Recherche

[Tribune] Quel avenir pour le Privacy Shield?

Publié par le | Mis à jour le
[Tribune] Quel avenir pour le Privacy Shield?

Après l'invalidation du Safe Harbour, un nouvel accord, le Privacy Shield, relance le débat sur le transfert de données personnelles vers les États-Unis. Le nouveau dispositif, en cours de discussion, ne garantit pas encore pleinement la confidentialité des datas.

  • Imprimer

Par principe, les transferts de données personnelles en dehors de l'Union européenne vers un pays n'assurant pas un niveau de protection adéquat sont interdits. Seuls sont autorisés les flux de données répondant à l'une des exceptions prévues par la loi, au nombre desquelles figurent les décisions de la Commission européenne, à l'instar de celle rendue en 2000, au sujet du Safe Harbour.

Par conséquent, depuis l'invalidation du Safe Harbour par la Cour de justice européenne en octobre 2015, les entreprises qui se trouvent dans l'espace économique européen ne sont plus autorisées à transférer des données personnelles aux 4000 destinataires américains certifiés Safe Harbor. Cela concerne non seulement les données des salariés mais aussi les données des clients et prospects et de manière générale toutes données qui permettent d'identifier directement ou indirectement une personne.

Par conséquent, qu'il s'agisse de filiales d'entreprises américaines ou d'organisations européennes ayant recours à des prestataires américains proposant des solutions de traitement de données en mode Saas, nombre d'entre elles espèrent un dénouement rapide à ce feuilleton juridique.

La constitution d'un nouvel accord de sécurité

À la suite de l'invalidation du Safe Harbour, les autorités américaines et européennes ont travaillé à l'élaboration d'un nouvel accord, du nom de Privacy Shield, qui doit encore être soumis à la Commission. Si cette dernière juge que le nouvel accord présente, pour les données transférées aux États-Unis, un niveau de protection des données équivalent à celui offert au sein de l'Union, elle rendra alors une décision d'adéquation du mécanisme prévu par le Privacy Shield. Courant avril, le groupe des Cnil européennes (G29) a rendu un avis détaillé qui devrait servir de base de discussion aux prochains débats du Parlement européen sur le sujet.

Certes, la Commission n'est pas obligée de tenir compte de la position du Parlement. Néanmoins, la question est bien de savoir si les députés réunis à Strasbourg les 25 et 26 mai aboutiront à une résolution officielle ou si l'on se dirige vers un recours en annulation contre le Privacy Shield une fois validé par la Commission.

Dans son avis, le G29 a pris la précaution d'aborder chaque point en détail, sur la base d'un argumentaire juridique précis tenant compte de la jurisprudence Schrems de la CJUE, qui a invalidé le Safe Harbor. Bien qu'il fasse état de réels progrès, il constate que les garanties prévues par le "Bouclier vie privée" sont loin de répondre aux critères européens de protection des données. Certains principes de la protection des données personnelles sont mal interprétés voire tout simplement omis.

Des mesures insuffisantes

Le G29 constate ainsi que les mesures proposées dans le Privacy Shield ne permettent pas de garantir la proportionnalité du traitement. Les documents ne traitent pas non plus du principe selon lequel les données sont collectées pour une finalité spécifique et ne peuvent être utilisées ultérieurement de manière incompatible. De même, il ne fait pas état de l'obligation de limiter la durée de conservation des données. Les entreprises américaines destinataires des données des Européens pourraient donc les conserver même si elles n'adhéraient plus au Privacy Shield.

Les droits des personnes ne sont pas suffisamment garantis. Le Bouclier ne prévoit pas de mesures de sauvegarde des droits des personnes contre les traitements automatiques destinés à évaluer leurs caractéristiques à des fins de profilage et d'analyse comportementale, par exemple. Les voies de recours sont inopérantes. Elles sont en effet très complexes et les personnes ne peuvent exercer de recours au sein de l'UE.

Le processus d'adhésion d'une organisation au Bouclier vie privée ne prévoit pas de contrôle de ses engagements. Il n'y a pas de définition claire des pouvoirs d'investigation sur site des autorités américaines ni des modalités d'exequatur des décisions rendues par les autorités européennes en cas de violation des principes.

L'accord prévoit de trop nombreuses exceptions permettant de s'affranchir du respect des principes de protection des données. Contrairement à ce que laisse entendre le Privacy Shield, les Cnil européennes rappellent que des données agrégées ou codées n'excluent pas une éventuelle réidentification et qu'à ce titre, elles doivent être traitées comme des données à caractère personnel. De même, les données de santé ne sauraient faire l'objet de traitement visant à suivre les patients (tracking).

Les mesures proposées n'empêchent toujours pas la collecte massive et indiscriminée de données personnelles. En effet, la section 702 du FISA (Foreign intelligence surveillance act) permet toujours aux autorités américaines de collecter des données de "non-Américains" pour des activités de renseignements c'est-à-dire pour tout ce qui a trait aux affaires étrangères.

Malgré des avancées notables par rapport au Safe Harbour, le Privacy Shield n'offre toujours pas un niveau équivalent de protection des données personnelles. On suivra donc avec attention la position du Parlement dans les prochains jours, avant celle de la Commission. Exercice de haute voltige, s'il en est, pour la Commission européenne, qui devra satisfaire l'ensemble des intérêts en présence, tout en évitant que sa décision fasse l'objet d'un recours en annulation.

L'experte:

Florence Bonnet, présidente de CIL Consulting, société de conseil en protection des données: formalités et conformité Cnil, sécurité des données personnelles, correspondant Informatique et libertés.










Florence Bonnet (CIL Consulting)

5 conseils pour réussir votre premier salon

5 conseils pour réussir votre premier salon

5 conseils pour réussir votre premier salon 5 conseils pour réussir votre premier salon

Les dirigeants de start-up se trouvent souvent démunis face aux mastodontes de leur secteur lorsqu'ils participent pour la première fois à un [...]

Marketing d’influence : nouveau prince du marketing moderne?

Article écrit par Sarbacane Software

Sarbacane Software

Marketing d’influence : nouveau prince du marketing moderne?

Marketing d’influence : nouveau prince du marketing moderne?

On en parle beaucoup ces derniers temps, le marketing d'influence se voit comme une nouvelle façon d'aborder les stratégies de communication. [...]

Comment comprendre et influencer le comportement du consommateur

Article écrit par Brandwatch

Brandwatch

Comment comprendre et influencer le comportement du consommateur

Comment comprendre et influencer le comportement du consommateur

Comprendre le comportement du consommateur est une tâche vaste et complexe, mais avec le bon mix de recherches vous pouvez mieux comprendre [...]

Saga #InboundMarketing : Fondements

Article écrit par Éditialis Brand Content

Éditialis Brand Content

Saga #InboundMarketing : Fondements

Saga #InboundMarketing : Fondements

Le comportement des consommateurs a changé ! Ils ne sont plus réceptifs aux stratégies marketing traditionnelles. Un phénomène qui s’explique [...]

Le media pro, outil incontournable de communication BtoB

Le media pro, outil incontournable de communication BtoB

Le media pro, outil incontournable de communication BtoB

Face à la multiplication des canaux, les médias professionnels réaffirment leur rôle et leur pouvoir dans les stratégies de communication BtoB. [...]

S4M acquiert la DSP Netadge

S4M acquiert la DSP Netadge

S4M acquiert la DSP Netadge

S4M, le spécialiste de la publicité ciblée sur mobile, met la main pour un montant non dévoilé sur Netadge, une DSP mar. Stanislas Coignard, [...]