ont pas été retenues ; « Il semble donc que la Commission n’ait pas retenu le bien-fondé d’un glossaire (dommage !), l’utilité d’ajouter certaines définitions pourtant fondamentales (telles « processor » …) ou certaines précisions nécessaires (sur la définition des personal data et de leurs traitements par exemple) », avance-t-elle avant de passer aux critiques de fond et principalement à l’absence de leviers précis et explicites pour le contrôle de l’usage des données personnelles et la garantie de voies de recours en cas de constations d’abus.
« Sur les obligations prescrites, si le texte négocié avec les Etats-Unis prévoit effectivement différentes garanties, le bouclier de protection continue de reposer, à l’instar du cadre initial, sur une base d’auto-certification des entreprises américaines », constate-t-elle à l’instar de nombreux autres analystes.
D’autre part, l’avocate parisienne rejoint de nombreux autres analystes qui doutent de la sincérité, voire même de la légalité des assurances obtenues par les députés européens auprès des autorités américaines ; « Sur l’assurance par écrit des Etats-Unis, il est donc fait référence à de simples lettres qui ont valeur (bien entendu) d’engagement ferme et fiable au même titre qu’une loi ou qu’une convention internationale », note-t-elle avant d’aller sur le terrain de la surveillance de masse ; un sujet sur lequel les Américains se seraient engagés à ne pas la pratiquer systématiquement, sauf dans des cas précis de situations touchant à la « sécurité nationale » et « l’ordre public » ; ce qui, à ses yeux, « pose question ».
« Le Privacy Shield doit respecter les critères définis par l’UE et ses cours de justice, qui ont clairement indiqué que la collecte de masse est incompatible avec le droit fondamental à la protection des données personnelles », écrit-il dans une tribune cosignée avec le député européen écologiste, Jan-Philipp Albrecht, publiée par le journal irlandais l’Irish Times. C’est en effet grâce à son combat contre l’exploitation de ses données personnelles par Facebook que la cour de justice de l’Union européenne a fini par statuer que « les citoyens de l’Union européenne auront désormais un droit de regard sur la protection de leurs données personnelles, même si elles sont transférées aux Etats-Unis », rapporte le site de la télévision française http://geopolis.francetvinfo.fr (http://geopolis.francetvinfo.fr/) qui reprend un passage de la décision de la cour européenne explicitant clairement : « L’existence d’une décision de la Commission (européenne) constatant qu’un pays tiers assure un niveau de protection adéquat aux données à caractère personnel transférées ne saurait annihiler ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle », a indiqué la Cour de justice de l’Union européenne.
La requête du juriste autrichien avait commencé par un recours devant l’autorité irlandaise chargée de la protection des données personnelles pour obtenir l’interdiction du transfert de ses données vers le territoire des Etats-Unis.
Cette dernière s’était alors appuyée sur les termes du fameux accord de Safe Harbor pour considérer que les garanties étaient suffisantes de la protection des données privées, et par conséquent rejeter le recours.
Les cadres législatifs européens et américains de protection des données personnelles étaient différents, pour ne pas dire divergents. Pour l’Europe, explique le site de l’encyclopédie en ligne Wikipédia, « la Directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998, interdit le transfert de données personnelles en dehors des Etats non membres de l’EEE qui protégeraient les données personnelles à un niveau inférieur à celui de l’EEE. » Considéré comme un bien quelconque, la donnée est vue autrement aux Etats-Unis où les entreprises et les intérêts privés ont une forte présence dans le domaine de la gestion des données privées. « Afin de faire la passerelle entre ces deux approches de respect de la vie privée et permettre aux entreprises et organisations américaines de se conformer à la Directive européenne, le département du Commerce des Etats-Unis, en concertation avec la Commission européenne, a instauré un cadre juridique dénommé Safe Harbor (sphère de sécurité) », ajoute Wikipédia au sujet de ce texte d’accord qui a longtemps fait office de cadre de référence pour la gestion de la circulation des données personnelles entre les deux rives de l’Atlantique, avant que la cour de justice de l’Union européenne ne le trouve obsolète et décrète son invalidité, en octobre 2015, suite à la démarche du juriste autrichien.
Les experts des deux parties se sont mis depuis autour d’une table pour imaginer un autre cadre législatif pour pourvoir assurer la continuité des flux de données privées entre les deux continents tout en tenant compte des attentes de l’opinion publique européenne, « grisée » par les pratiques de « siphonage » massif des données opéré par les renseignements américains sur tous les tuyaux transportant de la donnée depuis et vers l’Europe.
