Après plusieurs mois de négociations et malgré les doutes qui entourent toujours sa légalité, la Commission européenne a adopté mardi matin le Privacy Shield (.pdf), qui doit à nouveau permettre aux entreprises d’importer facilement vers les États-Unis des données personnelles collectées dans l’Union européenne. Le cadre remplace l’ancien Safe Harbor que la la Cour de justice de l’Union européenne (CJUE) avait invalidé le 6 octobre 2015, au motif que les USA n’apportaient pas les garanties suffisantes pour protéger les données des Européens.
Formellement, la Commission européenne a adopté une décision qui affirme que lorsqu’elles sont traitées dans le cadre négocié, les données des Européens envoyées vers les États-Unis sont présumées bénéficier d’un niveau de protection juridique équivalent à celui dont les justiciables auraient bénéficié au sein de l’Union. Le Safe Harbor permet ainsi aux entreprises de déclarer respecter le cadre défini, pour bénéficier automatiquement du droit de traiter des données d’Européens sur le sol américain.
Malheureusement, à la fois pour la vie privée et pour les affaires, cet accord n’aide personne
Pour annuler le Safe Harbor, la CJUE avait critiqué en particulier l’étendue des pouvoirs des services de renseignement américains, qui pouvaient avoir accès secrètement aux données stockées dès lors qu’ils estimaient qu’un intérêt de sécurité publique le justifiait. La Cour avait estimé qu’il s’agissait là d’une violation de la Charte des droits fondamentaux de l’UE, qui protège les données personnelles contre les intrusions disproportionnées.
Pour tenter d’apporter une réponse avec le Privacy Shield, les États-Unis ont apporté des assurances essentiellement verbales, rapportées dans le texte adopté mardi matin. Sans exclure les collectes massives d’informations auprès des détenteurs de données, il promet qu’il cherchera à réduire leur étendue « autant que possible », et que leur utilisation sera limitée à six objectifs de sécurité nationale (espionnage, terrorisme, armes de destruction massive, menaces sur la cybersécurité, sur les armées, ou menaces criminelles transnationales). La liste sera révisée tous les ans.
L’accord prévoit aussi la création d’un « Privacy Shield Ombudsperson » réputé indépendant, qui pourra faire le lien en derniers ressort entre d’éventuels plaignants européens et les services de renseignement américains qui auraient abusé de leurs pouvoirs. Avant lui, toute plainte contre des entreprises devra être traitée d’abord par la voie de l’arbitrage, avant l’éventuelle entremise des CNIL européennes.
Pour la Commission, ces quelques garanties apportées par les États-Unis sont suffisantes pour rassurer tout le monde et les exportations de données vont donc pouvoir reprendre comme avant. « Le nouveau cadre va restaurer la confiance des consommateurs quand leurs données seront transférées à travers l’Océan Atlantique », a ainsi affirmé V?ra Jourová, la commissaire européen pour la Justice, les Consommateurs et l’égalité des genres.
Microsoft est content
L’industrie numérique, qui avait demandé à la Commission d’aboutir au plus vite à un compromis quitte à ne pas privilégier totalement la vie privée par rapport aux intérêts commerciaux, est évidente heureuse de la décision de l’exécutif européen, qui va permettre de fluidifier à nouveau les transferts de données d’un continent à l’autre.
Microsoft s’est ainsi réjoui dès hier de l’adoption du Privacy Shield, dont il compte profiter aussi vite que possible . « Microsoft considère que la vie privée est un droit fondamental et nous pensons que le Privacy Shield fait progresser ce droit », écrit la firme de Redmond. Elle estime que l’accord signe marque « une réalisation importante pour les droits à la vie privée des citoyens à travers l’Europe, et pour les entreprises à travers toutes les industries qui reposent sur les flux internationaux de données pour faire fonctionner leurs entreprises et servir leurs clients ».
Les activistes le sont moins
Mais cet enthousiasme est loin d’être partagé par tous les observateurs et les activistes qui estiment que l’accord arraché reste défavorable aux citoyens européens, et qu’il encourt le risque d’être une nouvelle fois annulé par la CJUE, d’ici quelques années.
« Malheureusement, à la fois pour la vie privée et pour les affaires, cet accord n’aide personne », se lamente ainsi Joe McNamee, le directeur exécutif de l’association European Digital Rights (EDRi). « Il nous faudra attendre jusqu’à ce que la Cour décide à nouveau que l’accord est illégal et alors, peut-être, l’UE et les USA pourront négocier un accord crédible qui respecte effectivement la loi, engendre la confiance et protège nos droits fondamentaux ».
C’est aussi l’avis de Maximilian Schrems, forcément très observé. C’est lui qui avait porté plainte en Irlande contre l’autorisation donnée à Facebook d’exporter des données en vertu du Safe Harbor, et qui l’avait fait annuler. Il estime dans Fortune que le Privacy Shield est « la même chose que le Safe Harbor avec quelques ajouts » et qu’il « va échouer comme son prédécesseur ».
Les CNIL européennes réunies dans le groupe G29, elles, devraient se prononcer le 25 juillet prochain.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !