Dans un projet de résolution, la commission des libertés au Parlement européen demande la suspension pure et simple du Privacy Shield. Un accord signé entre la Commission européenne et les États-Unis pour assurer les transferts de données personnelles.
Le Privacy Shield est venu rectifier un vide juridique né d’une décision de la Cour de justice de l’Union européenne. Le 6 octobre 2015, elle avait décapité le précédent accord nommé Safe Harbor, passé en 2000. À la lumière des révélations Snowden, elle a estimé que la situation aux États-Unis, accentuée par le manque de contrôle de la Commission européenne, ne permettait pas de considérer ce pays comme un espace « sûr ».
Le 12 juillet 2016, après des mois de négociations, la Commission européenne collait la rustine Privacy Shield pour permettre aux entreprises de continuer à transférer « leurs » données outre-Atlantique. Seulement, si des améliorations ont été saluées par rapport à la version antérieure, le Privacy Shield est cible de nombreuses critiques (sauf du gouvernement français).
FDN, FFDN et la Quadrature du Net estiment par exemple que le nouveau régime n’évince pas le risque d’une collecte de masse à des fins de renseignement. Ils ont porté l’affaire devant la CJUE. Un message également porté par Max Schrems, dans une action visant Facebook.
De même, les autorités de contrôle européennes ont égrainé une liste de points noirs toujours d’actualité : manque d’information des citoyens, risque de profilage, risque de collecte de masse non évacué, outre des questions de procédures toujours en souffrance comme la nomination d’un médiateur, attendue depuis des mois.
Une suspension à l'heure de Cambridge Analytica et du Cloud Act
Au Parlement européen, ces défaillances ont été pointées par un projet de résolution. Un message sans portée juridique, mais aux effets politiques potentiellement forts sur les positions du Parlement européen. Le texte a été examiné par la commission des libertés civiles, avec pour rapporteur le député Claude Moreas.
En substance, elle estime que « l'accord entre l'UE et les États-Unis sur le transfert de données à caractère personnel n'assure pas une protection suffisante ». Le texte de la résolution s’inscrit dans la droite file du communiqué du G29, structure qui regroupe l’ensemble des « CNIL » européennes.
On retrouve donc les mêmes critiques, agrémentées du récent Cloud Act qui étend la territorialité des lois américaines au-delà des frontières sans passer par l’entraide judiciaire, et du scandale Facebook-Cambridge Analytica. Deux entreprises pourtant « certifiées » dans le cadre du Privacy Shield.
Le projet de résolution, adopté par 29 voix pour, 25 voix contre et 3 abstentions, demande tout simplement la suspension de l’accord si les défaillances subsistent au 1er septembre. Les eurodéputés ajoutent qu'il devrait rester suspendu tant que les autorités américaines ne respectent totalement ses conditions.
Pour Claude Moraes (S&D, UK), « bien que des progrès aient été réalisés pour améliorer l'accord Safe Harbor, le bouclier de protection des données dans sa forme actuelle n'offre pas le niveau de protection adéquat requis par la législation de l'UE en matière de protection des données et la Charte de l'UE. Il appartient donc aux autorités américaines de suivre réellement les termes de l'accord et à la Commission européenne de prendre des mesures pour s'assurer qu'il se conformera pleinement au RGPD. »
Le texte sera soumis au vote du Parlement européen lors de la session plénière de juillet.
Commentaires (8)
#1
Double effet kiss-cool.
#2
Rien qu’avec le cloud act, la messe est dite.
#3
“Un message sans portée juridique”
Donc si la session plénière de juillet vote le texte, il ne se passe rien?
#4
Intéressant d’apprendre que finalement le RGPD, pour le moment, ne contraint réellement que les acteurs intra UE. A peine surpris en fait, quand on sait les milliards de $US investis dans le big data.
C’est quiquidonc le dindon de la farce ?
#5
le RGPD est bien plus vaste que la simple question du transfert de données. Pour beaucoup d’entreprises US, le RGPD leur reste applicable même si elles transfèrent des données de manière facilitée grâce au safe harbour, safe harbour 2 privacy shield. De nombreuses entreprises US traitant des données de sujets de l’UE sont soit en train de transférer leur traitement au sein de l’UE, soit en train de se mettre en conformité avec le RGPD parce q’elles s’inquiètent de se trouver écartelées entre une connerie du style “cloud act” et la GDPR (les dernières prennent ce risque).
La situation est un peu plus compliquée, et pour l’instant, les effets du RGPD sont assez bluffants (par rapport au niveau zero d’avant bien sûr)
#6
#7
Pour ceux qui suivent “un peu” l’actualité, le Privacy Shield est virtuellement mort depuis le 25 Janvier 2017:
“Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”
Executive order, 2017-01-25 - Enhancing Public Safety in the Interior of the United States, Sec. 14
Ce qui m’étonne, c’est le manque de réaction des différents gouvernements Européens, pas seulement de la Commission.
Pour moi, ce manque de réactivité démontre la méconnaissance du sujet de la part des politiques et, par voie de conséquence, d’un cruel manque d’anticipation.