Recherche

[Tribune] Quel avenir pour le Privacy Shield?

Publié par le | Mis à jour le
[Tribune] Quel avenir pour le Privacy Shield?

Après l'invalidation du Safe Harbour, un nouvel accord, le Privacy Shield, relance le débat sur le transfert de données personnelles vers les États-Unis. Le nouveau dispositif, en cours de discussion, ne garantit pas encore pleinement la confidentialité des datas.

  • Imprimer

Par principe, les transferts de données personnelles en dehors de l'Union européenne vers un pays n'assurant pas un niveau de protection adéquat sont interdits. Seuls sont autorisés les flux de données répondant à l'une des exceptions prévues par la loi, au nombre desquelles figurent les décisions de la Commission européenne, à l'instar de celle rendue en 2000, au sujet du Safe Harbour.

Par conséquent, depuis l'invalidation du Safe Harbour par la Cour de justice européenne en octobre 2015, les entreprises qui se trouvent dans l'espace économique européen ne sont plus autorisées à transférer des données personnelles aux 4000 destinataires américains certifiés Safe Harbor. Cela concerne non seulement les données des salariés mais aussi les données des clients et prospects et de manière générale toutes données qui permettent d'identifier directement ou indirectement une personne.

Par conséquent, qu'il s'agisse de filiales d'entreprises américaines ou d'organisations européennes ayant recours à des prestataires américains proposant des solutions de traitement de données en mode Saas, nombre d'entre elles espèrent un dénouement rapide à ce feuilleton juridique.

La constitution d'un nouvel accord de sécurité

À la suite de l'invalidation du Safe Harbour, les autorités américaines et européennes ont travaillé à l'élaboration d'un nouvel accord, du nom de Privacy Shield, qui doit encore être soumis à la Commission. Si cette dernière juge que le nouvel accord présente, pour les données transférées aux États-Unis, un niveau de protection des données équivalent à celui offert au sein de l'Union, elle rendra alors une décision d'adéquation du mécanisme prévu par le Privacy Shield. Courant avril, le groupe des Cnil européennes (G29) a rendu un avis détaillé qui devrait servir de base de discussion aux prochains débats du Parlement européen sur le sujet.

Certes, la Commission n'est pas obligée de tenir compte de la position du Parlement. Néanmoins, la question est bien de savoir si les députés réunis à Strasbourg les 25 et 26 mai aboutiront à une résolution officielle ou si l'on se dirige vers un recours en annulation contre le Privacy Shield une fois validé par la Commission.

Dans son avis, le G29 a pris la précaution d'aborder chaque point en détail, sur la base d'un argumentaire juridique précis tenant compte de la jurisprudence Schrems de la CJUE, qui a invalidé le Safe Harbor. Bien qu'il fasse état de réels progrès, il constate que les garanties prévues par le "Bouclier vie privée" sont loin de répondre aux critères européens de protection des données. Certains principes de la protection des données personnelles sont mal interprétés voire tout simplement omis.

Des mesures insuffisantes

Le G29 constate ainsi que les mesures proposées dans le Privacy Shield ne permettent pas de garantir la proportionnalité du traitement. Les documents ne traitent pas non plus du principe selon lequel les données sont collectées pour une finalité spécifique et ne peuvent être utilisées ultérieurement de manière incompatible. De même, il ne fait pas état de l'obligation de limiter la durée de conservation des données. Les entreprises américaines destinataires des données des Européens pourraient donc les conserver même si elles n'adhéraient plus au Privacy Shield.

Les droits des personnes ne sont pas suffisamment garantis. Le Bouclier ne prévoit pas de mesures de sauvegarde des droits des personnes contre les traitements automatiques destinés à évaluer leurs caractéristiques à des fins de profilage et d'analyse comportementale, par exemple. Les voies de recours sont inopérantes. Elles sont en effet très complexes et les personnes ne peuvent exercer de recours au sein de l'UE.

Le processus d'adhésion d'une organisation au Bouclier vie privée ne prévoit pas de contrôle de ses engagements. Il n'y a pas de définition claire des pouvoirs d'investigation sur site des autorités américaines ni des modalités d'exequatur des décisions rendues par les autorités européennes en cas de violation des principes.

