Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Retour sur l'invalidation du Privacy Shield par la justice européenne

Tout, sauf un bouclier
Droit 5 min
Retour sur l'invalidation du Privacy Shield par la justice européenne
Crédits : iStock/ThinkStock

C’est un nouveau coup de tonnerre qui a résonné dans le ciel européen ce 16 juillet. Un arrêt de la grande chambre de la Cour de justice de l’Union européenne est venu invalider le « bouclier de vie privée » ou Privacy Shield. Un bouclier de fer qui n’était que de papier. Retour sur cette décision fondamentale.

La date du 6 octobre 2015 avait déjà donné le ton. Ce jour, la même juridiction mettait à terre le Safe Harbor. L’accord avait été porté par la Commission européenne 15 ans plus tôt, en 2000, aux premiers pas de la généralisation de l'accès au Net dans les foyers.

Avec ce « Port sûr » estampillé sur le drapeau étoilé, les États-Unis se voyaient pourtant considérés comme aussi protecteurs qu’un État membre européen. Ce label de confiance de la Commission assurait une présomption de légalité dont de nombreux géants US ont pu profiter lors de l’explosion des services en ligne installés en Californie.

Certes d’autres véhicules juridiques étaient mobilisables, comme les clauses contractuelles types ou les Binding Corporate Rules (BCR), des codes de conduite interne aux entreprises… Le Safe Harbor toutefois n’en constituait pas moins la voie royale pour les pipelines de données personnelles.

La fameuse sphère de confiance avait toutefois été laissée intacte alors que les révélations Snowden s’abattaient sur les écrans dans les années 2010. Largement responsable de ce laisser-aller, l’institution bruxelloise n’en tirait aucune conséquence, aucune remise en cause. Une passivité fautive, et plus encore puisque le texte souffrait de vices de conception passés sous son nez au moment de la signature originelle : il offrait un trop vaste accès aux autorités publiques américaines, soit autant d’ingérences dans la vie privée de millions de personnes, pour des motifs flous et trop généreux.

Le 6 octobre 2015, dans une procédure initiée par un petit Poucet du numérique, Maximilien Schrems, la CJUE dressait une liste ahurissante des failles du Safe Harbor, avant d’asséner son coup d’épée fatal : l’invalidation de l’accord de 2000. Ou comment l’étudiant autrichien abattait le géant Safe Harbor, obligeant Bruxelles à un « reboot » juridique.

Le Privacy Shield, un bouclier de fer, un bouclier de papier

Ce reboot, c’est le Privacy Shield. Nouveau nom, nouveau marketing, nouvelle « marque » concoctée savamment. La Commission pouvait se glorifier, torse gonflé, d’une belle avancée. Promis, avec ce bouclier, flux et stocks de données personnelles allaient enfin être dignement protégés, malgré l’appétit des services de sécurité US.

Le texte était dévoilé en février 2016. « Les autorités américaines ont donné des assurances formelles que le "bouclier de protection des données " serait appliqué de façon rigoureuse, et que les services nationaux de sécurité ne se livraient à aucune surveillance de masse », s’enchantait la Commission européenne.

En juillet 2016, il était finalisé, prêt à être appliqué. « Nous avons travaillé très dur avec nos partenaires américains » poursuivait Bruxelles avant d’affirmer que ce bouclier « comprend des obligations plus contraignantes » et qu’il sera « appliqué plus rigoureusement par les États-Unis ». Par exemple, « tout accès aux données par les autorités américaines sera limité au strict nécessaire et sur la base des réformes portant sur le renseignement annoncées par Barack Obama ». Au menu, promesses de mises à jour régulières, de réexamen, des collectes ciblées, presque chirurgicales, un droit au recours pour les citoyens européens… N’en jetez plus !

Dans d’autres camps, le doute s’est cependant rapidement installé. Maximilien Schrems ou la Quadrature du Net n’ont pas tardé à exprimer des critiques sur la composition de ce bouclier, fait plutôt de tendre plomb que d’inflexible acier.

En avril 2017, mêmes remarques de la part d’eurodéputés, inquiets des nouvelles lois américaines permettant « à la NSA, depuis janvier 2017, de partager avec 16 autres agences, dont le FBI, de grandes quantités de données personnelles collectées sans mandat ni décision de justice ou autorisation du Congrès ». Ces eurodéputés ne se sont pas privés pour épingler le « manque d’indépendance » du médiateur prévu par le Privacy Shield, outre le caractère illusoire du droit au recours des Européens . 

