Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Privacy Shield : un an plus tard, l'efficacité du bouclier européen reste difficile à mesurer

Un accord très Yahoo!
Internet 5 min
Privacy Shield : un an plus tard, l'efficacité du bouclier européen reste difficile à mesurer
Crédits : PeskyMonkey/iStock

En un an, l'accord entre l'UE et les Etats-Unis sur la protection des données européennes outre-Atlantique a surtout été une question de conformité. 2 400 entreprises américaines se sont enregistrées, pour accéder au vieux continent, mais très peu de plaintes valides ont été reçues.

La Commission européenne fête le premier anniversaire du Privacy Shield, le bouclier censé protéger les données des Européens transférées aux États-Unis. Signé en juillet 2016 et appliqué un mois plus tard, l'accord remplace l'antique Safe Harbor invalidé par la Cour de justice de l'Union européenne (CJUE) en octobre 2015, suite à l'affaire Max Schrems.

À la mi-septembre, des réunions ont été organisées à Washington pour tirer ce premier bilan. Autour de la table : les autorités, des acteurs publics, privés ainsi que les autorités de protection des données (CNIL européennes).

Un an après sa mise en place, le Privacy Shield protège-t-il vraiment les Européens face à un traitement indésirable de leurs données outre-Atlantique ? Difficile à dire, tant l'opacité semble pour le moment régner sur les chiffres et les éventuelles retombées de recours de citoyens européens. Tout juste peut-on le voir brandi par de grandes sociétés comme Google et Microsoft, face aux inquiétudes de clients professionnels du vieux continent.

Peu après sa signature, l'accord subissait de vives critiques du G29, le groupe des CNIL européennes, qui pointaient le manque de garanties pour les Européens, notamment face à la surveillance de masse. Aujourd'hui, en toute diplomatie, la Commission européenne estime que son dispositif fonctionne, malgré quelques aménagements bienvenus.

Très peu de conséquences chiffrées

La Commission semble peu fière des statistiques de cette première année. Elles ne sont recensées qu'au milieu du document de travail publié, non dans le communiqué ou les questions-réponses officielles.

À la mi-septembre, 2 400 entreprises avaient été certifiées, pour continuer à récupérer en toute quiétude les informations d'Européens. 400 autres étaient en attente au département américain du Commerce, pour une vingtaine de demandes hebdomadaires. Et la fraude ? Les dossiers de onze entreprises clamant être conformes ont été transmis à la Commission fédérale du commerce (FTC) pour vérification, à cause de dossiers incomplets après 45 jours de procédure. En clair, pas de gros problème sur ce front.

Qu'en est-il des réclamations ? Seules sept entreprises ont recensé des plaintes dans le cadre du Privacy Shield, selon les organisations professionnelles interrogées. Conclusion : le dispositif n'est pas assez connu.

Du côté des mécanismes indépendants de recours (IRM en VO), désignés par certaines entreprises, la majorité des demandes n'ont pas été émises dans le cadre du « bouclier ». Better Business Bureau (BBB) a reçu 180 plaintes, dont 179 ont été jugées hors cadre ; la dernière est toujours en étude de recevabilité.

TRUSTe a, pour sa part, accueilli 788 plaintes dont cinq à peine ont mené à une enquête sérieuse, une à des changements chez l'entreprise visée. Enfin, la Data & Marketing Association recense 14 plaintes dont deux étaient dans le cadre. Le document de travail appelle simplement à standardiser ces données.

« La FTC a reçu trois plaintes liées au Privacy Shield sur la première année. Aucune ne provenait de l'Union européenne. Le département du Commerce et les autorités nationales [CNIL] n'ont reçu aucune plainte » recense timidement le document, dans une marée de texte.

Renforcer les contrôles, sécuriser le droit américain

La Commission, responsable de l'accord côté européen, recense plusieurs changements à mener dans les mois à venir. L'institution demande que le département américain du Commerce vérifie plus régulièrement la conformité des entreprises au Privacy Shield, en cherchant activement les entreprises mentant sur leur inscription. Avec près de 3 000 sociétés dans le circuit, ce contrôle peut s'avérer fastidieux.

Elle compte aussi mieux sensibiliser les Européens sur leurs droits, tout en renforçant la coopération entre le département du Commerce, la Commission fédérale du commerce (FTC) et les CNIL européennes. La priorité : mieux guider les entreprises et autorités dans leur application de l'accord.

Doit aussi être institué un Privacy Shield Ombudsperson (médiateur) permanent, les postes vacants devant être remplis par le Privacy and Civil Liberties Oversight Board (PCLOB) américain. Pourtant, comme le pointait en février 2016 la médiatrice européenne Emily O'Reilly, cette personnalité est censée être indépendante...

