Les eurodéputés ont adopté hier en plénière une résolution portée par Claure Moraes. Elle demande la suspension du Privacy Shield, si les États-Unis ne se mettent pas en conformité avec le droit de l'Union. Cet accord signé avec la Commission européenne est destiné à sécuriser le transfert et l’exploitation des données personnelles outre-Atlantique.
Quelques instants après avoir rejeté le mandat d’Axel Voss, visant en particulier à filtrer les « uploads » sur les plateformes d’hébergement, le Parlement européen a adopté en séance plénière la résolution de Claude Moraes. Déposée au nom de la commission des libertés civiles (Libé), elle pointe plusieurs défauts dans le Privacy Shield.
Ce bouclier Vie privée a été signé par la Commission européenne avec les États-Unis suite à l’invalidation du précédent accord de transfert de données, le Safe Harbor. Depuis 2000, l’institution bruxelloise considérait son cocontractant comme un « port sûr » où le niveau de sécurité des données personnelles était similaire à celui en vigueur en Europe pour les entreprises certifiées. Seulement, des années durant, la Commission n’a pas mis à jour ses constats.
Saisie d’un dossier initié par Maximilien Schrems, la Cour de justice de l’Union européenne a dressé un état des lieux peu reluisant 15 ans plus tard, le 6 octobre 2015. Eclairée par les révélations Snowden, elle a pointé le programme Prism de collecte de renseignements à grande échelle ouvert aux services américains. Elle a dénoncé tout autant l’absence de droit au recours des citoyens européens, outre encore une conservation généralisée des données, sans nuance et donc non limitée au strict nécessaire.
L'affaire Cambridge Analytica et Facebook
Problème, le Privacy Shield, son remplaçant, souffre également de faiblesses, à en croire la résolution adoptée hier. En témoigne l’affaire Cambridge Analytica-Facebook. Deux entités pourtant certifiées dans le cadre du nouveau bouclier, et qui donc, ont été autorisées à transférer les précieuses données qui allaient permettre des manipulations lors des élections voire du Brexit.
Selon le document, ces problèmes « mettent en exergue la nécessité d’une surveillance en amont ainsi que (…) des contrôles systématiques (…) tout au long de la durée de vie de la certification ».
Autre préoccupation : la révision des conditions d’utilisation de Facebook pour les utilisateurs de pays tiers résidant hors des États-Unis et du Canada. Jusqu’à présent, ceux-ci bénéficiaient de la protection des droits de la législation européenne, mais ils « doivent désormais accepter que le responsable du traitement des données ne soit plus Facebook Irlande, mais Facebook États-Unis ». Ce transfert de données, qui concerne environ 1,5 milliard d’utilisateurs vers un pays tiers, vient finalement raboter les droits fondamentaux des utilisateurs de la plateforme.
L'argument de la sécurité nationale
Dans une sorte de long inventaire, elle regrette tout autant l’absence de garanties spécifiques apportées aux décisions fondées sur le profilage, qui précèdent une décision automatisée. Une lacune peu en phase avec le règlement général sur la protection des données personnelles. D’ailleurs, le bouclier est à ses yeux en retrait s’agissant du droit d’opposition aux traitements, car limité à des cas beaucoup trop spécifiques.
Sur le terrain de la surveillance, l’argument de la « sécurité nationale » est trop largement défini, empêchant consécutivement les tribunaux d’exercer un contrôle strict sur ces traitements sensibles. Elle soupçonne, faute de garanties solides venues des autorités américaines, un possible accès en vrac aux données personnelles, suite à la réactivation de la section 702 de la loi « FISA ».
Plusieurs décrets présidentiels nourrissent tout autant ses préoccupations. Le décret 12333, « qui permet à la NSA de partager de vastes quantités de données privées, recueillies sans mandat, ordonnance de justice ou autorisation du Congrès, avec 16 autres organismes, dont le FBI, l’agence de lutte contre la drogue et le ministère de la Sécurité intérieure ». Et celui numéroté 13768 « portant renforcement de la sécurité publique à l’intérieur des États-Unis », où les garanties prévues par la loi sur la protection des données ne s’appliquent plus aux citoyens non américains.
Mêmes inquiétudes autour du Cloud Act (Clarifying Lawful Overseas Use of Data Act). Destiné à clarifier les règles encadrant les réquisitions des autorités américaines sur les données stockées en dehors de leur territoire, le texte « étend les compétences des services répressifs américains et étrangers en leur permettant de cibler et d’accéder aux données des personnes au-delà des frontières internationales sans recourir aux instruments d’entraide judiciaire (MLAT) ». Dénué de leurs garanties spécifiques, le Cloud Act vient s’entrechoquer avec la législation européenne sur la protection des données.
