Les rumeurs annonçaient l’échec des négociations, ce ne sera finalement pas un Safe Harbor 2 mais un Privacy Shield (bouclier de confidentialité).
Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) invalidait le Safe Harbor, coupant le robinet des données personnelles des internautes européens récoltés et analysées par les entreprises US. 4 000 firmes, dont les GAFA (Google, Apple, Facebook, Amazon), bénéficiaient de cet accord.
Le transfert des données ne s’est pas arrêté pour autant, la CJUE permettant sa poursuite tant qu’un nouvel accord n’avait pas été trouvé. Par ailleurs, divers mécanismes juridiques permettaient la continuité du business :
— l’article 26 de la directive 95/46/CE du 24 octobre 1995 (Directive sur la protection des données personnelles) permet à un État membre d’autoriser le transfert de données vers un pays n’assurant pas un niveau de protection adéquat.
— les Binding Corporate Rules (BCR) permettent également de déroger à la règle. La CNIL les définit comme « un code de conduite interne qui définit la politique d’un groupe en matière de transferts de données personnelles hors de l’Union européenne. »
Néanmoins, en cas de litige sur le sujet, Facebook et Google ne pourraient pas se retrancher derrière le Safe Harbor, ce dernier a été jugé trop peu protecteur (voire mensonger par rapport aux promesses formulées), les agences gouvernementales US pouvant y accéder à l’envi.
Pour rappel, en marge des révélations d’Edward Snowden sur le programme PRISM (permettant à la NSA d’aller siphonner les données des internautes européens dans les serveurs des grandes entreprises américaines sous couvert de sécurité nationale), un jeune Autrichien, Maximilien Schrems, s’est tourné vers la CNIL irlandaise estimant que les données transférées depuis Facebook n’étaient pas suffisamment protégées.
L’autorité irlandaise de contrôle a rejeté sa plainte prétextant que l’accord signé par la Commission européenne prévoyait que les États-Unis « offrent un niveau de protection adéquat » (c’est-à-dire équivalent à celui fourni par l’Union, NDLR). Protection prévue dans le cadre du régime dit de la « sphère de sécurité » auquel les entreprises américaines peuvent souscrire volontairement. La Haute cour de justice d’Irlande a donc saisi la CJUE, qui a reconnu que les données n’étaient pas suffisamment protégées.
Les négociateurs américains et européens avaient donc jusqu’au 2 février pour trouver un accord sur le texte remplaçant le Safe Harbor : le Privacy Shield.
Les premières dissonances n’ont pas tardé à apparaître : le groupe de l’article 29, rassemblant les agences de contrôle du respect de la vie privée des États membres de l’Union européenne, soit les CNIL européennes, n’a pas tardé à pointer les lacunes possibles de ce nouveau texte. Le 3 février, le G29 a demandé un complément d’information pour vérifier que Privacy Shield « protège suffisamment les données personnelles des citoyens ».
En effet, le texte de l’accord n’a pas été divulgué, seul un résumé des lettres d’intention formulées par les deux parties est disponible et prévoirait « des garanties claires et des obligations de transparence concernant l’accès du gouvernement des États-Unis » aux données des internautes européens. Cependant, ces lettres d’intention n’ont aucune valeur juridique.
Il faudra attendre le 29 février pour qu’elles soient rendues publiques avec l’ensemble du texte. Le G29 a donné cette date butoir pour recevoir leur complément d’information, notamment concernant les recours juridique mis à la disposition des citoyens européens en cas de violation de leurs données personnelles.
D’ici là, la présidente de la CNIL, Isabelle Falque-Perrotin, a tenu à rappeler qu’« aujourd’hui, l’usage du Safe Harbor est illégal ».
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Les américains veulent tout avoir, tout posséder, tout savoir, tout contrôler et tout dominer.
C’est très malsain car partout où ils mettent leur nez ils foutent le bordel et leurs intentions ne sont dictées que par le business et le désir de puissance.
Mais de leur côté ils verrouillent tout, alors nous n’avons pas à leur faire des concessions.
Il faut espérer aussi que l’union européenne ne se laissera pas imposer l’accord TAFTA qui signerait notre soumission totale à la puissance et aux marchés américains.
Que tout cela est amusant. Dans des serveurs bien enterrés, les grandes puissances mondiales enregistrent tout, votre identité, vos habitudes, vos revenus, votre consommation, tout. Tout est enregistré.
Ne soyez pas dupes.
Oui bien sûr, nous en sommes conscients. Mais ce n’est pas une raison pour accepter que ce soit légal car nous n’aurions pas la possibilité de nous défendre.
Tant que c’est illégal ça les gêne aux entournures, même si ça ne les empêche pas de le faire.
Au moins nous ne leur reconnaissons pas ce droit, c’est une forme de résistance.