Données personnelles : le Privacy Shield EU-US finalisé, prêt à être attaqué

La Commission européenne a adopté ce matin le successeur du Safe Harbor, invalidé par la justice européenne. Le bouclier Vie Privée ou Privacy Shield est un accord juridique destiné à encadrer et donc autoriser le transfert de données personnelles vers l'autre côté de l'Atlantique, là où les géants du Net ont leurs datacenters.

C’est lors d’un point presse organisé peu avant midi que Věra Jourova a annoncé, souriante, l’heureux évènement. Il faut dire que cette journée est le point d’orgue de deux années et demie de travail, avec pour bâton un arrêt fondamental de la CJUE du 6 octobre 2015.

Dans sa fameuse décision Schrems, les juges luxembourgeois avaient en effet épinglé les défaillances du précédent accord dit Safe Harbor qui permettait depuis 2000 aux géants du Net de traiter les données personnelles des Européens dans leurs serveurs américains. Seulement le raz-de-marée des révélations Snowden, outre des trappes géantes dans le corps du texte avalisé par la Commission européenne, ont montré sans mal combien les services du renseignement américains pouvaient très librement accéder à ces informations, sans qu’aucune garantie ne soit accordée aux principaux concernés, spécialement quant à l’accès au juge (notre actualité détaillée).

Des transferts suspendus à cette décision d’adéquation

Depuis, l’ensemble des transferts était donc sous la menace de nouvelles actions, d’autant que les modes alternatifs, et spécialement les clauses contractuelles, pouvaient être aussi malmenés par de nouvelles décisions de justice. 

L’arrivée d’un nouvel accord déclarant que les États-Unis présentent le même niveau de protection que n’importe quel traitement en Europe était donc très attendue par les acteurs des nouvelles technologies. On pourra relire la position de Syntec Numérique par exemple, celle plus récente de Microsoft, ou de Digital Europe.

La Commission européenne satisfaite de la Commission européenne

En fin de matinée, la commissaire européenne chargée de la Justice s’est voulue pleinement rassurante. « Nous avons travaillé très dur avec nos partenaires américains » a-t-elle expliqué, avant de garantir que le bouclier « comprend des obligations plus contraignantes » et, juré promis, il sera « appliqué plus rigoureusement par les États-Unis ».  Ainsi « tout accès aux données par les autorités américaines sera limité au strict nécessaire et sur la base des réformes portant sur le renseignement annoncées par Barack Obama. »

Elle soutient encore que ce bouclier a bien pris en compte les critiques adressées par les autorités de contrôles réunies au sein du G29 (le groupe des CNIL européennes) ainsi que la position exprimée par le Parlement européen. Elle ajoute avoir travaillé étroitement « avec les entreprises, les consommateurs et les États membres. Ce nouvel accord renforcera l’économie des échanges transatlantiques ». Bref, tout va pour le mieux.

Dans un communiqué, l’institution européenne détaille d’ailleurs les avancées : « dans le cadre du nouveau dispositif, le ministère américain du Commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes, afin de veiller à ce qu'elles observent les règles auxquelles elles ont souscrit ». Le Privacy Shield reposera en effet, comme le Safe Harbor, sur un système d’auto certification des entreprises participantes, qui s’engageront à respecter les règles édictées par le document (PDF et annexes )

Les engagements des États-Unis

S’agissant de la surveillance de masse, les États-Unis se sont engagés à exclure « toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire dans le cadre du bouclier de protection des données UE-États-Unis ». Le recours à la collecte de données en vrac « serait soumis à certaines conditions préalables et que cette collecte devrait être aussi ciblée et précise que possible » annonce la Commission européenne, non sans prudence.

Dans son édition du jour, le Monde relativise : « la collecte massive de données restera autorisée dans les cas où la collecte ciblée et individualisée s’avérera techniquement infaisable ». Des filtres seront ainsi utilisés pour éviter une collecte trop importante… 

S’agissant du droit au recours, un citoyen « estimant que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du bouclier de protection des données bénéficiera de plusieurs mécanismes accessibles et abordables de règlement des litiges ». L’entreprise pourra donner suite à sa plainte, ou bien l'intéressé « pourra également s'adresser à son autorité nationale de protection des données, qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les citoyens de l'Union soient examinées et réglées ». S’agissant des opérations de surveillance américaine, c’est un médiateur désigné par le département d’État qui jouera le rôle tampon pour prendre en main les plaintes des Européens. 

Un message commun entre la France et l’Allemagne

Cette adoption formelle par la Commission fait suite à l’approbation du document par la majorité des États membres, vendredi dernier. Il n’y a eu finalement que quatre abstentions, le reste des votes étant positif.

Spécialement, la France et l’Allemagne ont voté pour l’accord en question, non sans se délester d’un courrier commun adressé à la Commission européenne, toujours la semaine dernière. Dans ce texte, dont nous avons pu nous procurer une version, les deux pays « prennent note » de la finalisation du Privacy Shield, une étape cruciale pour sécuriser le transfert de données entre l’Europe et les États-Unis. Cependant, la joie est contenue des deux côtés du Rhin.

Sous l’impératif de protection de la vie privée, ils promettent de surveiller attentivement la mise en œuvre du bouclier. Une clause de revoyure permettra en effet d’adapter tel ou tel élément de l’accord. Cette piste est vue avec un vif intérêt. « La révision annuelle offrira une occasion adéquate pour poursuivre un dialogue étroit avec les États-Unis, en vue d’identifier et résoudre tout problème qui pourrait résulter de l’application de ce nouvel encadrement et permettre d’améliorer ce qui sera jugé nécessaire, notamment au regard de l’entrée en vigueur en 2018 du nouveau règlement européen ».

Il faut dire que la situation de la France est un peu intenable sur le sujet : comment critiquer la surveillance gloutonne américaine, quand Paris s’autorise à surveiller sans aucune contrainte les communications hertziennes ? 

Du côté des autorités de contrôle

La CNIL s’est aussi fendue d’un communiqué. Elle rappelle que le G29 avait fait part de ses « préoccupations » sur plusieurs dispositions du Privacy Shield. Le groupe des autorités de contrôle, présidé par Isabelle Falque-Pierrotin « avait en particulier regretté l’absence de plusieurs principes tels que la limitation de la durée de conservation et l’interdiction des décisions automatisées ».

De même, « le G29 avait déploré que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens ». Enfin, l’institution avait « émis des doutes sur l’indépendance du médiateur (Ombudsperson) et sur le fait qu’il dispose de pouvoirs suffisants pour exercer son rôle efficacement et permettre d’obtenir un recours satisfaisant en cas de désaccord avec l’administration ».

Avant de sabrer le champagne et faire pleuvoir les confettis, le G29 va continuer à ausculter la décision d’adéquation, avant d’en dresser un bilan le 25 juillet prochain.

L’analyse de Maximilien Schrems

Une personne n’a pas attendu cette date pour exprimer des critiques, c’est Maximilien Schrems, cet étudiant autrichien à l’origine de l’arrêt de la CJUE. Dans un long message explicatif (PDF), il considère que le Bouclier Vie Privée est loin de répondre aux attentes claironnées par la Commission européenne. Par exemple, aucune institution ne sera habilitée à inspecter les logiciels et les serveurs en cause, empêchant ainsi l’utilisateur à démontrer ses allégations de surveillance indue.

Selon lui encore, le document finalisé aujourd’hui n’est toujours pas dans les clous de la CJUE qui avait condamné la simple possibilité pour une législation d’avoir accès de manière généralisée au contenu des communications, ce que n’interdit pas la décision d’adéquation. Une position qui rejoint celle exprimée par la Quadrature du Net.

S’agissant du médiateur américain, celui chargé de traiter les plaintes des citoyens européens, Schrems estime qu’il s’agira d’un sous-secrétaire du Département américain, non un véritable tribunal ou organisme indépendant. Au fil de son intervention, il ne pourra ni confirmer ni informer que les États-Unis se sont livrés à une surveillance sur le dos du plaignant. De même, il conclura en disant que les lois américaines ont été respectées ou que le problème de non-conformité a été remédié. C’est tout sauf un droit au recours effectif.

Toujours selon le même personnage, « le bouclier Vie privée est le produit de la pression des États-Unis et de l'industrie des technologies, non le fruit d’une démarche rationnelle ou de considérations raisonnables. Il est un peu plus qu'une petite mise à jour de Safe Harbor, mais non un nouvel accord ».

Cet accord « est mauvais pour les utilisateurs, qui ne pourront profiter des protections appropriées contre les atteintes à la vie privée, mais également pour les entreprises qui font face à une législation instable. La Commission européenne et le gouvernement des États-Unis ont finalement réussi à mécontenter tout le monde alors qu’ils auraient pu profiter de l’occasion pour mettre à jour des protections cruciales pour la consommation, la confiance dans les services en ligne et le cloud computing. »

Et maintenant ?

La décision va maintenant être notifiée à l’ensemble des États membres qui seront liés. Les entreprises voulant s’abriter derrière cet instrument juridique devront pour leur part se faire certifier auprès des autorités américaines à compter du 1er août prochain. L’accord pourra être alors contesté devant les juridictions nationales puis éventuellement la CJUE.