Au final, le Parlement européen réclame à la Commission la suspension pure et simple du Privacy Shield, du moins si les États-Unis ne se conforment pas aux règles européennes d’ici le 1er septembre. Cette résolution n'a qu'une portée politique, non juridique, mais elle devrait nourrir les menaces des CNIL européennes de saisir la justice, elles aussi insatisfaites de l'accord.
Commentaires (16)
#1
Ah tu y viens Marc au cloud act, je vais enfin pouvoir capter ^^
Edit: j’avais totalement zappé l’article sur le sujet en mars, merci l’équipe :)
#2
….Elle a dénoncé tout autant l’absence de droit au recours des citoyens européens,…..
" />
“elle découvre” (bienvenue au Club) !!!
#3
Je ne vois pas comment il serait possible d’avoir des garanties des autorités américaines quand elles interdisent la publication des activités de leurs services et qu’il faut s’appuyer sur les lanceurs d’alerte pour prendre connaissance des pratiques
" />. Un bon point aussi est l’extra-territorialité de certaines de leurs lois qui valide certains comportements de cow-boys 
" />
#4
On peut maintenant poser la question; du fait du lamentable privacy shield et du coup bas qu’est le cloud act est-ce qu’une entreprise qui a des activités avec les USA peut prétendre être en conformité avec le RGPD, perso je réponds non, mais financièrement ça ne va pas être simple pour certaines boites…
#5
Mais le parlement européen est en feu ces derniers temps! Qui aurait cru que cette assemblée saisisse mieux les défis posés par le numérique?
peut-être que les députés ont compris que la confiance vis à vis des institutions de l’UE impliquait que l’un de ses organes le plus légitime et dont on a le moins à craindre les excès s’impose et agisse enfin comme un pouvoir ET un contre-pouvoir.
#6
Sans décision d’adéquation, le principe veut que le responsable du traitement soit capable de démontrer que son traitement, y compris à l’étranger, respecte ces principes.
A priori, et sans administration complaisante, il sera très difficile de le prouver, surtout pour des traitement plus risqués la “compliance” du processus. Je suis donc de ton avis.
Cela-dit, bon nombre d’entreprises non dupes quand au fonds du privacy shield qui traitent des données de citoyens de l’UE aux USA (pas nécessairement les gros aspirateurs à données) envisagent déjà, à court ou moyen terme de relocaliser leur traitement de données sensibles, privacy shield ou non.
#7
Il est surtout temps de passer à l’action et d’arrêter le laisser faire en matière depuis toujours face aux US.
A chaque fois que côté Européens la loi ou les accords sont modifiés les US passent outre. Dernier exemple en date c’est l’activation du RGPD qui se trouve “annuler” par le Cloud Act qui est sorti juste à temps côté US.
Et comme côté Européens les décisions sont longues à prendre les pratiques US perdurent.
Seul changement cette année, c’est la riposte sur les taxes de l’acier ou pour une fois la riposte est arrivée assez vite et qu’en plus elle est intelligemment choisie.
#8
#9
#10
Pas vraiment le TAFTA c’est pour les US, le CETA concerne UE et Canada, qui a fait de nombreuses concessions justement pour ne pas trop dépendre des US.
#11
#12
Il manque des popups c’est ça ?
#13
“leurs Lois EXTRAterritories” me sont restées en travers de la gorge !!!
" />
et….comme ce sont EUX, tt.-le-Monde s’incline !
pas de riposte (au moins : essayer quelque-chose, faire semblant-de….), non…RIEN !
#14
Ce bouclier Vie privée a été signé par la Commission européenne avec les États-Unis suite à l’invalidation du précédent accord de transfert de données, le Safe Harbor.
c’était quoi qui avait permit d’invalider l’accord safe harbor ?
#15
Le quatrième paragraphe de l’article le résume, le lien vers l’article d’époque donne plus de détails.
TLDR: RTFA
#16
Ne serait-ce que parce que les entreprises US ayant un rôle de processeur sont 100x moins préparées que les autres au RGPD, ça demande une sacrée énergie de les sensibiliser et de les utiliser en respectant le principe d’“accountability”.
Après, il me semble que chez nos amis d’outre atlantique, il existe, à défaut de règles générales, certaines règles plutôt strictes dans certains domaines particulier. Il me semble par exemple que l’Etat est beaucoup plus gêné aux entournures lorsqu’il cherche à obtenir des données à caractère médical, et peut-être qu’une étude poussée (et probablement moins sûre et tout autant coûteuse que la migration) permettrait de conclure à la compliance dans certaines situation particulières.