En ce moment En ce moment

[Tribune] Quel avenir pour le Privacy Shield?

Publié par le | Mis à jour le
[Tribune] Quel avenir pour le Privacy Shield?

Après l'invalidation du Safe Harbour, un nouvel accord, le Privacy Shield, relance le débat sur le transfert de données personnelles vers les États-Unis. Le nouveau dispositif, en cours de discussion, ne garantit pas encore pleinement la confidentialité des datas.

  • Imprimer

Par principe, les transferts de données personnelles en dehors de l'Union européenne vers un pays n'assurant pas un niveau de protection adéquat sont interdits. Seuls sont autorisés les flux de données répondant à l'une des exceptions prévues par la loi, au nombre desquelles figurent les décisions de la Commission européenne, à l'instar de celle rendue en 2000, au sujet du Safe Harbour.

Par conséquent, depuis l'invalidation du Safe Harbour par la Cour de justice européenne en octobre 2015, les entreprises qui se trouvent dans l'espace économique européen ne sont plus autorisées à transférer des données personnelles aux 4000 destinataires américains certifiés Safe Harbor. Cela concerne non seulement les données des salariés mais aussi les données des clients et prospects et de manière générale toutes données qui permettent d'identifier directement ou indirectement une personne.

Par conséquent, qu'il s'agisse de filiales d'entreprises américaines ou d'organisations européennes ayant recours à des prestataires américains proposant des solutions de traitement de données en mode Saas, nombre d'entre elles espèrent un dénouement rapide à ce feuilleton juridique.

La constitution d'un nouvel accord de sécurité

À la suite de l'invalidation du Safe Harbour, les autorités américaines et européennes ont travaillé à l'élaboration d'un nouvel accord, du nom de Privacy Shield, qui doit encore être soumis à la Commission. Si cette dernière juge que le nouvel accord présente, pour les données transférées aux États-Unis, un niveau de protection des données équivalent à celui offert au sein de l'Union, elle rendra alors une décision d'adéquation du mécanisme prévu par le Privacy Shield. Courant avril, le groupe des Cnil européennes (G29) a rendu un avis détaillé qui devrait servir de base de discussion aux prochains débats du Parlement européen sur le sujet.

Certes, la Commission n'est pas obligée de tenir compte de la position du Parlement. Néanmoins, la question est bien de savoir si les députés réunis à Strasbourg les 25 et 26 mai aboutiront à une résolution officielle ou si l'on se dirige vers un recours en annulation contre le Privacy Shield une fois validé par la Commission.

Dans son avis, le G29 a pris la précaution d'aborder chaque point en détail, sur la base d'un argumentaire juridique précis tenant compte de la jurisprudence Schrems de la CJUE, qui a invalidé le Safe Harbor. Bien qu'il fasse état de réels progrès, il constate que les garanties prévues par le "Bouclier vie privée" sont loin de répondre aux critères européens de protection des données. Certains principes de la protection des données personnelles sont mal interprétés voire tout simplement omis.

Des mesures insuffisantes

Le G29 constate ainsi que les mesures proposées dans le Privacy Shield ne permettent pas de garantir la proportionnalité du traitement. Les documents ne traitent pas non plus du principe selon lequel les données sont collectées pour une finalité spécifique et ne peuvent être utilisées ultérieurement de manière incompatible. De même, il ne fait pas état de l'obligation de limiter la durée de conservation des données. Les entreprises américaines destinataires des données des Européens pourraient donc les conserver même si elles n'adhéraient plus au Privacy Shield.

Les droits des personnes ne sont pas suffisamment garantis. Le Bouclier ne prévoit pas de mesures de sauvegarde des droits des personnes contre les traitements automatiques destinés à évaluer leurs caractéristiques à des fins de profilage et d'analyse comportementale, par exemple. Les voies de recours sont inopérantes. Elles sont en effet très complexes et les personnes ne peuvent exercer de recours au sein de l'UE.

Le processus d'adhésion d'une organisation au Bouclier vie privée ne prévoit pas de contrôle de ses engagements. Il n'y a pas de définition claire des pouvoirs d'investigation sur site des autorités américaines ni des modalités d'exequatur des décisions rendues par les autorités européennes en cas de violation des principes.

L'accord prévoit de trop nombreuses exceptions permettant de s'affranchir du respect des principes de protection des données. Contrairement à ce que laisse entendre le Privacy Shield, les Cnil européennes rappellent que des données agrégées ou codées n'excluent pas une éventuelle réidentification et qu'à ce titre, elles doivent être traitées comme des données à caractère personnel. De même, les données de santé ne sauraient faire l'objet de traitement visant à suivre les patients (tracking).

