Vers le site Automates Intelilgents
La Revue mensuelle n° 168
Robotique, vie artificielle, réalité virtuelle

Information, réflexion, discussion
logo admiroutes

Tous les numéros

Archives
(classement par rubrique
Image animée
 Dans La Revue
 

Retour au sommaire

Automates Intelligents s'enrichit du logiciel Alexandria.
Double-cliquez sur chaque mot de cette page et s'afficheront alors définitions, synonymes et expressions constituées de ce mot. Une fenêtre déroulante permet aussi d'accéder à la définition du mot dans une autre langue (22 langues sont disponibles, dont le Japonais).

 


Technologies et politique. De Safe Harbour à Privacy Shield
Par Olivier Iteanu, avocat à la Cour , 08/05/2016
NDLR L'auteur est membre de notre Comité de rédaction JPB

Le 6 Octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le programme Safe Harbor, programme conçu par le gouvernement des États-Unis et conclu avec la Commission européenne en juillet 2000.

Depuis lors, un autre vocable a pris place dans le public : Privacy Shield. De quoi s’agit-il ? Quels sont les enjeux ? Questions auxquelles nous allons ici répondre. Que chacun se fasse son idée ensuite.

Alice et Bob ont des données à caractère personnel, comme chacun d’entre nous, c’est-à-dire des données susceptibles de les identifier directement ou indirectement. Alice a confié certaines de ses données à un e-marchand auprès duquel elle a procédé à des achats en ligne et s’est inscrite à son programme de fidélité. Bob a confié ses données à son employeur, pour le traitement notamment de sa paie, de sa formation professionnelle, de sa carrière.

Ce faisant, Alice et Bob, citoyens européens, ont des droits vis-à-vis du e-marchand et de l’employeur, qualifiés de responsables de traitement. Ces responsables doivent assurer la sécurité et la confidentialité des données traitées vis-à-vis de tiers non autorisés. Ils ont dû également déclarer leur traitement à la CNIL et à ce titre, ont déclaré une finalité du traitement, une durée de conservation de données notamment, qu’ils doivent respecter sous peine de sanctions pénales prononcées par un Tribunal correctionnel ou de sanctions pour non-conformité prononcées par la CNIL.

Enfin, le e-marchand et l’employeur ont l’obligation de par la Loi de ne pas « procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un État n’appartenant pas… » à l’Union européenne. À défaut, ces responsables de traitement sont passibles de sanctions prévues au Code pénal et à son article 226-22-1, soit les peines maximales de 5 ans de prison et 300 000 euros d’amende, outre la possible sanction de la CNIL.

L’objectif de cette réglementation européenne est d’assurer au citoyen européen un niveau de protection équivalent à celui dont il bénéfice au sein de l’Union européenne. Pour adoucir la règle, la commission européenne a prévu un certain nombre d’exceptions, notamment en qualifiant de pays adéquats, un certain nombre d’États soit qui disposent d’une législation nationale équivalente à la réglementation européenne en pareille matière, soit qui ont signé des traités internationaux qui les engagent à une telle protection. Une dizaine de pays en dehors de l’Union européenne ont ainsi été qualifiés de pays adéquats. Il s’agit d’Andorre, de l’Argentine, du Canada, d’Israël, de la Nouvelle-Zélande, de la Suisse et de l’Uruguay, outre une poignée d’îles à fiscalité avantageuse.

Le problème est que les États-Unis d’Amérique ne sont pas éligibles au rang de pays adéquat, pour, notamment, n’avoir aucune législation fédérale en matière de protection des données à caractère personnel. Le problème aussi, est qu’il est difficile aujourd’hui, à l’heure des réseaux numériques, de la globalisation et du commerce international sans frontières, de se passer des États-Unis.

La Commission européenne a dès lors, par la décision 2000/520 de juillet 2000, conclu avec le Department of commerce du gouvernement des États-Unis, un programme d’autorégulation, purement déclaratif, par lequel les entreprises et organisations qui y adhèrent, s’engagent à assurer aux traitements reçus d’Europe, une protection équivalente à celle accordée au sein de l’Union européenne. Ce programme, approuvé par la Commission européenne, a pris pour nom « Safe Harbor »

De cette manière, les États-Unis et les seules entreprises qui ont adhéré au Safe Harbor, constituent une exception à l’interdiction de principe d’exportation des données à caractère personnel européennes, hors de l’Union européenne.

La décision de la Cour de Justice européenne

Un jeune étudiant autrichien du nom de Max Schrems ne l’a pas entendu de cette oreille.

Membre de Facebook, dont il avait accepté les conditions générales d’utilisation, qui indiquaient expressément que ses données personnelles seraient transférées aux États-Unis mais que l’entreprise américaine était membre du Safe Harbour, il a d’abord saisi la Commission européenne, contestant l’accord passé, puis, devant le rejet de sa requête, a saisi les juridictions irlandaises, lieu d’établissement de la filiale européenne de Facebook. Ces juridictions ont posé une question préjudicielle à la CJUE sur la légalité du Safe Harbour.

C’est ainsi qu’on arrive à la décision de la CJUE invalidant en octobre 2015, l’accord conclu 15 ans plus tôt, en juillet 2000.

