Bilan provisoire du Privacy Shield :
Le Privacy Shield (« bouclier de protection des données personnelles »), un accord politique censé encadrer l’utilisation des données personnelles des citoyens Européens par les entreprises sur le sol américain, a été validé par les Etats membres [ NDLR : des représentants de ces États, comme le vaut l'article 31 de la directive européenne de 1995 qui défini et ordonne les données persos ], vendredi 8 juillet.
[...]
L’accord, entre la commission et les Etats-Unis, doit encore être validé par le collège des commissaires européens, avant son adoption définitive [ NDLR : par la Commission européenne ] qui devrait intervenir le 12 juillet prochain, après des mois d’âpres négociations. Ce n’est pas la fin du débat autour de cet accord contesté.
L’accord n’a pas fait consensus auprès des Etats membres, les diplomates représentant plusieurs pays – l’Autriche, la Slovénie, la Bulgarie et la Croatie, selon l’agence Reuters – se sont abstenus. Un moyen d’« exprimer leur méfiance vis-à-vis du texte » anticipait, jeudi lors d’une conférence, David Martinon, ambassadeur français pour la cyberdiplomatie et l’économie numérique, cité par le site Silicon.fr.
On note l'absence de l'"opposition" de l'Allemagne, que beaucoup considérent être des acharnés de la vie privée… C'est peut-être vrai au niveau citoyen mais pas au niveau des politocards.
[...]
https://www.laquadrature.net/fr/privacy-shield-bouclier-a-refuser :
Le 6 octobre 2015 la Cour de justice de l'Union européenne avait annulé l'accord du « Safe Harbor » couvrant les transferts de données depuis 2000, estimant que celui-ci permettait une collecte massive des données et une surveillance généralisée sans offrir de voies de recours effectives aux États-Unis pour les individus concernés en Europe. Aujourd'hui, force est de constater que le Privacy Shield ne répond pas non plus aux exigences de la Cour de justice.
Sur les principes de respect de la vie privée qui incombent aux entreprises couvertes par le Privacy Shield, on peut se demander l'utilité même d'une telle décision dans la mesure où celle-ci ne se substituera pas aux clauses contractuelles types ni aux règles internes d'entreprises, moins contraignantes et actuellement en vigueur, mais qu'elle s'y ajoutera. Cela signifie que si une entreprise couverte par le Privacy Shield s'en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, elle pourra continuer à traiter des données avec les deux mécanismes internes cités plus hauts.
Ben tout comme avec le Safe Harbor. On n'a rien perdu, ni rien gagné. Demander de l'harmonisation en Droit = douce utopie.
Mais le cœur de la décision se retrouve plutôt dans le chapitre sur l'accès aux données par les autorités publiques des États-Unis. Dans le texte, il n'est pas question de « surveillance de masse » mais plutôt de « collecte massive ». Or, si les États-Unis ne considèrent pas la collecte de masse comme de la surveillance, l'Union européenne, elle, par l'intermédiaire de sa Cour de justice, a tranché sur cette question en considérant, dans l'affaire C-362/14 Schrems c. Data Protection Commissioner, que la collecte massive effectuée par l'administration des États-Unis était de la surveillance de masse, contraire à la Charte des droits fondamentaux de l'Union européenne. Cette décision avait mené à l'invalidation du « Safe Harbor », et tout porte à croire que les voeux pieux et les faibles garanties d'amélioration exprimées par le gouvernement américain ne suffiront pas à rendre la décision du Privacy Shield adéquate avec la jurisprudence européenne.
Quelle surprise ! Non mais attendez : on a l'EU, grande utilisatrice de services web américains et complice de la surveillance de masse (y'a pas que les USA qui en font, échange de données entre plusieurs pays de l'EU et des USA, etc.) qui essaye de dire "renoncez à votre surveillance de masse que vous avez mise masse de thune, de gens et d'années à construire pour qu'on continue à faire du business ensemble, svp"… Sérieux, l'EU n'a aucun poids ni crédibilité dans les négociations : elle raffole des services qui vivent de ce qu'elle dénonce ! Je ne crois pas une seconde à l'argument "les USA ne peuvent pas se passer du marché européen" et je préfère lire que les Européen-ne-s ne peuvent pas se passer des services web américains et que c'est tout là le problème.
L'une des exigences de la CJUE, des CNIL européennes, du contrôleur des données personnelles et de la société civile était que toute personne concernée par un traitement de données avec cet État tiers puisse avoir la possibilité de déposer une plainte et de contester un traitement ou une surveillance illégale. Pour pallier cette sérieuse lacune du Safe Harbor, un mécanisme de médiateur (« Ombudsperson ») a été instauré. L'initiative aurait été bonne si ce médiateur était réellement indépendant [ NDLR : et coercitif ]. Mais d'une part il est nommé par le Secrétaire d'État, d'autre part les requérants ne peuvent s'adresser directement à lui et devront passer par deux strates d'autorités, nationale puis européenne. L'Ombudsperson pourra simplement répondre à la personne plaignante qu'il a procédé aux vérifications, et pourra veiller à ce qu'une surveillance injustifiée cesse, mais le plaignant n'aura pas de regard sur la réalité de la surveillance. Cette procédure ressemble à celle mise en place en France par la loi Renseignement avec la CNCTR et, pour les mêmes raisons, ne présente pas suffisamment de garanties de recours pour les citoyens.