Les mesures proposées n'empêchent toujours pas la collecte massive et indiscriminée de données personnelles. En effet, la section 702 du FISA (Foreign intelligence surveillance act) permet toujours aux autorités américaines de collecter des données de "non-Américains" pour des activités de renseignements c'est-à-dire pour tout ce qui a trait aux affaires étrangères.

Malgré des avancées notables par rapport au Safe Harbour, le Privacy Shield n'offre toujours pas un niveau équivalent de protection des données personnelles. On suivra donc avec attention la position du Parlement dans les prochains jours, avant celle de la Commission. Exercice de haute voltige, s'il en est, pour la Commission européenne, qui devra satisfaire l'ensemble des intérêts en présence, tout en évitant que sa décision fasse l'objet d'un recours en annulation.

L'experte:

Florence Bonnet, présidente de CIL Consulting, société de conseil en protection des données: formalités et conformité Cnil, sécurité des données personnelles, correspondant Informatique et libertés.










Florence Bonnet (CIL Consulting)

Autres articles

Les 5 règles pour gagner au jeu de l'omnicanal
Retail
Les 5 règles pour gagner au jeu de l'omnicanal Les 5 règles pour gagner au jeu de l'omnicanal

Les 5 règles pour gagner au jeu de l'omnicanal

Par Stéphanie Marius

Comment les retailers peuvent-ils intégrer l'offre offline dans un modèle de mesure de leur ROI, alors que la digitalisation ne cesse de progresser? [...]

Le RGPD est l'occasion d'instaurer le renouveau de la relation client
Cross canal
Le RGPD est l'occasion d'instaurer le renouveau de la relation client

Le RGPD est l'occasion d'instaurer le renouveau de la relation client

Par Nathalie Schulz, directrice générale de DQE Software

Le 25 mai 2018, la nouvelle législation européenne sur la protection des données, le fameux RGPD, entrera en vigueur. Au-delà de la contrainte, [...]

Camif fait sa BA pour le Black Friday
Retail
Camif fait sa BA pour le Black Friday

Camif fait sa BA pour le Black Friday

Par Stéphanie Marius

"Nous ne vendons rien, vous n'achetez rien. #OnDonneTout." C'est par cette phrase que les clients de Camif.fr seront accueillis sur son site [...]

LiveRamp et Criteo s'allient pour optimiser les campagnes marketing
Cross canal
LiveRamp et Criteo s'allient pour optimiser les campagnes marketing

LiveRamp et Criteo s'allient pour optimiser les campagnes marketing

Par Stéphane Guillard

LiveRamp, fournisseur de solutions de résolution d'identité multicanal, et Criteo, spécialiste du commerce marketing, annoncent la signature [...]

Quelles sont les 100 marques US les plus puissantes ?
Etudes
Quelles sont les 100 marques US les plus puissantes ?

Quelles sont les 100 marques US les plus puissantes ?

Par Amélie Riberolle

Kantar MillwardBrown et WPP viennent de publier leur Brand-Z US, classement des marques américaines les plus valorisées dans le monde. Et dans [...]

Études: devenez coach de chatbot pour réinventer votre métier
Etudes
Études: devenez coach de chatbot pour réinventer votre métier

Études: devenez coach de chatbot pour réinventer votre métier

Par Florence Hussenot, directrice générale d'Adwise

La puissance de l'intelligence artificielle, alliée au big data et à l'adoption massive des chatbots, ne manque pas de laisser planer un doute [...]

Manageo lance "mList", outil de création de segments BtoB
Data
Manageo lance "mList", outil de création de segments BtoB

Manageo lance "mList", outil de création de segments BtoB

Par Floriane Salgues

Société spécialisée dans l'activation de données, Manageo lance le 23 novembre un outil de prospection. Baptisé "mList", celui-ci offre aux [...]

Vidéo, mobile et data, au centre de la stratégie de Prisma Media
Média
Vidéo, mobile et data, au centre de la stratégie de Prisma Media

Vidéo, mobile et data, au centre de la stratégie de Prisma Media

Par Eloïse COHEN

Lancement de studios vidéos, accélération sur la réalité augmentée, sur le mobile et sur une approche data-centric, sans oublier le début de [...]

Seules 6 % des marques sont en parfaite conformité avec le RGPD
Data
Seules 6 % des marques sont en parfaite conformité avec le RGPD

Seules 6 % des marques sont en parfaite conformité avec le RGPD

Par Floriane Salgues

Alors que 95 % des marques ne sont toujours pas en conformité totale avec la loi informatique et Libertés de 1978, le chemin à parcourir pour [...]