Pour arriver à cette décision, les juges européens, rappelant les révélations d’Edward Snowden sur un autre programme américain appelé Prism, auquel ont adhéré de grandes entreprises américaines donnant à la NSA un accès aux données qu’elles traitent, constatent que « toutes les entreprises participant au programme Prism qui permettent aux autorités US d’avoir accès à des données stockées et traitées aux USA semblent être certifiées dans le cadre… » du Safe Harbour, ce qui est contradictoire. Or, la CJUE considère que la Commission européenne n’avait pas le pouvoir de conclure cet accord Safe Harbor, qui dépossède les CNIL européennes de tout pouvoir de contrôle sur les données des européens ainsi transférés, d’où l’invalidation de cet accord à compter de l’arrêt de la CJUE, sans rétroactivité.

Les conséquences pratiques de cette invalidation sont colossales. À compter du 6 octobre 2015 et jusqu’à aujourd’hui, tout transfert de données personnelles vers les États-Unis est illégal, sauf autorisation exprès d’une CNIL Européenne qui peut être accordée au cas-par-cas sur demande, ou à l’intérieur d’un groupe (Binding corporate rules), ou sur la base de contrats conclus entre le e-marchand ou l’employeur d’Alice et Bob, avec des prestataires américains qui hébergeront leurs données, à la condition expresse que ces contrats reprennent à la virgule prêt, des clauses types élaborés par la Commission européenne.

À la suite de la décision d’invalidation, les CNIL européennes regroupées au sein d’un groupe de travail informel appelé G29, ont tout d’abord donné trois mois à la Commission européenne pour trouver un nouvel accord, à défaut de quoi elles se réservaient la faculté d’engager des contrôles.

Les choses n’en sont d’ailleurs pas restées là, puisque le 26 janvier 2016, la CNIL mettait en demeure publiquement Facebook Inc. et sa filiale en Irlande, de se conformer à la Loi informatique et libertés françaises sous trois mois, pointant ce qu’elle considérait être un certain nombre de non conformités, notamment l’export non autorisé des données personnelles d’européens aux États-Unis.

C’est ainsi qu’entre en jeu, le nouvel accord en cours de négociation entre la Commission européenne et le gouvernement des États-Unis, désormais baptisé Privacy Shield en lieu et place de feu Safe Harbor.

À l’heure où sont écrites ces lignes, on connaît le projet d’accord, mais rien n’assure qu’il se trouve dans sa forme finale.

Un écart de concurrence préjudiciable aux entreprises européennes ?

Pour garantir la conformité aux exigences européennes des traitements des données effectués par les entreprises américaines, l’accord définit des principes (les « Privacy Shield Principles ») auxquels ces entreprises doivent adhérer et qu’elles doivent respecter. Les entreprises qui violent ces principes pourront être sanctionnées et devront mettre fin à l’utilisation des données collectées.

L’accord envisage également de limiter la surveillance massive des données personnelles des citoyens européens pratiquée par les services de renseignement américains. Seul l’accès aux données à des fins de sécurité nationale, d’intérêt public ou de respect de la loi est autorisé, sous réserve du caractère nécessaire et proportionné de la surveillance. Cette surveillance est subordonnée au contrôle d’un médiateur spécialement créé par le futur Privacy Shield, l’Ombudsman.

L’accord met en place un dispositif de recours ouvert aux citoyens européens. Tout citoyen pourra saisir l’Ombudsman vçia sa CNIL locale, après s’être adressé en vain à l’entreprise concernée, condition préalable de la saisine. Cependant, les pouvoirs de cet Ombudsman ne seront pas coercitifs. Enfin, un mécanisme de réexamen annuel vise à contrôler l’efficacité du Privacy Shield.

Le 13 avril 2016, le G29 a rendu public son avis sur le Privacy Shield. Le G29 des CNIL européennes souligne que des améliorations significatives ont été apportées à la protection des données à caractère personnel.

Cependant, le groupe de travail relève également un certain nombre de lacunes de l’accord : manque général de clarté, imprécisions quant au régime de surveillance massive des données et incertitudes quant à l’efficacité et l’indépendance du médiateur, discordances entre certains principes américains et leurs équivalents européens, complexité des voies de recours ouvertes aux citoyens européens…

Les opposants au Privacy Shield font valoir que derrière le changement de nom, le changement n’est que de façade. Ils constatent que cet accord est construit sur les mêmes bases que le Safe Harbor. Il met aux prises les mêmes acteurs : le département du commerce du gouvernement américain, la Federal Trade Commission, sauf l’arrivée de l’Ombudsam, dont l’efficacité reste à démontrer. Surtout, il s’agit d’un programme d’auto régulation et déclaratif comme… le Safe Harbor. Enfin, l’Ombudsman, la grande innovation du projet de texte, n’a aucun pouvoir coercitif. A l’usage seulement, on pourra juger de son pouvoir réel et de son indépendance. Ils lui prédisent dès lors une fin certaine, ce que personne ne peut en réalité prédire à la date d’aujourd’hui.

Enfin, ils pointent un autre grand manquement au système imaginé par la Commission européenne : pendant qu’en Europe, les contraintes réglementaires s’accumulent pour les entreprises européennes dans l’attente d’un projet de règlement qui s’annonce, la même Commission européenne semble se satisfaire des promesses de leurs concurrents américains. N’y a-t-il pas là, un écart de concurrence particulièrement préjudiciable aux entreprises européennes ?