Même problème ici : la surveillance de masse a été bâtie sur le secret défense. Tant que la société civile n'arrivera pas à démonter ça, le reste est perdu d'avance.
[...]
http://www.silicon.fr/privacy-shield-pas-ratifie-mais-attaque-152492.html :
Il rappelle que 6 exceptions sont possibles au Privacy Shield : « La détection et la lutte à certaines activités de puissances étrangères, l’anti-terrorisme, la lutte contre la prolifération nucléaire, la cybersécurité, la détection et la lutte contre les menaces visant les Etats-Unis et les forces armées alliées [ NDLR : comprendre « intérêt public », le fameux qui permet de tout détourner ;) ) et, enfin, la lutte contre les menaces de crimes transnationaux. ». Or cet espionnage massif est contraire, selon lui, à la jurisprudence de la Cour de Justice de l’Union européenne qui impose « une sphère de confiance ».
Mais le débat est peut-être tronqué dès le début, assure maître Olivier Iteanu, avocat spécialiste des nouvelles technologies et vice-président de Cloud Confidence. « La bataille sur le Privacy Shield est avant tout sur les principes mêmes liés à la donnée personnelle. Aux Etats-Unis, les données sont perçues comme un droit de propriété que l’on peut céder commercialement à une entreprise. En Europe, la donnée est un droit fondamental protégé. Tant que nous n’aurons pas de réconciliation de ces principes, il sera difficile de trouver un terrain d’entente. Il faut que les Etats-Unis fassent un pas supplémentaire dans notre direction. »
Comme le Safe Harbor, le Privacy Shield est très souple, car il repose sur un mécanisme volontaire d’autocertification par les entreprises concernées.
La collecte des données devra correspondre aux besoins précis des entreprises, et ne pas être détournées pour d’autres usages. Les Européens auront la possibilité de bloquer l’utilisation de leurs données pour des utilisations non prévues au départ (opt out). Pour les données sensibles (emploi, santé, etc.), un consentement préalable sera exigé. Un Européen aura le droit de consulter ses données personnelles détenues par une entreprise américaine, et si elles sont erronées, il pourra exiger qu’elles soient corrigées.
Le stockage ne pourra pas excéder cinq ans – sauf exception, notamment pour les journalistes, les artistes, les chercheurs, les statisticiens… [ NDLR : oui, enfin bon, même la commissaire européenne en charge du sujet a reconnue qu'il faudra « rendre plus explicite le principe de conservation limitée des données ». ] En ce qui concerne les décisions prises automatiquement par des ordinateurs (par exemple le rejet d’une demande de crédit, ou un profilage individuel), les Etats-Unis s’engagent simplement à évaluer l’impact de ces pratiques, à l’occasion des discussions annuelles prévues avec la Commission.
Bien entendu, le Privacy Shield prévoit une exception de taille : les services de renseignement américains continueront à intercepter et à exploiter les données personnelles venues d’Europe, notamment dans les affaires de «sécurité nationale » (contre-espionnage, terrorisme, armes de destruction massive…), « d’intérêt public » et de crime organisé.
En fait, les procédures de dépôt de plainte seront multiples : le plaignant pourra contacter directement l’organisme détenant ses données ou saisir le médiateur en passant par l’intermédiaire de son agence nationale, qui transmettra le dossier à Washington. Il pourra aussi faire appel à une commission d’arbitrage paritaire. En théorie, il pourrait même porter plainte ad nominem contre un fonctionnaire américain soupçonné de pratiques abusives – à condition de trouver un magistrat américain qui jugera sa plainte recevable.
Ils remarquaient aussi que le texte se réfère à la directive européenne de 1995, et non pas au nouveau règlement sur la protection des données, plus contraignant, adopté en 2015 mais qui n’entrera en vigueur qu’en 2018.
Par ailleurs, de nombreuses entreprises américaines n’ont plus vraiment besoin du Privacy Shield, car elles utilisent un autre mécanisme juridique : les « clauses contractuelles types », des accords privés bilatéraux passés entre une société européenne souhaitant exporter ses données outre-Atlantique et un prestataire américain qui va les traiter. Dans le cas des entreprises collectant directement les données auprès du public, comme Google ou Facebook, le contrat peut être passé entre leur filiale européenne et la maison mère américaine.
[...]
Notons que ces clauses contractuelles vont peut-être bientôt se faire trancher par la CJEU : http://www.numerama.com/politique/172949-facebook-continuer-a-exporter-vos-donnees-aux-usa-cjue-devra-trancher.html :
C’est donc pour avoir un avis définitif et opposable sur la question que la Cnil irlandaise, sommée par la Haute cour de prendre position, a demandé à la Cour de justice de l’Union européenne de prendre position à sa place. C’est la CJUE qui devra dire si oui ou non, les clauses types sont utilisables.