Ce rôle de médiateur, côté américain, doit aussi être garanti. La Commission veut « sanctuariser » les dispositions de la directive présidentielle américaine PPD-28, dont dépend ce statut. Le texte pose un cadre pour la collecte de données à l'étranger par les services de renseignement. Elle doit être autorisée par un juge et strictement nécessaire. Il faut donc l'imposer dans le travail actuel autour du Foreign Intelligence Surveillance Act (FISA), qui régit la surveillance des États-Unis à l'étranger.

Des dossiers chauds qui peuvent interférer

Le Privacy Shield reste une solution d'urgence, après l'invalidation du Safe Harbor. Le 25 mai 2018, le Règlement général de protection des données (RGPD) affectera l'ensemble des sociétés traitant des données de citoyens européens, y compris américaines. Il ajoutera de nombreuses obligations (et sanctions) si un traitement n'est pas consenti ou en cas de fuite de données.

En parallèle, le règlement ePrivacy doit combler les angles morts du RGPD, notamment sur les métadonnées. Autant dire que le cadre légal deviendra plus strict pour les sociétés opérant des deux côtés de l'Atlantique.

Pourtant, le principal risque pourrait être judiciaire. La Cour suprême américaine vient de prendre en main un différend entre Microsoft et le département de la Justice, qui cherche à accéder à des e-mails stockés en Irlande. Pour l'entreprise, les Irlandais ont leur mot à dire. Pour le ministère de la justice, Microsoft étant une société américaine, il n'y a pas de raison de chipoter sur la localisation physique des informations.

La décision de la Cour suprême doit amener une jurisprudence essentielle, à même d'affecter l'étendue des juridictions, comme nous le détaillait aujourd'hui l'avocat Jean-Sébastien Mariez.

8 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 18/10/17 à 16:39:55

Des dossiers chauds qui peuvent interférer

Genre le brûlant dossier Airbus ? :D

Édité par Ricard le 18/10/2017 à 16:40
Avatar de 2show7 INpactien
Avatar de 2show72show7- 18/10/17 à 17:17:16

Je dirais que c'est le flou artistique total . Vous voyez quelque chose bouger, vous ?

Édité par 2show7 le 18/10/2017 à 17:20
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 18/10/17 à 18:08:34

Si l'avis de la cour suprême rejoint celui du FBI, est-ce vraiment un problème ?

Soit les gens s'en moqueront et dans ce cas c'est que ça ne gêne personne

Soit il y aura tollé et les gens découvriront les entreprises locales

Avatar de 2show7 INpactien
Avatar de 2show72show7- 18/10/17 à 18:27:17

jackjack2 a écrit :

Si l'avis de la cour suprême rejoint celui du FBI, est-ce vraiment un problème ?

Soit les gens s'en moqueront et dans ce cas c'est que ça ne gêne personne

Soit il y aura tollé et les gens découvriront les entreprises locales

Mais ce serait encore une porte qui s'ouvre pour surveiller tout le monde

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 19/10/17 à 06:27:19

tout à fait, ça indiquera clairement que la justice américaine est chez elle partout dans le monde aussi longtemps que le fournisseur de données est une boite américaine (je suppose qu'on peut même l'étendre à n'importe quelle boite ayant un représentant légal aux États-Unis).
La disparition de la territorialité de manière totalement unilatérale n'est absolument pas un problème... :roll:

Édité par WereWindle le 19/10/2017 à 06:27
Avatar de bloossom Abonné
Avatar de bloossombloossom- 19/10/17 à 08:02:10

si mes souvenirs sont bons, il me semble qu'il y a une procédure en route visant à faire invalider le privacy shield par la CJEU, comme l'a été son prédécesseur. Un nuage supplémentaire à ajouter dans le panorama parfait de la Commission...

Avatar de vince120 Abonné
Avatar de vince120vince120- 19/10/17 à 09:01:55

https://www.nextinpact.com/news/105425-la-cour-supreme-dira-si-justice-americaine-peut-acceder-aux-emails-a-letranger.htm

si la cour suprême donne accès au FBI aux données européennes sans garanties, c'est clair que le privacy shield ne servira plus à rien...

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 19/10/17 à 09:11:50

WereWindle a écrit :

tout à fait, ça indiquera clairement que la justice américaine est chez elle partout dans le monde aussi longtemps que le fournisseur de données est une boite américaine (je suppose qu'on peut même l'étendre à n'importe quelle boite ayant un représentant légal aux États-Unis).
La disparition de la territorialité de manière totalement unilatérale n'est absolument pas un problème... :roll:

J'ai pas dit ça
Mais les gens qui s'intéressent à leur vie privée ne pourront plus dire qu'ils ne savaient pas et ça relancera la concurrence dans ces secteurs

2show7 a écrit :

Mais ce serait encore une porte qui s'ouvre pour surveiller tout le monde

Oui mais en l’occurrence il sera facile d'y échapper en évitant toutes les entreprises ayant un pied aux USA

Édité par jackjack2 le 19/10/2017 à 09:12
Il n'est plus possible de commenter cette actualité.