Bilan provisoire du Privacy Shield :

• On n'est toujours pas sur un cadre juridique contraignant mais sur un programme d'auto-régulation et d'auto-certification déclarative comme le défunt Safe Harbor, mais attention : le gouvernement US promet qu'il veillera au grain (surveillance proactive + faire corriger les abus + les sanctionner) tout en laissant son indépendance au mécanisme… trolololololo. Surtout que les élections présidentielles US approchent : il se passe quoi, après ? ;
  
  
• Cet accord, une simple décision d'adéquation (on décide que le droit états-unien satisfait à peu près aux exigences européennes de protection des données perso) se base sur l'ancienne directive européenne sur les données perso, celle de 1995, pas sur le nouveau règlement européen de 2016, plus contraignant, qui entrera en application en 2018. Et, forcément, rien n'est prévu explicitement dans le texte du Privacy Shield pour que le nouveau règlement lui serve de base dans le futur ;
  
  
• On n'harmonise pas les conceptions US et EU sur la valeur des données personnelles (simple droit de propriété qui peut être marchandé côté USA, droit fondamental côté EU) donc forcément, ça sera toujours le boxon. Pourtant, avec TAFTA, on harmonise les normes commerciales mais, sur le sujet des données personnelles, il faut croire que ça demande trop de boulot et/ou de volonté ! Après je reconnais que c'est aussi une histoire de souveraineté : les USA ne sont pas membre de l'EU et ont bien le droit d'avoir une autre conception que nous sur tous les sujets du monde, c'est tout l'intérêt de la souveraineté ;
  
  
• Apparemment, tous les droits européens ne sont toujours pas applicables : on a le droit d'accès, le droit de rectification et un bout du droit d'opposition (opt-out sur les nouveaux usages) mais rien sur l'effacement intégral ;
  
  
• On ne met pas fin à la surveillance de masse US mais elle est faussement limitée à 6 exceptions dont l'intérêt public, source de tous les débordements législatifs de ces dernières années en matière de surveillance, et, comble du bonheur, utilisable quand la surveillance ciblée est impossible (quels critères, quels contrôles, mystère) ! Le gouvernement US a donné des « assurances écrites » que ça a une base légale, on est prié de le croire, pas de vérifier ! Réaliste, le G29 (groupement des autorités de protection des données personnelles nationales) n'a même pas demandée la fin de la surveillance de masse / collecte massive alors que c'est le fondement de l'arrêt rendu par la CJEU invalidant le Safe Harbor ;
  
  
• Chaque entité est libre d'avoir recours au Privacy Shield ou non : elle peut aussi avoir recours aux règles internes aux entreprises et aux clauses contractuelles même si c'est le flou juridique total autour de tout ça, que la CJEU va bientôt se prononcer dessus et que les clauses contractuelles impliquent de recueillir l'avis éclairé (donc pas noyé dans les CGU) des utilisateurs-rices, ce dont ont peur les gros silo US ;
  
  
• Pas de vrais recours possibles : on a un médiateur dépendant du gouvernement US, qui n'a pas de pouvoirs d'enquête et qui est non coercitif (en mode CNCTR en France, il vérifie que "tout va bien") que le citoyen EU ne peut pas saisir directement. Pour aller devant un juge US, la procédure est complexe histoire qu'il y ait un taux de non-recours (aka que 99,9 % des personnes ne fassent pas valoir leurs droits) exorbitant ;
  
  
• Quelques avancées : opt-out sur les nouveaux usages pas prévus lors du recueil du consentement ; consentement explicite pour les données sensibles (emplois, santé) ; révision annuelle du dispositif alors qu'on a laissé le Safe Harbor dépérir pendant toutes ces années. Reste à savoir si ça serait une vraie révision ou un simple rapport… ;
  
  
• Le Privacy Shield doit encore être examiné par la Commission européenne (le pouvoir exécutif de l'UE). On notera que cet accord, de par sa nature, échappe au Parlement européen qui est pourtant très critique et sceptique sur l'état actuel du texte au point d'avoir voté, à 501 voix pour, 119 contre et 31 abstentions, une résolution soulignant ses lacunes et demandant à la Comission européenne de continuer la négociation (voir http://www.europaforum.public.lu/fr/actualites/2016/05/pe-privacy-shield/index.html ). Le co-législateur le plus proche du peuple européen ne sera pas entendu… D'un autre côté, 14 pays européens (dont l'Angleterre, l'Irlande, la Pologne, etc.) plaidaient, début juin 2016, pour la fin du protectionnisme européen en matière de données personnelles. Voir : http://www.nextinpact.com/news/99963-europe-moitie-etats-membres-veulent-liberer-echange-donnees.htm
  
  
• Le mot de la fin à la commissaire européenne en charge du dossier, Věra Jourová : « Le Privacy Shield ne peut pas être parfait. Il ne le sera jamais. Il y a des raisons objectives pour lesquelles nous n'avons pas pu aller plus loin. Comment voulez-vous que nous imposions nos volontés aux constitutionnalistes américains ? ». Source : http://www.europaforum.public.lu/fr/actualites/2016/05/pe-privacy-shield/index.html .
  
  
  
  
  [...]
  
  
  
  
  http://www.lemonde.fr/pixels/article/2016/07/08/donnees-personnelles-le-privacy-shield-dans-la-derniere-ligne-droite_4966618_4408996.html :

Le Privacy Shield (« bouclier de protection des données personnelles »), un accord politique censé encadrer l’utilisation des données personnelles des citoyens Européens par les entreprises sur le sol américain, a été validé par les Etats membres [ NDLR : des représentants de ces États, comme le vaut l'article 31 de la directive européenne de 1995 qui défini et ordonne les données persos ], vendredi 8 juillet.

[...]

L’accord, entre la commission et les Etats-Unis, doit encore être validé par le collège des commissaires européens, avant son adoption définitive [ NDLR : par la Commission européenne ] qui devrait intervenir le 12 juillet prochain, après des mois d’âpres négociations. Ce n’est pas la fin du débat autour de cet accord contesté.

L’accord n’a pas fait consensus auprès des Etats membres, les diplomates représentant plusieurs pays – l’Autriche, la Slovénie, la Bulgarie et la Croatie, selon l’agence Reuters – se sont abstenus. Un moyen d’« exprimer leur méfiance vis-à-vis du texte » anticipait, jeudi lors d’une conférence, David Martinon, ambassadeur français pour la cyberdiplomatie et l’économie numérique, cité par le site Silicon.fr.

On note l'absence de l'"opposition" de l'Allemagne, que beaucoup considérent être des acharnés de la vie privée… C'est peut-être vrai au niveau citoyen mais pas au niveau des politocards.




[...]




https://www.laquadrature.net/fr/privacy-shield-bouclier-a-refuser :

Le 6 octobre 2015 la Cour de justice de l'Union européenne avait annulé l'accord du « Safe Harbor » couvrant les transferts de données depuis 2000, estimant que celui-ci permettait une collecte massive des données et une surveillance généralisée sans offrir de voies de recours effectives aux États-Unis pour les individus concernés en Europe. Aujourd'hui, force est de constater que le Privacy Shield ne répond pas non plus aux exigences de la Cour de justice.

Sur les principes de respect de la vie privée qui incombent aux entreprises couvertes par le Privacy Shield, on peut se demander l'utilité même d'une telle décision dans la mesure où celle-ci ne se substituera pas aux clauses contractuelles types ni aux règles internes d'entreprises, moins contraignantes et actuellement en vigueur, mais qu'elle s'y ajoutera. Cela signifie que si une entreprise couverte par le Privacy Shield s'en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, elle pourra continuer à traiter des données avec les deux mécanismes internes cités plus hauts.

Ben tout comme avec le Safe Harbor. On n'a rien perdu, ni rien gagné. Demander de l'harmonisation en Droit = douce utopie.

Mais le cœur de la décision se retrouve plutôt dans le chapitre sur l'accès aux données par les autorités publiques des États-Unis. Dans le texte, il n'est pas question de « surveillance de masse » mais plutôt de « collecte massive ». Or, si les États-Unis ne considèrent pas la collecte de masse comme de la surveillance, l'Union européenne, elle, par l'intermédiaire de sa Cour de justice, a tranché sur cette question en considérant, dans l'affaire C-362/14 Schrems c. Data Protection Commissioner, que la collecte massive effectuée par l'administration des États-Unis était de la surveillance de masse, contraire à la Charte des droits fondamentaux de l'Union européenne. Cette décision avait mené à l'invalidation du « Safe Harbor », et tout porte à croire que les voeux pieux et les faibles garanties d'amélioration exprimées par le gouvernement américain ne suffiront pas à rendre la décision du Privacy Shield adéquate avec la jurisprudence européenne.

Quelle surprise ! Non mais attendez : on a l'EU, grande utilisatrice de services web américains et complice de la surveillance de masse (y'a pas que les USA qui en font, échange de données entre plusieurs pays de l'EU et des USA, etc.) qui essaye de dire "renoncez à votre surveillance de masse que vous avez mise masse de thune, de gens et d'années à construire pour qu'on continue à faire du business ensemble, svp"… Sérieux, l'EU n'a aucun poids ni crédibilité dans les négociations : elle raffole des services qui vivent de ce qu'elle dénonce ! Je ne crois pas une seconde à l'argument "les USA ne peuvent pas se passer du marché européen" et je préfère lire que les Européen-ne-s ne peuvent pas se passer des services web américains et que c'est tout là le problème.

L'une des exigences de la CJUE, des CNIL européennes, du contrôleur des données personnelles et de la société civile était que toute personne concernée par un traitement de données avec cet État tiers puisse avoir la possibilité de déposer une plainte et de contester un traitement ou une surveillance illégale. Pour pallier cette sérieuse lacune du Safe Harbor, un mécanisme de médiateur (« Ombudsperson ») a été instauré. L'initiative aurait été bonne si ce médiateur était réellement indépendant [ NDLR : et coercitif ]. Mais d'une part il est nommé par le Secrétaire d'État, d'autre part les requérants ne peuvent s'adresser directement à lui et devront passer par deux strates d'autorités, nationale puis européenne. L'Ombudsperson pourra simplement répondre à la personne plaignante qu'il a procédé aux vérifications, et pourra veiller à ce qu'une surveillance injustifiée cesse, mais le plaignant n'aura pas de regard sur la réalité de la surveillance. Cette procédure ressemble à celle mise en place en France par la loi Renseignement avec la CNCTR et, pour les mêmes raisons, ne présente pas suffisamment de garanties de recours pour les citoyens.

Même problème ici : la surveillance de masse a été bâtie sur le secret défense. Tant que la société civile n'arrivera pas à démonter ça, le reste est perdu d'avance.




[...]




http://www.silicon.fr/privacy-shield-pas-ratifie-mais-attaque-152492.html :

Il rappelle que 6 exceptions sont possibles au Privacy Shield : « La détection et la lutte à certaines activités de puissances étrangères, l’anti-terrorisme, la lutte contre la prolifération nucléaire, la cybersécurité, la détection et la lutte contre les menaces visant les Etats-Unis et les forces armées alliées [ NDLR : comprendre « intérêt public », le fameux qui permet de tout détourner ;) ) et, enfin, la lutte contre les menaces de crimes transnationaux. ». Or cet espionnage massif est contraire, selon lui, à la jurisprudence de la Cour de Justice de l’Union européenne qui impose « une sphère de confiance ».

Mais le débat est peut-être tronqué dès le début, assure maître Olivier Iteanu, avocat spécialiste des nouvelles technologies et vice-président de Cloud Confidence. « La bataille sur le Privacy Shield est avant tout sur les principes mêmes liés à la donnée personnelle. Aux Etats-Unis, les données sont perçues comme un droit de propriété que l’on peut céder commercialement à une entreprise. En Europe, la donnée est un droit fondamental protégé. Tant que nous n’aurons pas de réconciliation de ces principes, il sera difficile de trouver un terrain d’entente. Il faut que les Etats-Unis fassent un pas supplémentaire dans notre direction. »

Gros +1




[...]




http://www.lemonde.fr/pixels/article/2016/07/01/donnees-personnelles-un-accord-privacy-shield-tres-favorable-pour-les-etats-unis_4962245_4408996.html

Comme le Safe Harbor, le Privacy Shield est très souple, car il repose sur un mécanisme volontaire d’autocertification par les entreprises concernées.

La collecte des données devra correspondre aux besoins précis des entreprises, et ne pas être détournées pour d’autres usages. Les Européens auront la possibilité de bloquer l’utilisation de leurs données pour des utilisations non prévues au départ (opt out). Pour les données sensibles (emploi, santé, etc.), un consentement préalable sera exigé. Un Européen aura le droit de consulter ses données personnelles détenues par une entreprise américaine, et si elles sont erronées, il pourra exiger qu’elles soient corrigées.

Le stockage ne pourra pas excéder cinq ans – sauf exception, notamment pour les journalistes, les artistes, les chercheurs, les statisticiens… [ NDLR : oui, enfin bon, même la commissaire européenne en charge du sujet a reconnue qu'il faudra « rendre plus explicite le principe de conservation limitée des données ». ] En ce qui concerne les décisions prises automatiquement par des ordinateurs (par exemple le rejet d’une demande de crédit, ou un profilage individuel), les Etats-Unis s’engagent simplement à évaluer l’impact de ces pratiques, à l’occasion des discussions annuelles prévues avec la Commission.

Bien entendu, le Privacy Shield prévoit une exception de taille : les services de renseignement américains continueront à intercepter et à exploiter les données personnelles venues d’Europe, notamment dans les affaires de «sécurité nationale » (contre-espionnage, terrorisme, armes de destruction massive…), « d’intérêt public » et de crime organisé.

En fait, les procédures de dépôt de plainte seront multiples : le plaignant pourra contacter directement l’organisme détenant ses données ou saisir le médiateur en passant par l’intermédiaire de son agence nationale, qui transmettra le dossier à Washington. Il pourra aussi faire appel à une commission d’arbitrage paritaire. En théorie, il pourrait même porter plainte ad nominem contre un fonctionnaire américain soupçonné de pratiques abusives – à condition de trouver un magistrat américain qui jugera sa plainte recevable.

Ils remarquaient aussi que le texte se réfère à la directive européenne de 1995, et non pas au nouveau règlement sur la protection des données, plus contraignant, adopté en 2015 mais qui n’entrera en vigueur qu’en 2018.

Par ailleurs, de nombreuses entreprises américaines n’ont plus vraiment besoin du Privacy Shield, car elles utilisent un autre mécanisme juridique : les « clauses contractuelles types », des accords privés bilatéraux passés entre une société européenne souhaitant exporter ses données outre-Atlantique et un prestataire américain qui va les traiter. Dans le cas des entreprises collectant directement les données auprès du public, comme Google ou Facebook, le contrat peut être passé entre leur filiale européenne et la maison mère américaine.

[...]




Notons que ces clauses contractuelles vont peut-être bientôt se faire trancher par la CJEU : http://www.numerama.com/politique/172949-facebook-continuer-a-exporter-vos-donnees-aux-usa-cjue-devra-trancher.html :

C’est donc pour avoir un avis définitif et opposable sur la question que la Cnil irlandaise, sommée par la Haute cour de prendre position, a demandé à la Cour de justice de l’Union européenne de prendre position à sa place. C’est la CJUE qui devra dire si oui ou non, les clauses types sont utilisables.