Les limites du Privacy Shield : des garanties insuffisantes

Effectif depuis le 12 juillet 2016, le nouveau dispositif juridique encadrant le transfert des données personnelles depuis l'Europe vers les États-Unis et remplaçant le « Safe Harbor » invalidé par la Cour de Justice de l’Union Européenne (CJUE) octobre 2015, s'est donné pour objectif de mieux protéger les données personnelles des internautes européens collectées par les entreprises et agences de renseignement américaines. Nommé « Privacy Shield » ou « bouclier pour la protection de la vie privée », ce nouvel accord présente néanmoins des garanties insuffisantes. Tour d'horizon.

Le blog Wooxo

0 commentaire - Réagissez à cet article

Les limites du Privacy Shield_MrRobot_fsociety

Pourquoi un nouvel accord encadrant les données personnelles ?

L'accord « Safe Harbor » autorisait plusieurs milliers d’entreprises américaines implantées en Europe (des géants du web Google, Facebook, Amazon, Apple... aux entreprises plus modestes) le transfert de données personnelles des citoyens européens outre-Atlantique en contrepartie d’un « niveau de protection adéquat ». De façon pratique, il suffisait en réalité aux entreprises américaines de certifier par elles-mêmes leur conformité d'avec les normes européennes de protection des données.
Une garantie minimaliste donc... qui a montré ses limites lors du scandale révélé par Edward Snowden de la surveillance de masse opérée par la NSA, l'agence de renseignement américaine, qui récupérait les données collectées par les entreprises américaines.

Adieu le « Safe » Harbor donc, et place à un nouvel accord devant être plus protecteur des droits des Européens, imposant des limites claires et transparentes quant au transfert des données personnelles et remettant sur le tapis le droit de surveillance que s'était octroyé le gouvernement américain.

Sauf que... les garanties sont toujours insuffisantes pour les données personnelles avec l'accord Privacy Shield.

Les garanties Privacy Shield sont insuffisantes... côté gouvernement américain 

Le Privacy Shield repose toujours sur le même raisonnement juridique que le Safe Harbor : seules les entreprises privées sont soumises aux obligations relatives aux données européennes tandis qu'une exception à la règle (et qui est de taille) laisse encore libres les services américains de renseignement et de police d'intercepter et d'exploiter les données personnelles européennes lorsqu'il s'agit de « sécurité nationale » (terrorisme, contre-¬espionnage, armes de destruction massive...), d'« intérêt public » ou de crime organisé.

Derrière les motifs énoncés (lutte contre le terrorisme etc.), il y a une autre réalité : celle du terrain, qui permet donc encore à n'importe qui disposant d'une carte d'une agence gouvernementale ou d'un uniforme, d'exploiter les données personnelles des internautes européens... Par ailleurs, ces données personnelles pourront être conservées 5 ans par les instances américaines !

Si le nouvel accord proscrit « la surveillance de masse » qui avait initié la fin du Safe Harbor, on peut le constater qu'il ne s’accompagne toujours pas de mesures concrètes visant à préciser la façon dont les services de renseignement américains limiteront cette collecte et cette exploitation de données. De plus, le Privacy Shield prévoit toujours la possibilité pour les organismes gouvernementaux américains d’un accès ciblé aux données ou lui donne l'autorisation d'une collecte de données de masse dans le cas où le ciblage individuel s’avérait impossible...

Les garanties Privacy Shield sont insuffisantes... côté citoyens européens 

Si le nouvel accord offre une protection plus effective aux citoyens européens de leurs droits individuels notamment avec la possibilité de faire recours de différentes manières en cas d'utilisation abusive de leurs données personnelles (soit en portant plainte directement contre l'entreprise, soit en s'adressant aux autorités européennes de protection des données (type CNIL) qui serviront d'intermédiaires auprès du département américain du Commerce, soit en dernier recours, en cas de litige, en faisant appel à un médiateur indépendant "Ombudsman", juge de paix indépendant qui, signalons-le ici, est américain), il ne permet pas de garantir le devenir des données personnelles confiées aux entreprises américaines.
Le fait-même que l'accord énonce les différentes modalités de recours à la justice américaine en cas d'abus ou de litige, annonce clairement en effet dans un même mouvement, la possibilité pour nous, de nous retrouver dans ces situations de violation de confidentialité des données récoltées.
Par ailleurs, il conviendrait de souligner l’absence dans le Privacy Shield de barème clair des peines encourues par les entreprises qui enfreindraient l’accord.

Les garanties Privacy Shield sont insuffisantes... côté entreprises américaines 

  • De façon identique que le Safe Harbor, le Privacy Shield repose sur un mécanisme volontaire d'auto-certification des entreprises qui certifieront elles-mêmes leur conformité avec la législation européenne... Un peu facile...
  • Tous les recours en justice initiés par les Européens passeront par la justice américaine et seuls les Etats-Unis ont le pouvoir d’appliquer les sanctions prévues aux entreprises qui ne respecteraient pas les règles.
  • Enfin, on peut signaler ici que de nombreuses entreprises américaines se passent en réalité d'ores et déjà d'une quelconque soumission à l'accord Privacy Shield et trouvent d’autres mécanismes juridiques (accords privés bilatéraux avec des « clauses contractuelles types »).

Les conseils de Wooxo 

Dans un climat de défiance généralisé concernant la protection des données personnelles, la vigilance est de mise quant aux garanties offertes en matière de confidentialité lorsque vous confiez vos données personnelles et professionnelles à un tiers. Wooxo vous recommande de privilégier les fournisseurs de services et d’applications de l’Union Européenne hébergeant les données clients dans un pays européen, ou à défaut, d’opter pour l’hébergement des licences et des données dans vos propres locaux si vous souhaitez souscrire aux services d’un éditeur américain.

 

Vos données profiteront ainsi du plus haut niveau de protection des données personnelles en vigueur dans le monde. En cas de litige, vous pourrez par ailleurs saisir à moindre coût les Tribunaux de l’Union pour faire valoir vos droits (plaider aux Etats-Unis coûtant très cher...).

0 commentaire