Sécurité

La protection des données privées entre UE et Etats-Unis est en voie de désintégration

OPINION. Malgré le «Privacy Shield», qui garantit un certain respect des règles européennes pour protéger nos données stockées dans les «clouds», les dérives abondent, selon Charles Cuvelliez, de l’Université libre de Bruxelles

Le bouclier de protection des données (Privacy Shield) avait pris le relais du Safe Harbour, annulé en 2015 par la Cour européenne de justice. La cour, suite aux révélations d’Edward Snowden, avait considéré que la surveillance de masse menée aux Etats-Unis était incompatible avec le respect de la vie privée garanti par ce même Safe Harbour. Ce dernier comme le Privacy Shield sont des décisions d’adéquation de la Commission européenne qui déclare si oui ou non un pays tiers protège suffisamment la vie privée au point d’accepter que des données de l’Union européenne y atterrissent.

Une concession qui n’est plus respectée avec Trump

Tout porte à croire que le Privacy Shield va exploser en plein vol et à nouveau donner des sueurs froides à tous les flux de données Etats-Unis-Europe qui seront interdits. Pourtant, le Privacy Shield contenait quantité de dispositions qui exportaient sur le territoire américain les garde-fous européens en termes de vie privée, une concession assez unique. Mais à l’ère Trump, aucune n’a été respectée.

Premier signe annonciateur passé inaperçu car voté juste après le rejet par le Parlement européen de la directive sur le droit d’auteur: une résolution demandant la suspension des transferts de données entre l’UE et les Etats-Unis. En 2014, une même résolution avait été votée pour stopper le Safe Harbour juste après Snowden. La Commission européenne avait dédaigneusement rejeté cette résolution. Via l’arrêt Maximillian Schrems contre Data Protection Commissioner, la Cour européenne de justice lui a fait ravaler sa superbe et l’a forcé à travailler dans l’urgence sur le Privacy Shield.

Promesses non tenues

Le Parlement européen, dans sa résolution, n’a pas dû faire grand-chose pour se justifier: il suffit d’énumérer toutes les promesses non tenues…

Il y a d’abord la commission PCLOB (Privacy and Civil Liberties Oversight Board) américaine, censée un peu mieux protéger la vie privée et des libertés civiles aux Etats-Unis. Elle n’est toujours pas constituée: deux membres sont toujours en attente de leur ratification par le Sénat américain. Sans quorum, cette institution ne peut pas fonctionner.

Le médiateur avec rang de sous-secrétaire d’Etat, mis en place pour traiter les plaintes des citoyens européens pour maltraitance de leurs données, n’a toujours pas de pouvoirs effectifs face à la voracité des agences de renseignement américaines. Il ne peut pas ordonner de mettre fin à la surveillance illégale ou de détruire définitivement les données. Il n’y a d’ailleurs même pas de médiateur nommé à titre définitif.

Les leçons de l’affaire Cambridge Analytica

Les pratiques de Facebook avec l’affaire Cambridge Analytica ont montré que la procédure d’auto-certification des entreprises américaines pour se dire conforme au Privacy Shield est vide de sens. Et, ne riez pas: Facebook est toujours reprise dans la très officielle liste américaine des sociétés vertueuses autorisées à héberger des données en provenance de l’Union européenne et de la Suisse. On attend toujours des sanctions contre Facebook en plus de sa radiation de cette liste.

Car le Parlement européen n’en revient pas non plus, peut-on lire dans sa résolution, que Facebook ait transféré 1,5 milliard d’utilisateurs non européens en dehors de Facebook Irlande pour éviter le RGPD: comme preuve de bonne foi, la main sur le cœur, pour montrer qu’on veut respecter la vie privée de ses clients, on fait mieux!

Le Parlement voudrait mettre fin à cette manie des fausses (ou prématurées) déclarations de certification: des sociétés américaines annoncent avoir reçu leur certificat Privacy Shield avant même que leur nom ne soit publié sur le site officiel, s’il apparaît un jour. Le Département américain du commerce (FTC) ne fait aucun contrôle des contrats passés entre les sociétés américaines qui se déclarent conformes et leurs clients. Tout comme le Département du commerce américain (PCLOB) avait lui aussi la place de président et celles de quatre commissaires vacantes jusqu’il y a peu, ce qui l’empêchait de faire respecter le Privacy Shield.

Multiples dérives

Autre dérive: les sociétés américaines, trop heureuses de voir la procédure de recours offerte aux citoyens de l’Union trop compliquée et peu efficace, se sont mises à proposer leurs propres mécanismes de recours indépendants. Les clients se plaignent donc auprès d’organismes désignés par ceux contre qui ils ne sont pas contents! Et ce n’est pas fini: les autorités américaines n’ont toujours pas apporté la preuve que la collecte des données est devenue ciblée et que l’accès à ces données n’a pas lieu de manière systématique par les agences du renseignement. Bref, rien n’a changé, dit le Parlement européen.

Plusieurs associations françaises ont profité du RGPD pour porter plainte contre le Privacy Shield: ce dernier n’a rien prévu contre le traitement automatisé et le profilage des gens sur base de leurs données privées, une pratique interdite par le RGPD. Ce n’est d’ailleurs pas le seul aspect pour lequel le Privacy Shield n’est pas conforme au RGPD.

Et puis, il y a eu la trouvaille pour diviser les Européens: le Cloud Act. Il permet aux autorités américaines et étrangères qui passent un accord bilatéral de saisir des données au-delà de leurs frontières respectives en contournant les traités d’entraides judiciaires (les fameux MLAT) qui respectent les compétences judiciaires des pays concernés. A quoi bon le Privacy Shield si on peut se servir dans l’assiette du voisin! La tentation est grande pour les Etats de faire cavalier seul avec les Etats-Unis pour accélérer l’entraide judiciaire en contournant les voies diplomatiques.

Le timing de cette résolution n’est pas anodin: chaque année, en septembre, il y a un état des lieux obligatoire du Privacy Shield. Les autorités de protection de données nationales ont déjà prévenu. Ils attaqueront le Privacy Shield devant la Cour européenne de justice si aucun résultat tangible ne sort de cette révision. Il y aura du sport à la rentrée.


Pour en savoir plus:

Résolution du Parlement européen sur l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis

Publicité