La même année, en décembre, les « CNIL » européennes réunies autour du Groupe de l’Article 29 publiaient leur rapport conjoint, égrenant de nombreux points de rouille sur ce même bouclier avec, toujours en tête des inquiétudes, l’accès aux données aux fins de sécurité nationale.  La réactivation de la section 702 de la loi sur la surveillance et le renseignement étranger (loi FISA) légitimaient ces craintes, sans compter l’Executive Order 12333, une directive présidentielle autorisant les agences de renseignement à opérer au-delà des frontières, hors des cadres habituels.

En juillet 2018, le Parlement européen remettait le couvert, alors que Cambridge Analytica révélait ses ombres via les données aspirées par l’ogre Facebook.

La France de Macron au chevet du Privacy Shield

Au même moment, en France, le gouvernement avait opté pour un autre cap, assurant dans un dossier soulevé par la Quadrature du Net, FDN et FFDN, que le Privacy Shield était particulièrement satisfaisant. Pour l’exécutif français, la décision d’adéquation de la Commission offre désormais un niveau satisfaisant pour encadrer aux États-Unis l’accès et l’utilisation « des données à caractère personnel […] à des fins de sécurité nationale, de respect de la loi ou d'intérêt public », mais aussi garantir « l'existence des voies de droit ».

Une position à mille lieues du programme présidentiel d’Emmanuel Macron, qui promettait pourtant une renégociation du texte « afin de garantir la préservation des données personnelles de tous les Européens ». 

C’est donc dans ce contexte contrasté qu’est née l’affaire dite Schrems 2, dont l’épilogue fatal s’est déroulé la semaine dernière.

Quand un utilisateur souhaite couper le robinet Facebook

43 commentaires
Avatar de Citan666 Abonné
Avatar de Citan666Citan666- 22/07/20 à 16:40:59

Signaler ce commentaire aux modérateurs :

Pas encore tout lu (manque de temps pour l'instant) mais MERCI pour cette analyse détaillée qui me rappelle mes années de droit (bon j'avoue pas forcément les meilleures années en termes de fun, mais très instructives ;)).

Avatar de JD Abonné
Avatar de JDJD- 22/07/20 à 16:56:44

Signaler ce commentaire aux modérateurs :

16 années (Safe Harbor) + 4 années (Privacy Shield) = 20 années de transferts illégaux. Conséquences : aucunes.

Moralité : bientôt un nouvel accord qui sera tout aussi illégal.

Édité par JD le 22/07/2020 à 16:56
Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 22/07/20 à 16:59:31

Signaler ce commentaire aux modérateurs :

J'en ai lu la moitié pour l"instant ( je souffre et donc je souffle )
Mais je me posais une question :
Si on pondait une loi qui dit :
'interdiction de transférer des données perso hors Europe sauf si c'est la personne elle même qui le fait"

ça mettrait combien de juristes au chomage ?

Avatar de cactusbidon Abonné
Avatar de cactusbidoncactusbidon- 22/07/20 à 17:56:07

Signaler ce commentaire aux modérateurs :

La RGPD commence à montrer son intérêt. Comme certaines licence open source, son côté contagieux a un gros potentiel destructeur...

Avatar de Optrolight Abonné
Avatar de OptrolightOptrolight- 22/07/20 à 18:51:06

Signaler ce commentaire aux modérateurs :

MERCI Marc pour cet article de qualité.

Avatar de bacatta Abonné
Avatar de bacattabacatta- 22/07/20 à 19:38:33

Signaler ce commentaire aux modérateurs :

Pouvez vous lancer un sondage concernant la suppression des boutons de partage fb and co svp ?

Avatar de Mimoza Abonné
Avatar de MimozaMimoza- 22/07/20 à 20:11:35

Signaler ce commentaire aux modérateurs :

Absolument pas l'endroit pour une telle réclamation, mais si tu t’attarde sur la configuration de ton compte tu verrais que tu as un bouton pour ça

Avatar de Stephane_A Abonné
Avatar de Stephane_AStephane_A- 22/07/20 à 20:19:08

Signaler ce commentaire aux modérateurs :

Merci pour cet article pleins d'informations qui lui donne une réelle plus value mais le rend difficile a digérer si on a pas le temps de cerveau disponible.. 👍👍

Avatar de Futureman Abonné
Avatar de FuturemanFutureman- 22/07/20 à 20:35:27

Signaler ce commentaire aux modérateurs :

Donc si je comprends bien, non seulement ils transfèrent les bénéfices mais aussi nos data ? Et depuis une bonne dizaine d'année ? Oh ben ça alors ! Les bras m'en tombent ! (smiley au choix)

Avatar de Z-os Abonné
Avatar de Z-osZ-os- 22/07/20 à 20:54:05

Signaler ce commentaire aux modérateurs :

Il n'est plus possible de commenter cette actualité.
Page 1 / 5