Privacy Shield: plus de protection pour nos données personnelles !
Une entreprise européenne qui utiliserait un service de cloud (de stockage des données) situé aux Etats-Unis peut-elle transférer les données personnelles de ses clients à ce service ? Le « Privacy Shield » est une décision de la Commission européenne qui atteste que les États-Unis assurent un niveau élevé de protection des données personnelles et donc qui permet un tel transfert des données personnelles vers les États-Unis. Membre de la commission parlementaire Libertés civiles, justice et affaires intérieures (LIBE), Nathalie Griesbeck s’inquiète du niveau de protection de nos données personnelles aux États-Unis, au vu des régulières révélations d’espionnage de masse, des lacunes existantes concernant le droit de recours des européens, de la nouvelle administration américaine, etc. Une résolution a été votée dans ce sens lors de cette session plénière. Explications en vidéo et dans cet article.
Quelle est la législation européenne en matière de transfert de données personnelles vers un pays tiers?
La Directive Européenne 95/46/CE relative au traitement des données à caractère personnel (actuellement en cours de réforme) dispose que le transfert des données personnelles vers un pays tiers peut uniquement avoir lieu si le pays tiers en question assure un niveau de protection adéquat à ces données (article 25).
Cette Directive Européenne précise ensuite que la Commission Européenne peut constater qu’un pays tiers assure, en raison de sa législation ou de ses engagements internationaux, un niveau de protection adéquat.
Le Safe Harbor ?
Qu’est-ce que le Safe Harbor ?
Le 26 juillet 2000, la Commission Européenne a adopté une décision officielle dans laquelle elle considére que, dans le cadre du régime dit Safe Harbor, les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées ; par conséquent, la Commission a autorisé le transfert de données vers les Etats-Unis.
Le “Safe Harbor” ou « sphère de sécurité » est un ensemble de principes de protection des données personnelles négocié entre les autorités américaines (Département du Commerce américain) et la Commission Européenne en 2000 (après deux ans de négociations) :
Information / notification des personnes / notification quant à leurs données personnelles
Possibilité pour la personne concernée de s’opposer à un transfert ou à une utilisation des données pour des finalités différentes
Consentement explicite pour les données sensibles,
Droit d’accès et de rectification
Sécurité des données
Intégrité des données
Transfert à des tiers
Les entreprises établies aux États-Unis peuvent adhérer volontairement au « Safe Harbor », si elles y adhèrent, elles peuvent alors recevoir des données à caractère personnel en provenance de l’UE. Ces entreprises sont alors « certifiées Safe Harbor »
Le Safe Harbor permet ainsi le transfert de données en provenance de l’Union Européenne vers des entreprises établies aux Etats Unis (par exemple une entreprise européenne qui utiliserait pour stocker les données de ses clients un service de cloud situé aux Etats-Unis).
La Cour de Justice invalide le Safe Harbor !
Cela faisait plusieurs années que nombreux organismes, dont le Parlement Européen, soulevaient des inquiétudes concernant ce « Safe Harbor », concernant le transfert de tant de données personnelles de l’UE vers les USA et surtout le niveau de protection de ces données personnelles une fois aux États-Unis.
Ces inquiétudes ont redoublé après les révélations Snowden, en 2013, qui ont dévoilé les nombreuses failles et les programmes américains de surveillance de masse. Le Parlement Européen avait immédiatement demandé la suspension du Safe Harbor !
Le 6 octobre 2015, dans l’arrêt Schrems contre Irlande, la Cour de Justice de l’Union Européenne est venue invalider le Safe Harbor; Max Schrems, un jeune étudiant ayant fait un recours contre Facebook Irlande qui transférait ses données à Facebook USA. Max Schrems a intenté un recours au motif que que les États-Unis n’assuraient pas un niveau adéquat de protection des données à caractère personnel transférées. La Cour a jugé que la décision de 2000 établissant le Safe Harbor devait être déclarée invalide, dans la mesure où on ne pouvait considérer que le régime Safe Harbor instaure assure un niveau de protection adéquat aux données personnelles transférées depuis l’UE aux USA (notamment au vue de l’ingérence massive et disproportionnée des services de renseignement américains dans l’ensemble des données transférées).
Le Privacy Shield ?
Après de longues négociations et après avoir obtenu de nouvelles garanties en matière de protection des données personnelles des ressortissants européens auprès des États-Unis, le 29 février 2016, la Commission a adopté une nouvelle décision attestant que les États-Unis assurent un niveau adéquat de protection aux données à caractère personnel, décision dite « Privacy Shield» (qui a pour objectif de remplacer la décision « Safe Harbor »).
La Commission argumente avec 4 améliorations importantes obtenues de la part des États-Unis, par rapport à ce qui existait sous le « Safe Harbor » :
Des obligations plus strictes pour les entreprises dans le traitement qu’elles font des données personnelles.
Des sauvegardes plus importantes concernant l’accès des autorités publiques aux données
L’établissement de plusieurs mécanismes de recours judiciaire pour les ressortissants européens
Un meilleur suivi de la mise en place de cette « décision » en s’assurant sur la durée que les USA assurent toujours ce niveau adéquat de protection des données personnelles, notamment via une évaluation annuelle.
Au niveau du Parlement Européen toutefois (mais aussi au niveau d’autres organismes spécialisés dans la question de la protection de la vie privée et des données personnelles), les inquiétudes persistent concernant ce « Privacy Shield ». Principalement au vu des nouvelles règles permettant à l’Agence de sécurité nationale (NSA) de partager des données privées avec d’autres agences américaines sans décision de justice, au vu des récentes révélations relatives aux activités d’espionnage conduites par un fournisseur américain de services de communications électroniques et au vu de la nouvelle administration qui s’installe depuis quelques mois…Dès lors, le Parlement a décidé d’adopter une résolution à ce sujet, largement approuvée par les députés européens lors de cette session plénière