L'accord prévoit de trop nombreuses exceptions permettant de s'affranchir du respect des principes de protection des données. Contrairement à ce que laisse entendre le Privacy Shield, les Cnil européennes rappellent que des données agrégées ou codées n'excluent pas une éventuelle réidentification et qu'à ce titre, elles doivent être traitées comme des données à caractère personnel. De même, les données de santé ne sauraient faire l'objet de traitement visant à suivre les patients (tracking).

Les mesures proposées n'empêchent toujours pas la collecte massive et indiscriminée de données personnelles. En effet, la section 702 du FISA (Foreign intelligence surveillance act) permet toujours aux autorités américaines de collecter des données de "non-Américains" pour des activités de renseignements c'est-à-dire pour tout ce qui a trait aux affaires étrangères.

Malgré des avancées notables par rapport au Safe Harbour, le Privacy Shield n'offre toujours pas un niveau équivalent de protection des données personnelles. On suivra donc avec attention la position du Parlement dans les prochains jours, avant celle de la Commission. Exercice de haute voltige, s'il en est, pour la Commission européenne, qui devra satisfaire l'ensemble des intérêts en présence, tout en évitant que sa décision fasse l'objet d'un recours en annulation.

L'experte:

Florence Bonnet, présidente de CIL Consulting, société de conseil en protection des données: formalités et conformité Cnil, sécurité des données personnelles, correspondant Informatique et libertés.










Florence Bonnet (CIL Consulting)

[INFOGRAPHIE] Retour sur les temps forts du #SocialSellingForum 2017

Article écrit par Brainsonic

Brainsonic

[INFOGRAPHIE] Retour sur les temps forts du #SocialSellingForum 2017

[INFOGRAPHIE] Retour sur les temps forts du #SocialSellingForum 2017 [INFOGRAPHIE] Retour sur les temps forts du #SocialSellingForum 2017

Après une journée riche en enseignements, l'équipe Social Intelligence de l'agence Brainsonic retrace les moments clés sur Twitter du #SocialSellingForum [...]

Les 30 Meilleurs Trucs, Astuces et Idées Pour Générer plus de Leads 

Article écrit par WSI - We Simplify Internet

WSI - We Simplify Internet

Les 30 Meilleurs Trucs, Astuces et Idées Pour Générer plus de Leads 

Les 30 Meilleurs Trucs, Astuces et Idées Pour Générer plus de Leads 

S’il y a bien un objectif que toutes les entreprises ont en commun, c’est trouver de nouveaux clients. En revanche, cette tâche peut s’avérer [...]

Ces marques qui innovent loin des nouvelles technologies

Ces marques qui innovent loin des nouvelles technologies

Ces marques qui innovent loin des nouvelles technologies

Il n'y a pas que les nouvelles technologies, dans la vie. Ce mois-ci, Tilt ideas a repéré cinq initiatives dans lesquelles la techno n'a (presque) [...]

Mesurer sa vitesse d'affichage : optez pour les tests comparatifs

Article écrit par Dareboost

Dareboost

Mesurer sa vitesse d'affichage : optez pour les tests comparatifs

Mesurer sa vitesse d'affichage : optez pour les tests comparatifs

L’analyse des résultats des tests de vitesse de ses pages web peut s’avérer ardue, surtout lorsque l’on est pas expert technique. Pourquoi alors [...]

Le quotidien d’un Social Seller

Article écrit par DEVELINK

DEVELINK

Le quotidien d’un Social Seller

Le quotidien d’un Social Seller

Le Social Selling, cette posture qui consiste à considérer les réseaux sociaux comme un levier permettant de générer du business, a déjà révolutionné [...]

Les 10 employeurs français les plus attractifs

Les 10 employeurs français les plus attractifs

Les 10 employeurs français les plus attractifs

Alors que l'employee advocacy devient un enjeu majeur pour les entreprises, LinkedIn publie un top des groupes qui suscitent le plus d'intérêt [...]

Les 10 idées marketing (22-26 mai 2017)

Les 10 idées marketing (22-26 mai 2017)

Les 10 idées marketing (22-26 mai 2017)

...sont au nombre de 7 cette semaine. Au programme des initiatives marketing percutantes repérées ces derniers jours : Perrier organise des [...]

Autour de Bébé réinvente le service aux parents

Autour de Bébé réinvente le service aux parents

Autour de Bébé réinvente le service aux parents

L'enseigne de puériculture déploie son nouveau concept de magasins et redéfinit son identité, fondée sur trois piliers : proximité, expertise, [...]