[mis à jour le 16 juillet 2020 : par décision de la Cour de Justice de l’Union Européenne, le Privacy Shield est… annulé. Cliquez sur ce lien pour en savoir plus]
Adieu Safe Harbor, « que le Diable t’emporte comme on disait alors… » .
On l’attendait depuis un moment, ce fameux, ce mythique « Privacy Shield » , notre « bouclier de protection des données EU-USA » de son titre officiel en Molière dans le texte.
Le Privacy Shield a été adopté officiellement par l’Union Européenne le 12 juillet 2016. Il est entré en vigueur le 1er août 2016.
Au 30 octobre 2016, plus de 400 entreprises US (dont Microsoft, Salesforce et Google) se sont auto-certifiées et depuis, importent librement des données personnelles depuis l’Union Européenne. Et les traitent conformément aux « principes » du Privacy Shield. Sans demande de consentement préalable des internautes européens.
Quels principes ? Avec quels recours ? Et quelles garanties ?
Ah, ça, pour en annoncer la signature, les médias et autres « grands lobbyistes spécialistes » étaient tous sur le pont, avec tambours z’et trompettes.
Mais qu’avez-vous réellement entendu à propos du Privacy Shield ? Ou même lu pour les plus tenaces (courageux(ses) ?) d’entre vous ? Vous voulez savoir comment fonctionne l’accord conclu, après des mois de tractations secrètes, entre la Commission Européenne et l’Administration du Président Obama ?
[mis à jour du 30 janvier 2018] Depuis son rapport annuel publié le 18 octobre 2017, la Commission Européenne s’interroge sur les conséquences à tirer de la mauvaise volonté des Etats-Unis à appliquer complètement le « Privacy Shield ».
Puis le G.29 (groupe des CNIL européenne en passe de devenir le « Board » de protection des données en application du RGPD-GDPR) s’est également officiellement ému du peu d’efforts de l’Oncle Sam sur le sujet.
C’est aujourd’hui au tour de Mme Falque-Pierrotin, présidente de la CNIL, de regretter un « bilan en demi-teinte » de l’application de cet accord sectoriel de l’autre coté de l’Atlantique (informations contexte.com).
Tandis que Madame Vera Jourova (Commissaire européenne à la Justice) déclare ce 29 janvier 2018 (toujours à Contexte.com) « Sur le Privacy Shield, ma patience a des limites ».
Rappelons que le Président Trump vient de reconduire le « Foreign Intelligence Surveillance Act » pour une durée de 6 années supplémentaires.
C’est sur le fondement de cette loi que les Etats-Unis s’arrogent le droit de demander aux opérateurs comme Facebook ou Google de transmettre notamment les métadonnées des européens collectées par ces opérateurs depuis le territoire de l’UE.
Curieusement, ce n’est pas le programme « FISA » qui pose problème à l’UE…
Pour rappel, l’organisation Digital Rights Ireland a formé un recours le 19 septembre 2016 devant la CJUE contre la décision d’adéquation adoptant le Privacy Shield. 16 mois déjà… encore 12 mois à attendre ?
[mis à jour du 20 septembre 2017] Le Conseil National du Numérique a bien raison d’écrire dans son communiqué du 18 septembre 2017 « Pourquoi l’accord « Privacy Shield » doit être renégocié » .
Voir ce qu’en dit Marc Reese de Next INpact le même 19 septembre.
[mise à jour du 7 septembre 2017] Merci aux Echos du 7 septembre 2017 de signaler qu’enfin, l’Union Européenne se décide à inspecter la mise en oeuvre par les USA de cet accord… Faut-il s’attendre à une véritable réaction des européens ? A suivre…
[mise à jour du 24 juillet 2017] Je vous livre – sans commentaire – l’accroche de l’article du site web Next INpact de ce 24 juillet 2017 :
« Les mois passent, les critiques persistent face au Privacy Shield. Une délégation de la commission des libertés civiles s’est rendue aux États-Unis. Ses conclusions font état de lacunes à combler d’urgence« .
[mise à jour du 16 juin 2017] Le groupe des Autorités de Contrôle de protection des données [personnelles] dit G.29 annonce une prochaine révision « conjointe » du Privacy Shield. C’est dans cet article de Next INpact du 13 juin 2017 que vous en apprendrez plus.
[mis à jour le 21 avril 2017] Avec la fin de toute limitation aux USA dans la collecte et le traitement des données personnelles par les opérateurs télécom et les FAI, le Privacy Shield semble de plus en plus fragile. A son habitude, l’UE s’interroge (ha bon ?), gesticule un peu (encore ?), sans encore montrer les dents (prévoir un très très long délai pour cela…)… Voir Next INpact du 6 avril 2017.
Bon, apparemment, l’administration Trump ne répond pas au téléphone… Les européens s’inquiètent mollement… ZDNet du 20 avril 2017. C’est pas glorieux tout ça.
[mise à jour du 28 janvier 2017] L’effet Trump jusque sur la protection des données personnelles ? Dans la foulée de sa prise de fonction, le Président Trump vient de signer un « Executive Order » et déclare :
« Les agences [FBI – NSA – etc.] doivent… s’assurer que leurs politiques de confidentialité excluent les personnes qui ne sont pas des citoyens américains ou des résidents permanents légaux des protections de la Loi sur la vie privée (Privacy Act) concernant les informations personnelles ».
Même la Commission européenne s’interroge sur la pérennité du Privacy Shield ! Si c’est ça, la mise en oeuvre du principe « America first« , ça promet… Plus de détail dans l’article de ZDNet du 27 janvier 2017.
[mise à jour du 31 octobre 2016] Il fallait s’y attendre, et bien voilà, c’est fait. L’organisation Digital Rights Ireland a formé un recours le 19 septembre 2016 devant la CJUE contre la décision d’adéquation adoptant le Privacy Shield. Nous sommes partis pour 18 à 24 mois d’attente avant la décision de la Cour de Luxembourg… Merci à Marc Rees de Next INpact, toujours très bien documenté… et grâce auquel nous apprenons encore ce 31 octobre 2016 un nouveau recours contre (l’infâme) Privacy Shield par les « Exégètes amateurs » (La Quadrature Du Net + French Data Network + FFDN fédération des fournisseurs d’accès à Internet associatifs) qui ont déjà à leur actif la censure de l’article L.811-5 du Code de la sécurité intérieure par le Conseil constitutionnel le 21 octobre 2016.
PRIVACY SHIELD : mon analyse complète (en BD) dans le slider ci-dessous
Privacy Shield : réalité…
Voyons le coté positif des choses : il faut se réjouir qu’en Europe, grâce à M. Schrems et à la CJUE depuis le 6 octobre 2015, le niveau de protection de la vie privée sur les données numériques ait progressé. Nous avons même obtenu une révision complète de la directive 95/46 (qui commençait à faire génération A) qui entrera en vigueur le 25 mai 2018.
Avons-nous, nous les européens, tiré les leçons de l’arrêt « Schrems » ? Sommes-nous vraiment à l’abris des abus (révélés par Edward Snowden en juin 2013) de notre fidèle allié de 1917 et 1941 ?
L’analyse de cet accord EU-USA est un véritable cauchemar. Je vous préviens, c’est très, très, (trop) long et compliqué. On dirait même que ça a été fait exprès… Si ce qui se conçoit bien s’énonce clairement, nous rappelle l’adage populaire, le Privacy Shield = zéro pointé !
Je m’attendais à un Safe Harbor bis, un peu boosté aux hormones de croissance, notamment sur les voies de recours. De ce coté là non plus, vous ne serez pas déçu. Enfin, si vous arrivez à comprendre comment il faut faire.
Pour les opiniâtres, je vous recommande les « garanties » apportées par l’Oncle Sam quant à la limitation des traitements des données des européens par les services de renseignement US. J’ai zappé ces (très longs) développements dans les images qui suivent. Par fatigue. Par résignation. Par découragement devant l’ampleur de la tâche pour vous en restituer autre chose que du gloubi-boulga.
… et vérités
Je vais le dire sans m’énerver : comment Mme Věra Jourová, commissaire européenne chargée de la justice, des consommateurs et de l’égalité des genres, a-t-elle pu accepter, en conscience, d’apposer sa signature en bas de ce document ?
Je relis aujourd’hui le communiqué de presse de la Commission Européenne et les propos de M. Andrus Ansip, vice-président de la Commission européenne chargé du marché unique numérique : « Nous disposons à présent d’un cadre solide garantissant que ces transferts se dérouleront dans des conditions optimales, y compris sur le plan de la sécurité » .
Non, ce n’est pas vrai, Monsieur Ansip, vous nous bercez d’illusions.
Cet accord est un scandale pour les européens.
Les transferts de données HORS UE et le RGPD ?
Puisque cet accord bancal est mort-né, intéressons nous plutôt à l’avenir et voyons les dispositions spécifiques de la GDPR sur les transferts hors UE des données. Les dispositions relatives à la poursuite des décisions d’adéquation de la Commission européenne prises sous l’empire de la directive 95/46 sont intéressantes…