Données personnelles : encore des efforts à faire

image

Les CNIL européennes ont donné un avis assez favorable au « bouclier de protection » américano-européen
Le G29, groupe rassemblant les autorités de protection des données personnelles des pays membres de l’Union européenne, voit dans l’accord américano-européen dit « bouclier de protection » ou « Privacy shield » un « progrès majeur » pour la protection des données personnelles des citoyens européens transférées aux Etats-Unis.

Cet accord politique, rendu public en février après deux ans de négociations, doit remplacer le « Safe harbor », un autre accord invalidé à l’automne par la Cour de justice de l’Union européenne (CJUE). Plus de 4 000 entreprises s’appuyaient sur ce texte pour transférer des données personnelles depuis l’Europe vers les Etats-Unis.

Lire aussi : Données personnelles : le virulent réquisitoire de la CNIL contre Facebook
Le Privacy shield constitue un « un grand pas en avant » par rapport au Safe harbor, a expliqué Isabelle Falque-Pierrotin, présidente du G29, mercredi 13 avril, lors d’une conférence de presse à Bruxelles. Sur le volet commercial de l’accord, « des efforts ont été faits pour mieux définir les droits et encadrer le transfert des données personnelles », s’est félicitée celle qui est aussi la présidente de la Commission nationale de l’informatique et des libertés (CNIL).

« IL EST DIFFICILE DE COMPRENDRE TOUS LES DOCUMENTS . ET CERTAINS SE CONTREDISENT »
Le G29 a cependant relevé plusieurs « sujets d’inquiétude » dans cet accord politique et réclame des « clarifications sur plusieurs points, où il y a encore du travail à faire » de la part de la Commission européenne et du département américain du commerce, qui ont négocié l’accord.

Mme Falque-Pierrotin a d’abord déploré la « complexité » du texte. « Il est difficile de comprendre tous les documents et les annexes. Il n’y a pas un seul document, mais plusieurs, ainsi que des annexes et des courriers. Certains se contredisent », a-t-elle expliqué.

Sur le fond, elle a aussi regretté que « certains principes fondamentaux de la protection des données personnelles » prévus dans la loi européenne ne soient pas pris en compte par le Privacy shield. Elle a notamment évoqué le nombre « très important » de recours offerts aux citoyens européens pour contrôler l’utilisation de leurs données aux Etats-Unis. « Nous considérons que ce système est trop complexe, qu’il est difficile pour l’individu de trouver le bon interlocuteur », a précisé Mme Falque-Pierrotin, appelant à ce que les autorités de protection des données personnelles deviennent « le point de contact naturel » auprès duquel les citoyens pourront faire valoir leurs droits.

Mme Falque-Pierrotin a aussi alerté sur le fait que le Privacy shield prend en compte la directive sur les données personnelles de 1995. Or, cette dernière va être remplacée par un règlement, plus strict, dont l’adoption est imminente et qui sera appliqué d’ici deux ans. Le G29 réclame donc « que soit intégrée au Privacy shield une clause de révision pour prendre en compte le nouveau cadre légal ».

Avis moins radical que prévu

Les autorités de protection des données européennes se sont également penchées sur le volet « sécurité nationale » du Privacy shield, à savoir la manière dont le texte tente d’encadrer l’accès par les agences de renseignement américaines aux données des Européens. Un point fondamental : c’est notamment en évoquant la grande latitude dont disposent ces agences pour puiser dans les données européennes hébergées aux Etats-Unis que la CJUE avait invalidé le Safe harbor.

Tout en se félicitant que le sujet de la surveillance soit désormais « sur la table », le G29 déplore que la « collecte de données, qui est inacceptable lorsqu’elle est massive et indiscriminée » reste possible dans le cadre du Privacy shield. Mme Falque-Pierrotin a renvoyé vers une décision que doit rendre d’ici à la fin de l’année la Cour de justice de l’Union européenne et qui clarifiera le cadre légal de la collecte de données aux fins de lutte contre le terrorisme.

Du côté de l’industrie l’optimisme domine

Le G29 estime aussi ne pas avoir obtenu suffisamment de garanties sur le statut, les pouvoirs et l’indépendance de l’« ombudsman », entité vers laquelle pourront se tourner les citoyens européens pour contrôler l’utilisation faite par les autorités américaines de leurs données.

L’avis des CNIL européennes se révèle bien moins radical qu’anticipé par certains observateurs et opte pour une position de compromis entre les géants des nouvelles technologies, qui militent en faveur du Privacy shield, et les défenseurs de la vie privée. De quoi expliquer des réactions satisfaites des deux côtés. Pour Max Schrems, le premier plaignant dans les actions en justice contre le Safe harbor, il s’agit d’une première victoire. Selon lui, derrière le consensus du G29, se dessinent des opinions bien plus tranchées, opposées au texte. Pour lui, le Privacy shield est « un échec total, maintenu en vie par la pression exercée par le gouvernement américain et certains acteurs de l’industrie », a-t-il réagi peu après la conférence de presse du G29.

Du côté de l’industrie, où l’on craignait un avis beaucoup plus tranché de la part des autorités de protection des données, l’optimisme domine aussi. Pour la Computer and Communications Industry Association, un lobby défendant notamment les intérêts d’Amazon, Facebook ou Google, la décision du G29 constitue « un pas vers l’adoption » du texte. Son directeur, Christian Borggreen, voit la décision du groupe comme « plutôt positive », « équilibrée sur la question de la surveillance » et « encourageant les Etats membres à adopter le Privacy shield sans délai pour clarifier la situation légale de milliers d’entreprises européennes et américaines ».

Martin Untersinger
http://www.lemonde.fr/pixels/article/2016/04/14/donnees-personnelles-encore-des-efforts-a-faire_4901991_4408996.html

Publicités