Privacy Shield : pourquoi les élus européens appellent à sa suspension

LégislationRégulationsSécurité
privacy-shield-parlement-europeen

Les eurodéputés invitent Bruxelles à suspendre le Privacy Shield si les États-Unis ne se conforment pas aux règles de l’UE en matière de protection des données.

Vers une suspension du Privacy Shield ? Les eurodéputés y songent.

Ils ont adopté, ce 5 juillet 2018, une résolution qui encourage la Commission européenne à passer à l’action si les États-Unis ne se conforment pas pleinement, d’ici au 1er septembre 2018, aux règles communautaires en matière de protection des données.

Entré en vigueur le 1er août 2016, le Privacy Shield a succédé au Safe Harbor, que la Cour de justice de l’Union européenne (CJUE) avait invalidé le 6 octobre 2015.

Il constitue une « décision d’adéquation » par laquelle les 28 États membres de l’UE – auxquels s’ajoutent la Norvège, le Liechtenstein et l’Islande – reconnaissent que les U.S.A. apportent un niveau suffisant de protection des données personnelles.

Quelque 3 300 organisations, à commencer par les GAFA, se prévalent aujourd’hui du dispositif pour transférer des données de citoyens européens vers l’autre côté de l’Atlantique.

Cambridge Analytica est passé par là

Les eurodéputés considèrent que l’application actuelle du texte ne satisfait pas aux exigences posées par le RGPD et la Charte des droits fondamentaux telle qu’interprétée par la CJUE.

Ils regrettent tout particulièrement que l’administration Trump n’ait pas profité de la réforme de la section 702 du FISA (Foreign Intelligence Surveillance Act) pour y ajouter les garde-fous listés dans une circulaire signée en 2014 par Barack Obama.

La section en question sert de base au renseignement U.S. pour obtenir un droit de regard sur les données de citoyens européens transférées vers les États-Unis. Elle a été amendée et renouvelée pour six ans à compter du 11 janvier 2018.

Les CNIL européennes, réunies sous l’égide du collectif WP29, avaient évoqué cette problématique dans un rapport publié en fin d’année dernière. En mettant en avant un garde-fou : la notion de « motif raisonnable de suspicion ».

Elles avaient par ailleurs invité Washington à renforcer ses mécanismes de contrôle et de conformité, dans une logique anticipatrice plutôt que correctrice.

Le Parlement européen formule la même demande, dans la lignée de l’affaire Cambridge Analytica. Il prie les autorités américaines de faire le ménage dans la liste des entreprises « certifiées Privacy Shield » ; et leurs homologues européennes d’intervenir elles aussi.

Vos papiers, s’il vous plaît

Les eurodéputés regrettent en outre que le gouvernement U.S. n’exploite pas la possibilité qui lui est donnée de demander une copie des contrats que les entreprises signent avec les tiers auxquels elles envoient des données.

Ils expriment, en parallèle, leur inquiétude quant à la récente modification des conditions d’utilisation de Facebook.

Avant ce changement, les utilisateurs non européens qui ne résident ni aux États-Unis, ni au Canada bénéficiaient des mêmes protections que les utilisateurs européens. Sous les nouvelles conditions, le responsable du traitement de leurs données n’est plus Facebook Irlande, mais Facebook U.S.

Les élus européens évoquent, à cet égard, une « limitation sans précédent […] des droits fondamentaux », par une plate-forme « en situation de monopole manifeste ». Et d’affirmer « [douter] sérieusement que tel était le but du Privacy Shield ».

Un médiateur décrié

Le mécanisme du médiateur est également pointé du doigt.

Cette « ombudsperson » doit officier au sein du département d’État américain, « en toute indépendance » vis-à-vis des services de renseignement. Il a pour mission d’examiner les recours des citoyens européens qui estiment qu’une entreprise a commis un abus dans le traitement de leurs données personnelles.

Problème : le médiateur ne serait pas suffisamment indépendant et ne disposerait pas des pouvoirs adéquats. Le French Data Network (FAI associatif), la Fédération FDN et La Quadrature du Net, réunis sous la bannière des « exégètes amateurs », avaient déjà souligné ce point dans une procédure ouverte auprès de la justice européenne.

Les procédures de recours elles-mêmes sont dénoncées : elles peuvent, d’après les eurodéputés, se révéler trop complexes à mettre en œuvre.

D’autres points mériteraient, suggèrent-ils, des clarifications. Notamment l’interprétation de la notion de « données RH », divergente entre l’UE et les États-Unis. Mais aussi l’absence de règles et de garanties spécifiques concernant les décisions basées sur des traitements automatisés par algorithmes.

Crédit photo : portalgda via VisualHunt / CC BY-NC-SA

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur