Privacy Shield
Le Privacy Shield (ou "Bouclier de vie privée" en français) est une sorte « d'arrangement » entre l'Union européeenne et les États-Unis qui permet à des entreprises américaines de certifier qu'elles respectent les standards et les législations en vigueur dans l'Union européeenne en matière de protection des données et de la vie privée.
Ce n'est donc pas un « accord » entre l'UE et les États-Unis mais une « décision d'adéquation ». La Commission européenne certifie par cette décision que, dans le cas d'un transfert de données d'Européen-ne-s vers les États-Unis, le niveau de protection est conforme à la législation de l'UE.
Une telle décision est nécessaire afin de réaliser des transferts de données vers des pays tiers car la Directive 95/46/CE sur la protection des données personnelles (aujourd'hui remplacée par le règlement général sur la protection des données personnelles qui entrera en vigueur en 2018) interdit le transfert de données personnelles en dehors de l'Espace économique européeen (les 28 États membres de l'UE, ainsi que la Norvège, le Liechtenstein et l'Islande) si les pays destinataires ont un régime légal de protection des données personnelles inférieur à celui de l'UE. Plusieurs décisions d'adéquation avec des États tiers sont déjà en vigueur, par exemple avec le Canada, l'Argentine ou encore avec la Suisse.
Une décision d'adéquation suit une procédure d'adoption particulière puisqu'elle est négociée directement par la Commission européenne avec le gouvernement des États-Unis. Pour connaitre le détail de la procédure d'adoption, nous vous conseillons le site de la Commission européenne .
Contents
L'historique du Privacy Shield[edit]
Entre 2000 et 2015 une décision d'adéquation entre les États-Unis et l'Union européenne était en vigueur et encadrait les tranferts de données des Européen-ne-s de l'autre coté de l'Atlantique. Mais le 6 octobre 2015 cette décision a été invalidée par la Cour de justice de l'Union européenne dans l'arrêt Maximillian Schrems c. Data Protection Commissioner.
Le 25 juin 2013 Maximillian Schrems a saisi le Commissaire à la protection des données par une plainte dans laquelle il demandait qu'il soit interdit à Facebook de transférer ses données personnelles vers les États-Unis. Schrems estimait qu'une protection suffisante contre les activités de surveillance pratiquées par les autorités publiques aux États-Unis (pratiques rendues publiques quelques mois plus tôt par les révélations d'Edward Snowden n'était pas garantie.
Confirmant que le États-Unis assuraient un niveau adéquat de protection, le Commissaire a rejeté la plainte de Schrems. Ce dernier a donc saisi la Haute Cour de justice d'Irlande (High Court) qui, bien que reconnaissant qu'un accès massif et indifférencié à des données personnelles était contraire à la Constitution irlandaise, a considéré que cette affaire concernait la mise en oeuvre du droit de l'Union et a donc posé deux questions préjudicielles à la Cour de justice de l'Union européenne.
La Cour a tranché le 6 octobre 2015 en annulant la décision d'adéquation du Safe Harbor. Les juges ont considéré que la collecte et la conservation généralisée de l'intégralité des données à caractère personnel et ce sans que soit prévu aucune limitation de l'accès des autorités publiques aux données, était contraire au droit fondamental du respect de la vie privée, tel que garanti par l'article 7 de la Charte des droits fondamentaux de l'Union européenne.
Suite à l'annulation de la décision 2000/520/CE de la Commission, du 26 juillet 2000, autrement dit du Safe Harbor, la Commission européenne et les États-Unis ont commencé à négocier une nouvelle décision d'adéquation censée remplacer son précédesseur et prendre en compte les exigences de la CJUE : le Privacy Shield.
Processus d'adoption de la décision d'adéquation[edit]
- 2 février 2016 - la Commission européenne annonce publiquement s'être mis d'accord avec le gouvernement des États-Unis sur un nouveau cadre pour le transfert des données vers les États-Unis.
- 29 février 2016 - La Commission européenne publie le projet de décision d'adéquation UE-US: le Privacy Shield.
- 17 mars 2016 - La commission LIBE du parlement européen organise une audition d'experts sur le Privacy Shield
- 13 avril 2016 -Le G29 (le groupe des CNIL européennes) publie son avis sur l'accord du Privacy Shield. Les autorités de protection des données personnelles regrettent avant tout le manque général de clareté du texte mais elles s'inquiètent également de la non-adéquation du volet commercial et déplorent que «la possibilité d'une surveillance massive et indiscriminée » par les autorités américaines n'ait pas été écartée.
- 19 mai 2016 - Les représentants des États membres se rencontrent au sein du comité de l'article 31 afin d'émettre une position sur l'avancée des négociations. La validation par 16 États membres était requise pour que les négociations puissent continuer.
- 26 mai 2016 - Le Parlement européen adopte une résolution non contraignante sur le Privacy Shield. Les eurodéputés s'inquiètent de nombreuses « failles » mais soutiennent la Commission dans sa poursuite des négociations.
- 29 juin 2016 - Fuite, par Politico, de la nouvelle proposition de décision encore tenue secrète.
- 8 juillet 2016 - Validation de la décision d'adéquation par les États membres réunis au sein du comité de l'article 31. Seuls 4 États s'abstiennent : l'Autriche, la Slovénie, la Croatie et la Bulgarie.
- 12 juillet 2016 - adoption officielle du Privacy Shield suivie d'une conférence de presse commune entre Věra Jourová, Commissaire européenne à la Justice et Penny Pritzker, Secrétaire d'État au commerce des États-Unis.
Analyse du contenu[edit]
Principes relatifs à la vie privée[edit]
La première partie de la décision d'adéquation concerne les principes relatifs à la vie privée que doivent respecter les entreprises certifiées par la Privacy Shield.
- Principe de notification (Notice principle) : Les entreprises doivent fournir aux personnes concernées par un traitement un certain nombre d'informations (ex : type de données collectées, objectif du traitement, droit d'accès, responsabilité etc.) et rendre public leur politique de respect de la vie privée.
- Principes d'intégrité des données et de limitation de la finalité (Data Integrity and Purpose Limitation) : les données personnelles doivent être limitées à ce qui est nécessaire à l'objectf du traitement. Une entreprise ne peut pas traiter des données personnelles d'une manière incompatible avec l'objectif pour lequel les données étaient initialement collectées ou pour lequel la personne concernée avait donné son accord.
- Principe du choix (Choice Principle) : il donne aux personnes concernées par un traitement le droit de s'opposer à ce traitement (opt-out). Dans le cas d'un traitement de données sensibles, l'organisation qui réalise le traitement doit « normalement » obtenir le consentement préalable de la personne concernée (opt-in).
- Principe de sécurité (Scurity Principle) : les responsables du traitement soumis au Privacy Shield doivent prendre des mesures "raisonnables et appropriées" pour assurer la sécurité des données traitées et dans le cas d'un traitement par un sous-traitant, un contrat doit être effectué garantissant un niveau équivalent de protection
- Principe d'accès (Access Principle) : il confère aux personnes concernées le droit de demander à une organisation si elle traite ses données et d'obtenir les données en question. La personne concernée doit pouvoir corriger, modifier ou supprimer toute information inexacte ou qui a été traitée de manière contraire aux principes du Privacy Shield.
- Principe de recours, d'application et de responsabilité (Recourse, Enforcement and Liability Principle) : les organismes couverts par le Privacy Shield doivent prévoir des voies de recours effectifs afin de permettre à des personnes qui considèrent que leurs données ont été traitées de manière non conforme à la décision d'adéquation de déposer une plainte. Un individu peut déposer une plainte directement aurpès de l'entreprise concernée, d'un organisme indépendant de règlement des litiges désigné par l'entreprise, d'une autorité de protection des données d'un pays membre de l'UE ou de la « Federal Trade Commission » (FTC) des États-Unis.
- Principe de responsabilité pour des transferts ultérieurs (Accountability for Onward Transfer Principle) : un transfert ultérieur est un transfert d'une organisation responsable du traitement vers un autre responsable du traitement ou un sous-traitant tiers situé ou non aux États-Unis. Un tel transfert ne peut être effectué que dans le cadre d'un contrat garantissant aux données un niveau de protection équivalent. La personne concernée doit être informée de ce transfert et peut s'y opposer (voir : Principe du choix).
La liste des organismes certifiés par le Privacy Shield doit être rendue publique et facilement accessible sur internet. Le Ministère du Commerce des États-Unis s'assure de mettre à jour la liste des organismes certifiés en vérifiant que les pratiques des organismes correspondent aux différents principes sus-mentionnés.
À noter que seules les entreprises américaines qui entrent dans la juridiction de la « Federal Trade Commission » (Commission fédérale du commerce) et du « Department of Transportation » (Ministère des transports) peuvent être concernées par l'auto-certification du Privacy Shield. Ne rentrant pas dans la juridiction des deux organismes précédemment cités, les entreprises du secteur des banques et des télécommunications ne peuvent donc pas être couvertes par la décision d'adéquation.
Critiques[edit]
Tout comme son prédécesseur, le Safe Harbor, le Privacy Shield est basé sur le principe d'auto-certification. Cela signifie que ce sont les entreprises elles-mêmes qui certifient d'abord auprès du ministère du commerce des États-Unis puis publiquement qu'elles respectent les principes de vie privée énoncés dans le Privacy Shield et donc assurent un niveau adéquat de protection des données personnelles.
Bien que les entreprises doivent se re-certifier tous les ans et que le ministère du commerce est en charge de vérifier que les pratiques des entreprises correspondent aux principes de vie privée du Shield, il est extrémement simple pour une entreprise située aux États-Unis d'être couverte par le Privacy Shield et donc de pouvoir traiter des données de résidents européens.
On peut finalement s'interroger sur l'utilité même d'une telle décision dans la mesure où celle-ci ne se substituera pas aux alternatives moins contraignantes et actuellement en vigueur que sont par exemple les clauses contractuelles types ou les règles internes d'entreprises, mais qu'elle s'y ajoutera. Cela signifie que si une entreprise couverte par le Privacy Shield s'en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, rien le l'empéchera de continuer à traiter des données en contractant les dites clauses et mécanismes internes précédemment cités.
Accès aux données par les autorités publiques des États-Unis[edit]
La Commission européenne certifie avoir évalué les gardes-fous présents dans la législation des États-Unis limitant l'accès et l'utilisation des données personnelles transférées sous le Privacy Shield par les autorités publiques américaines.
Cette certification se base en partie sur les engagement écrits de l'administration américaine qu'on peut lire dans les annexes de la décision d'adéquation (voir annexe 6).
Les documents juridiques qui mentionnent les limitations et sur lesquels la Commission a évalué la bonne foie de l'administration des États-Unis sont :
- Executive Order 12333
- Presidential Policy Directive 28 émie le 17 janvier 2014 quelques heures après le discours de Barack Obama sur la réforme du renseignement. La directive présidentielle d'orientation 28 prévoit en effet quelques changements mineurs de la collecte nationale de meta-données par la NSA mais ne change en rien la portée de cette collecte.
En effet ce dernier stipule bien que la collecte de données ciblée reste prioritaire sur la collecte de masse et que si cette dernière doit avoir lieu elle doit être aussi ajustée que possible (« as tailored as feasible »).
Néanmoins la portée de la collecte de masse reste inchangée puisqu'elle peut avoir lieu à des fins de "sécurité nationale". La sécurité nationale comprend 6 objectifs aussi larges que non définis :
- le contre-terrorisme
- le contre-espionnage
- la lutte contre les armes de destruction massive
- la cyber-sécurité
- la protection des forces armées
- la lutte contre la criminalité transnationale
Protection juridique et mécanismes de recours effectifs[edit]
La décision d'adéquation du Privacy Shield assure que la législation américaine prévoit un certain nombre de voies de recours pour les résidents européens qui estiment que leurs données ont été collectées, traitées, utilisées de manière abusive par les services de renseignement américains (ex : via les dispositions du Foreign Intelligence Surveillance Act (FISA), du Computer Fraud and Abuse Act, du Electronic Communications Privacy Act ou du Freedom of Information Act (FOIA)).
Mais considérant que des exceptions aux voies de recours existent (par exemple toute la surveillance basée sur la executive order 12333 ) et que l'accès aux tribunaux est limité par la difficulté que peuvent avoir des résidents européens à démontrer un intéret à agir, le gouvernement américain à mis en place un nouveau système de recours : le mécanisme de l'Ombudsperson.
Fonctionnement du mécanisme :
- Les individus peuvent déposer une plainte auprès d'une autorité nationale de contrôle des services de sécurité nationale ou de contrôle des traitements de données personnelles par les autorités publiques. Ces autorités nationales transmettront ces plaintes à une autorité européenne centralisée qui sera en charge de la transmettre à l'Ombudsperson.
- L'Ombudesperson n'a pas un droit d'accès direct aux renseignements mais devra en faire la demande aux autorités de contrôle compétentes.
- Une fois les renseignements reçus, l'Ombudsperson sera en charge d'adresser une réponse au requérant dans laquelle il confirmera que la plainte a fait l'object d'une enquête et que s'il y a eu un non-respect de la loi, cela a été corrigé. Le requérant ne saura donc jamais si oui ou non il a pu être victime d'une surveillance illégale et aucun système de dédommagement n'est prévu.
Indépendence de l'Ombudsperson :
- Par la décision d'adéquation du Privacy Shield la Commission européenne certifie l'indépendance du mécanisme de l'Ombudsperson vis à vis de l'administration américaine et des services de renseignements.
- Mais cette indépendance est toute relative car l'Ombudsperson est un « senior coordinator » nommé par le Secrétaire d'État américain et c'est ce dernier qui veillera à ce que l'Ombudsperson puisse assurer ses fonctions de façon « objective » et libre de toute « influence inappropriée ».
- Rappelons enfin que l'Ombudsperson n'a pas de droit d'accès direct aux documents et informations et ne pourra jamais vérifier par lui même les informations que les services de renseignements lui transmettent.
Références[edit]
- PRESIDENTIAL POLICY DIRECTIVE 28 : https://www.fbi.gov/about-us/nsb/fbis-policies-and-procedures-presidential-policy-directive-28-1
- Avis du contrôleur européen des données sur le projet d'accord, 31 mai 2016
- Avis du G29 sur le projet d'accord, 13 avril 2016