Privacy Shield : le sombre bilan des CNIL européennes, la menace d’un recours

Le groupe de l’article 29, qui rassemble l’ensemble des autorités européennes de contrôle des données personnelles, a publié hier soir son premier rapport conjoint relatif au Privacy Shield. Comme ses précédentes sorties sur le sujet, le G29 égraine de nombreuses préoccupations. 

En octobre 2015, la Cour de justice de l’Union européenne censurait le « Safe Harbor ». Cet accord négocié par la Commission européenne avec les États-Unis, en 2000, permettait jusqu’alors aux entreprises installées outre-Atlantique d’importer les données personnelles des Européens. Bruxelles avait à l’époque considéré que nos lointains voisins offraient les mêmes garanties juridiques que celles en vigueur en Europe.

Les révélations Snowden ont évidemment fracassé cette certitude, doublée d’un aveuglement et d’une défaillance de l’institution européenne. Tous ces points ont pesé dans l’arrêt « Schrems » de la CJUE qui a invalidé ce texte crucial pour l’économie numérique, mais dont les défaillances étaient trop lourdes pour le respect des droits et libertés.

En juillet 2016, son successeur, le Privacy Shield, prenait le relai, sous les messages rassurant de la Commission. Comme elles l’avaient promis, les « CNIL » européennes ont procédé à une évaluation conjointe de ce dispositif.

Il faut dire que celui-ci comprend désormais une clause de révision annuelle, lourdement suggérée par l’arrêt précité, soit une excellente occasion de corriger les problèmes persistants dans ces pipelines à données personnelles.

Après avoir fait connaître publiquement ses préoccupations et lancé une mission d’enquête, notamment aux États-Unis, le G29 vient de rendre public son rapport. Dans cette évaluation, il salue plusieurs efforts comme la déclassification de décisions de la Cour de surveillance FISA, les contrôles menés sur l’autocertification des entreprises voulant profiter du Privacy Shield, cependant, ces quelques améliorations n’occupent que quelques lignes dans le rapport. Contrairement à la liste des points noirs nettement plus dense.

De nombreux points noirs

Outre un manque de directives plus précises adressées aux entreprises adhérant à cet accord, il y a un manque d’informations claires et aisément disponibles pour les citoyens de l’Union européenne. Le site officiel s’adresse aux entreprises plus qu’aux individus. Les recours sont jugés en pratique trop complexes, difficilement accessibles aux personnes physiques, appelant une meilleure information à leur égard.

Ce n’est pas tout. Le G29 épingle un manque de supervision des principes. Elle suggère d’aiguiser les contrôles sur les entreprises autocertifiées pour s’assurer qu’elles mettent bien en œuvre les exigences du Privacy Shield.

Les CNIL européennes craignent également que les données transférées servent au profilage des individus dans les décisions automatisées prises à leur encontre, notamment par les organismes de crédit. Elles n’ont aucune certitude, mais le flou des réponses apportées a mis la puce à l’oreille.  

Mais le gros des critiques vise la collecte et l’accès aux données personnelles réalisées à des fins de sécurité nationale. Le G29 en particulier demande à ce que des preuves et des engagements un peu plus consistants lui soient présentés pour démontrer que cette aspiration n’est pas faite sans discernement, et l’accès n’est pas généralisé.

Les doutes sur la collecte de masse

Autant dire des piliers fondamentaux qui avaient déjà nourri l’arrêt de la CJUE. La réactivation de la section 702 de la loi sur la surveillance et le renseignement étranger (loi FISA) d’ici la fin de l’année inquiète tout particulièrement.

Il a d’ailleurs été confirmé au G29 que les programmes de surveillance PRISM (collecte dans les serveurs des fournisseurs de services électroniques) et UpStream (surveillance des flux sur les infrastructures) reposaient sur cette disposition.

Pour le groupe, cette nouvelle saison devrait justifier l’introduction de garanties supplémentaires. Il prône une surveillance ciblée, plus précise de même que l’utilisation du critère de la « suspicion raisonnable », afin de déterminer si un groupe de personnes peut faire l’objet des attentions des services du renseignement américain.

L’ « executive order 12333 », une directive présidentielle autorisant les agences de renseignement à opérer au-delà des frontières, est tout autant dénoncé, les auteurs du rapport n’ayant aucune certitude sur les interférences de cette fenêtre avec la protection des données personnelles des Européens. Les autorités américaines se sont limitées au minimum, affirmant que cette directive « ne relève pas du champ d’application du Privacy Shield ».

Remarquons que ces zones d’ombres avaient déjà été signalées par la Commission des libertés au Parlement européen outre le Conseil national du numérique en France.

Vers un recours juridictionnel devant la CJUE ?

Ce n’est pas tout… Les conclusions du rapport du G29 pointent également la question du droit au recours qui ne semble pas être aujourd’hui effectif. Elle critique également le défaut de nomination d'un médiateur indépendant, un sujet qui « devrait être une priorité » d’ici le 25 mai 2018.

Le groupe de travail demande à ce qu’un plan d’action soit lancé immédiatement afin de lever toutes ces préoccupations au plus tard lors du deuxième examen conjoint, prévu dans un an. À défaut ? Les membres du G29 menacent de remettre en cause l’adéquation du Privacy Shield devant les juridictions nationales, afin de saisir ensuite la Cour de justice de l’Union européenne.

Les menaces des CNIL européennes seront peut-être inutiles. La Quadrature du Net, FDN et FFDN leur ont déjà grillé la politesse. Ils ont trainé le Privacy Shield devant la CJUE, en soulevant quatre moyens.

Ils reprochent en particulier à la Commission européenne d'avoir constaté que ce bouclier de protection des données « assure un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en dépit de l’absence de limitation au strict nécessaire des exploitations autorisées par la réglementation des États-Unis ».

On se souvient pour finir que dans son programme, le candidat Macron avait promis de faire renégocier le Privacy Shield d’ici 2018 « afin de garantir réellement la préservation des données personnelles de tous les Européens ».