Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Données personnelles : le Parlement européen très insatisfait du Privacy Shield

Le talon de Shield
Droit 4 min
Données personnelles : le Parlement européen très insatisfait du Privacy Shield
Crédits : artJazz/iStock/ThinkStock

Les eurodéputés ont adopté hier en plénière une résolution portée par Claure Moraes. Elle demande la suspension du Privacy Shield, si les États-Unis ne se mettent pas en conformité avec le droit de l'Union. Cet accord signé avec la Commission européenne est destiné à sécuriser le transfert et l’exploitation des données personnelles outre-Atlantique.

Quelques instants après avoir rejeté le mandat d’Axel Voss, visant en particulier à filtrer les « uploads » sur les plateformes d’hébergement, le Parlement européen a adopté en séance plénière la résolution de Claude Moraes. Déposée au nom de la commission des libertés civiles (Libé), elle pointe plusieurs défauts dans le Privacy Shield. 

Ce bouclier Vie privée a été signé par la Commission européenne avec les États-Unis suite à l’invalidation du précédent accord de transfert de données, le Safe Harbor. Depuis 2000, l’institution bruxelloise considérait son cocontractant comme un « port sûr » où le niveau de sécurité des données personnelles était similaire à celui en vigueur en Europe pour les entreprises certifiées. Seulement, des années durant, la Commission n’a pas mis à jour ses constats.

Saisie d’un dossier initié par Maximilien Schrems, la Cour de justice de l’Union européenne a dressé un état des lieux peu reluisant 15 ans plus tard, le 6 octobre 2015. Eclairée par les révélations Snowden, elle a pointé le programme Prism de collecte de renseignements à grande échelle ouvert aux services américains. Elle a dénoncé tout autant l’absence de droit au recours des citoyens européens, outre encore une conservation généralisée des données, sans nuance et donc non limitée au strict nécessaire.

L'affaire Cambridge Analytica et Facebook

Problème, le Privacy Shield, son remplaçant, souffre également de faiblesses, à en croire la résolution adoptée hier. En témoigne l’affaire Cambridge Analytica-Facebook. Deux entités pourtant certifiées dans le cadre du nouveau bouclier, et qui donc, ont été autorisées à transférer les précieuses données qui allaient permettre des manipulations lors des élections voire du Brexit.

Selon le document, ces problèmes « mettent en exergue la nécessité d’une surveillance en amont ainsi que (…) des contrôles systématiques (…) tout au long de la durée de vie de la certification ».

Autre préoccupation : la révision des conditions d’utilisation de Facebook pour les utilisateurs de pays tiers résidant hors des États-Unis et du Canada. Jusqu’à présent, ceux-ci bénéficiaient de la protection des droits de la législation européenne, mais ils « doivent désormais accepter que le responsable du traitement des données ne soit plus Facebook Irlande, mais Facebook États-Unis ». Ce transfert de données, qui concerne environ 1,5 milliard d’utilisateurs vers un pays tiers, vient finalement raboter les droits fondamentaux des utilisateurs de la plateforme.

L'argument de la sécurité nationale

Dans une sorte de long inventaire, elle regrette tout autant l’absence de garanties spécifiques apportées aux décisions fondées sur le profilage, qui précèdent une décision automatisée. Une lacune peu en phase avec le règlement général sur la protection des données personnelles. D’ailleurs, le bouclier est à ses yeux en retrait s’agissant du droit d’opposition aux traitements, car limité à des cas beaucoup trop spécifiques.

Sur le terrain de la surveillance, l’argument de la « sécurité nationale » est trop largement défini, empêchant consécutivement les tribunaux d’exercer un contrôle strict sur ces traitements sensibles. Elle soupçonne, faute de garanties solides venues des autorités américaines, un possible accès en vrac aux données personnelles, suite à la réactivation de la section 702 de la loi « FISA ».

Plusieurs décrets présidentiels nourrissent tout autant ses préoccupations. Le décret 12333, « qui permet à la NSA de partager de vastes quantités de données privées, recueillies sans mandat, ordonnance de justice ou autorisation du Congrès, avec 16 autres organismes, dont le FBI, l’agence de lutte contre la drogue et le ministère de la Sécurité intérieure ». Et celui numéroté 13768 « portant renforcement de la sécurité publique à l’intérieur des États-Unis », où les garanties prévues par la loi sur la protection des données ne s’appliquent plus aux citoyens non américains.

Mêmes inquiétudes autour du Cloud Act (Clarifying Lawful Overseas Use of Data Act). Destiné à clarifier les règles encadrant les réquisitions des autorités américaines sur les données stockées en dehors de leur territoire, le texte « étend les compétences des services répressifs américains et étrangers en leur permettant de cibler et d’accéder aux données des personnes au-delà des frontières internationales sans recourir aux instruments d’entraide judiciaire (MLAT) ». Dénué de leurs garanties spécifiques, le Cloud Act vient s’entrechoquer avec la législation européenne sur la protection des données.