Les multiples « faits d’espionnage » relatés par le donneur d’alerte Edward Snowden, ancien agent du renseignent américain, ont donné à réfléchir à beaucoup de monde, et remis au goût de l’actualité les préoccupations de confidentialité des données. « L’ampleur de la surveillance menée sur Internet par les Etats-Unis, et l’absence de garde-fous pour les internautes européens avaient lourdement pesé dans l’annulation du Safe Harbour », note pour sa part le site lemonde.fr.
L’enthousiasme des auteurs du texte « Privacy Shield » présenté à la mi-juillet, ne semble pas avoir fait l’effet boule de neige, dans la mesure où de nombreuses voix se sont immédiatement élevées pour dire toutes les craintes encore vivaces de voir les Américains continuer de « siphonner » allègrement les données confidentielles des citoyens et même des Etats européens. « A peine adopté, l’accord Privacy Shield sur les données personnelles est déjà menacé », met en titre le site du quotidien français lemonde.fr, dans un papier mis en ligne le 13 juillet dans lequel on peut également lire que « l’avenir de l’accord Privacy Shield entre l’Union européenne et les Etats-Unis, obtenu après de longs mois de difficiles négociations sous l’égide de la Commission, est déjà menacé. »
Ce nouveau projet d’accord vient donc remplacer le désuet « Safe Harbor » pour tracer un cadre de droit pour tous les opérateurs, notamment les entreprises économiques et commerciales, qui, par exemple, proposent des services européens tout en étant installés de l’autre côté de l’Atlantique, et dont l’activité repose sur le transfert des données personnelles de citoyens européens vers le territoire américain.
Le principe de cet accord est de faire assurer un seuil de respect des droits sur les données personnelles équivalant au niveau garanti par les normes juridiques et réglementaires en Europe. Pour cela, il faut encore attendre, selon les premières lectures faites de ce projet d’accord, car, comme l’écrit le site lemonde.fr, « rien n’indique à ce stade que les pratiques des services de renseignement américain aient significativement changé », ajoutant pour illustration que « l’accord prévoit que les Etats-Unis puissent surveiller les données des Européens dans les affaires de ‘‘sécurité nationale’’ ou lorsque ‘‘l’intérêt public’’ est en cause. Des notions floues qui laissent une bonne marge de manœuvre aux autorités américaines. Par ailleurs, la collecte de grandes quantités de données européennes est toujours envisagée… si un ciblage individuel n’est pas possible. »
Dans leur tribune publiée sur le journal irlandais l’Irish Times, le juriste autrichien, Schrems, et le député européen écologiste, Jan-Philipp Albrecht, estiment en effet qu’il « est terriblement clair que les règles du Privacy Shield n’arrivent pas à la cheville des règles imposées par l’UE.
Partant du constat que le cadre du fameux Safe Harbor, « la sphère de sécurité n’ayant en rien gêné la collecte massive de données personnelles de citoyens européens, notamment par la NSA, la juriste Isabelle Cantero estime donc logiquement que ce « bouclier de protection » est donc venu grossir les écheveaux juridiques de l’Union européenne. ».
Parmi les premières faiblesses constatées, dit-elle, des lacunes d’ordre « terminologique » dans la mesure où elle relève que les propositions de définitions de certains termes et notions, proposées notamment par les autorités de régulation nationales chargées du respect de la vie privée, n’ont pas été retenues ; « Il semble donc que la Commission n’ait pas retenu le bien-fondé d’un glossaire (dommage !), l’utilité d’ajouter certaines définitions pourtant fondamentales (telles « processor » …) ou certaines précisions nécessaires (sur la définition des personal data et de leurs traitements par exemple) », avance-t-elle avant de passer aux critiques de fond et principalement à l’absence de leviers précis et explicites pour le contrôle de l’usage des données personnelles et la garantie de voies de recours en cas de constations d’abus.
« Sur les obligations prescrites, si le texte négocié avec les Etats-Unis prévoit effectivement différentes garanties, le bouclier de protection continue de reposer, à l’instar du cadre initial, sur une base d’auto-certification des entreprises américaines », constate-t-elle à l’instar de nombreux autres analystes.
D’autre part, l’avocate parisienne rejoint de nombreux autres analystes qui doutent de la sincérité, voire même de la légalité des assurances obtenues par les députés européens auprès des autorités américaines ; « Sur l’assurance par écrit des Etats-Unis, il est donc fait référence à de simples lettres qui ont valeur (bien entendu) d’engagement ferme et fiable au même titre qu’une loi ou qu’une convention internationale », note-t-elle avant d’aller sur le terrain de la surveillance de masse ; un sujet sur lequel les Américains se seraient engagés à ne pas la pratiquer systématiquement, sauf dans des cas précis de situations touchant à la « sécurité nationale » et « l’ordre public » ; ce qui, à ses yeux, « pose question ».