Le CNNum plaide pour une renégociation du Privacy Shield

Shield storm 3
Accès libre
image dediée
Loi
Par
le mardi 19 septembre 2017 à 10:03
Marc Rees

À son tour, le Conseil national du numérique plaide pour une révision du Privacy Shield, l’accord passé entre la Commission européenne et les États-Unis le 1er août 2016, pour fluidifier le transfert des données personnelles glanées en Europe.

L’accord de Privacy Shield est venu remplacer le Safe Harbor, annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Dans cette procédure lancée par Maximilien Schrems, un étudiant autrichien, la CJUE a considéré que les États-Unis ne pouvaient être considérés comme un « port sûr », le niveau de protection des données européennes aspirées par les entreprises américaines n’étant pas équivalent à celui constaté de l’autre côté de l’Atlantique. 

Ce passage, certes un peu long, résume bien le moteur de cette décision portée et inspirée par les révélations Snowden : 

« n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données » (point 93 de l'arrêt Schrems).

Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est le Privacy Shield, en vigueur depuis le 1er août 2016.

Depuis lors, les acteurs tels Google ou Twitter peuvent utiliser cette voie pour collecter et traiter des données dans leur pays d’origine. Selon la Commission européenne, le Privacy Shield offre un meilleur niveau de protection, d’autant qu’un réexamen annuel a été prévu, demandé par la CJUE, afin de mesurer la solidité des engagements dans le temps.

Le CNNum dénonce les flous de la collecte aux fins de sécurité nationale

C’est dans ce cadre que le Conseil national du numérique a  justement réclamé une révision de cet accord d’un an d’âge. Il dégomme le cadre américain resté essentiellement inchangé malgré les belles paroles de l’exécutif américain et le discours bruxellois rassurant.

« Il en va ainsi de la portée de la collecte, qui peut toujours être justifiée à des fins de « sécurité nationale », un motif comprenant des objectifs aussi larges que non définis ». Son doigt vise en particulier une portion du FISA Amendments Act (FAA) qui doit en principe expirer à la fin de l’année. « Ces dispositions comprennent la controversée « section 702 », qui permet la surveillance très large de tout ressortissant d’un pays étranger. Cette section a également servi de fondement aux programmes PRISM et UPSTREAM ».

L'espoir ? Le RGDP

Autre pierre d’achoppement, « les contrôles, particulièrement faibles, liés aux mécanismes d’autocertification ont pu entraîner une perte de compétitivité pour les entreprises européennes, soumises à des exigences plus strictes ». Ses espoirs se concentrent surtout sur le règlement général pour la protection des données qui traitera tous les acteurs de la même façon, peu importe leur localisation, dès lors qu’ils exploitent des données personnelles européennes.

Dans son communiqué, le CNNum dresse un état des lieux des évolutions récentes aux États-Unis en matière de protection. Et les signes ne sont pas bons. Il met en exergue par exemple « les nouvelles règles permettant à la NSA, depuis janvier 2017, de partager avec 16 autres agences, dont le FBI, de grandes quantités de données personnelles collectées sans mandat ni décision de justice ou autorisation du Congrès ».

Un wagon de plus derrière un train de critiques 

D’autres acteurs ont déjà dénoncé cet accord. La Quadrature du Net, FDN et FFDN l'ont trainé devant la CJUE, à l’instar du Safe Harbor. Ils ont aussi dénoncé la pratique de collecte de masse, un risque non évacué.  L’exploitation des données ne serait pas limitée au strict nécessaire de l’ingérence dans la vie privée, mais autorisée par exemple contre « les menaces pour la cybersécurité », un terme jugé trop flou. Il n’y aurait pas de droit au recours effectif, du moins à un niveau équivalent à celui en vigueur en Europe.

Au Parlement européen, la Commission sur les libertés civiles a émis elle aussi des reproches, en particulier s’agissant de la concordance avec la Section 702 de la loi sur la surveillance et le renseignement étranger (loi FISA) qui permet de rechercher des informations nominatives concernant les étrangers.

Le Groupe de l’Article 29, qui rassemble les autorités de contrôles comme la CNIL, a aussi fait part de ses préoccupations quant aux évolutions de la jurisprudence américaine relative à la vie privée, la collecte en vrac des données, outre des points plus formalistes relatifs aux procédures. Le G29 a demandé à la Commission européenne d’être auditionné dans le cadre de la clause de revoyure annuelle, en se réservant le droit de publier son rapport d’études sur l’état actuel du Privacy Shield.

Dans son programme, Emmanuel Macron lui-même avait promis de renégocier avec les États-Unis cet accord d’ici 2018, « afin de garantir réellement la préservation des données personnelles de tous les Européens ». 


chargement
Chargement des commentaires...