Au final, le Parlement européen réclame à la Commission la suspension pure et simple du Privacy Shield, du moins si les États-Unis ne se conforment pas aux règles européennes d’ici le 1er septembre. Cette résolution n'a qu'une portée politique, non juridique, mais elle devrait nourrir les menaces des CNIL européennes de saisir la justice, elles aussi insatisfaites de l'accord.

16 commentaires
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 06/07/18 à 08:39:48

Ah tu y viens Marc au cloud act, je vais enfin pouvoir capter ^^

Edit: j'avais totalement zappé l'article sur le sujet en mars, merci l'équipe :)

Édité par crocodudule le 06/07/2018 à 08:42
Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 06/07/18 à 09:10:12

....Elle a dénoncé tout autant l’absence de droit au recours des citoyens européens,.....

"elle découvre" (bienvenue au Club) !!! :langue:

Avatar de gouland Abonné
Avatar de goulandgouland- 06/07/18 à 09:27:06

Je ne vois pas comment il serait possible d'avoir des garanties des autorités américaines quand elles interdisent la publication des activités de leurs services et qu'il faut s'appuyer sur les lanceurs d'alerte pour prendre connaissance des pratiques :eeek2:. Un bon point aussi est l'extra-territorialité de certaines de leurs lois qui valide certains comportements de cow-boys :rhooo:

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 06/07/18 à 09:28:21

On peut maintenant poser la question; du fait du lamentable privacy shield et du coup bas qu'est le cloud act est-ce qu'une entreprise qui a des activités avec les USA peut prétendre être en conformité avec le RGPD, perso je réponds non, mais financièrement ça ne va pas être simple pour certaines boites... 

Avatar de bloossom INpactien
Avatar de bloossombloossom- 06/07/18 à 10:50:53

Mais le parlement européen est en feu ces derniers temps! Qui aurait cru que cette assemblée saisisse mieux les défis posés par le numérique?

peut-être que les députés ont compris que la confiance vis à vis des institutions de l'UE impliquait que l'un de ses organes le plus légitime et dont on a le moins à craindre les excès s'impose et agisse enfin comme un pouvoir ET un contre-pouvoir.
 

Avatar de bloossom INpactien
Avatar de bloossombloossom- 06/07/18 à 11:01:34

Sans décision d'adéquation, le principe veut que le responsable du traitement soit capable de démontrer que son traitement, y compris à l'étranger, respecte ces principes.

A priori, et sans administration complaisante, il sera très difficile de le prouver, surtout pour des traitement plus risqués la "compliance" du processus. Je suis donc de ton avis.

Cela-dit, bon nombre d'entreprises non dupes quand au fonds du privacy shield qui traitent des données de citoyens de l'UE aux USA (pas nécessairement les gros aspirateurs à données) envisagent déjà, à court ou moyen terme de relocaliser leur traitement de données sensibles, privacy shield ou non.

Avatar de StephaneGames Abonné
Avatar de StephaneGamesStephaneGames- 06/07/18 à 12:44:07

Il est surtout temps de passer à l'action et d'arrêter le laisser faire en matière depuis toujours face aux US.

A chaque fois que côté Européens la loi ou les accords sont modifiés les US passent outre. Dernier exemple en date c'est l'activation du RGPD qui se trouve "annuler" par le Cloud Act qui est sorti juste à temps côté US.
Et comme côté Européens les décisions sont longues à prendre les pratiques US perdurent.
Seul changement cette année, c'est la riposte sur les taxes de l'acier ou pour une fois la riposte est arrivée assez vite et qu'en plus elle est intelligemment choisie.
 

Avatar de cyrano2 Abonné
Avatar de cyrano2cyrano2- 06/07/18 à 13:29:35

bloossom a écrit :

Mais le parlement européen est en feu ces derniers temps! Qui aurait cru que cette assemblée saisisse mieux les défis posés par le numérique?

 

En fait c'est le cas depuis longtemps. Il y a le TAFTA qui a été repoussé, mais aussi les brevets logiciels.

Avatar de Patch INpactien
Avatar de PatchPatch- 06/07/18 à 13:45:21

cyrano2 a écrit :

En fait c'est le cas depuis longtemps. Il y a le TAFTA qui a été repoussé, mais aussi les brevets logiciels.

Tu veux dire, le truc qui a été remplacé par le CETA qui est sensiblement la même chose?

Avatar de wagaf Abonné
Avatar de wagafwagaf- 06/07/18 à 14:01:29

Pas vraiment le TAFTA c'est pour les US, le CETA concerne UE et Canada, qui a fait de nombreuses concessions justement pour ne pas trop dépendre des US.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2