Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Knock on Wood

UE - USA : Privacy Shield et Partage des Données

24 Octobre 2020 , Rédigé par Ipsus Publié dans #EUROPE de l'Atlantique à l'Oural, #GEOPOLITIQUE, #JURIDIQUE , Fiscal & Partenariats, #INFORMATIQUE -Web

L'accord de partage de données entre les États-Unis et l'UE a été annulé par la Cour européenne

La CJE décide que le principal mécanisme de transfert d'informations ne protège pas la vie privée des citoyens de l'UE

Le texte était dévoilé en février 2016. « Les autorités américaines ont donné des assurances formelles que le "bouclier de protection des données " serait appliqué de façon rigoureuse, et que les services nationaux de sécurité ne se livraient à aucune surveillance de masse », s’enchantait la Commission européenne.

la Cour de justice de l'Union européenne, en invalidant le 16 juillet le Privacy Shield, un mécanisme qui permettait aux entreprises européennes de transférer des données vers les Etats-Unis.

Depuis 2016, ce système autorisait des entreprises américaines à importer des données européennes en garantissant à leurs clients européens un niveau de protection équivalent à celui dont ils jouissent en Europe.

Mais la Cour a jugé que cette protection n'était pas assez robuste, notamment parce que les données européennes étaient sous le coup des lois américaines de " surveillance ".

les séquences juridiques permettent de comprendre comment on en est arrivés là et comment l'Europe fonctionne de la théorie à la pratique 

L'article complet de juillet 2020 est accessible avec le lien ci-dessus 

Pour ceux ou celles qui se passionnent moins par le " diable se cachant dans les détails " j'ai résumé,ci dessous les enjeux et ambiguités des 2 côtés de l'Atlantique 

En 2013, l'Autrichien Max Schrems, alors étudiant, s’était abrité derrière son statut d’utilisateur de Facebook pour saisir la CNIL irlandaise. Il réclamait devant l’autorité indépendante une injonction interdisant au réseau social de transférer ses données outre-Atlantique.

Le Data Protection Commissioner rejeta sa demande, en s’abritant derrière l’écran du Safe Harbor : puisque ce texte avait été validé par la Commission, celui-ci était nécessairement valide.

Schrems poursuivit sa bataille devant la High Court irlandaise, qui renvoya la balle devant la CJUE où le document fut donc invalidé. C’est l’arrêt Schrems 1, annulant le Safe Harbor. Ces points de droit désormais jugés, l’affaire est revenue devant les juridictions internes où Schrems a été invité à mieux reformuler sa plainte. Ce qui fut fait le 1er décembre 2015. Il ajusta le tir, visant cette fois les clauses contractuelles types (CCT) utilisées par Facebook, à savoir des modèles de contrats de transfert de données personnelles adoptés eux-aussi par la Commission européenne.

Il réclama encore et toujours la fermeture du robinet vers Facebook Inc., au motif « que le droit américain impose à Facebook inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) » (extrait de l'arrêt de la CJUE). Des données un peu trop butinées à son goût par les programmes de surveillance américains, aux antipodes des principes ciselés par la Charte des droits fondamentaux de l’Union européenne.

Le 24 mai 2016, le Commissaire irlandais publie un projet de décision. Selon le résumé de la CJUE, « il a considéré provisoirement que les données à caractère personnel des citoyens de l’Union transférées vers les États-Unis risquent d’être consultées et traitées par les autorités américaines d’une manière incompatible » avec la Charte. Il dénonce la faible solidité de voies de recours, théoriquement reconnues aux Européens. Il relève encore que les fameuses clauses contractuelles types n’engagent finalement que les parties au contrat (Facebook et les utilisateurs), mais non les autorités américaines.

Et c’est dans ce contexte que le commissaire a saisi la High Court

Prism, UpStream et l’Executif Order 12333

Le 3 octobre 2017, la juridiction irlandaise saisit une nouvelle fois son homologue européen. Dans les documents annexés, elle se penche sur l’article 702 du FISA, qui « permet au procureur général et au directeur du renseignement national d’autoriser conjointement (…) aux fins de se procurer des "informations en matière de renseignement extérieur", la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis et sert, notamment, de fondement aux programmes de surveillance Prism et Upstream ». Deux programmes dénoncés par Snowden.

Avec Prism, les fournisseurs de services Internet doivent fournir à la NSA « toutes les communications envoyées et reçues par un "sélecteur", une partie d’entre elles étant également transmise au FBI et à la Central Intelligence Agency (CIA) (agence centrale de renseignement) ».

Avec UpStream, « les entreprises de télécommunications exploitant la « dorsale » de l’internet – c’est-à-dire le réseau de câbles, commutateurs et routeurs – sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin de recueillir des communications envoyées par ou reçues par ou concernant le ressortissant non américain visé par un "sélecteur" ». Une exploitation qui concerne aussi bien les contenus que les métadonnées des échanges.

La juridiction irlandaise fournit également des éléments sur l’Executif Order 12333. Toujours selon le résumé fait par la CJUE, il « permet à la NSA d’accéder à des données "en transit" vers les États-Unis, en accédant aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données avant qu’elles arrivent aux États-Unis et y soient soumises aux dispositions du FISA ».

La Haute Cour va jusqu’à constater que « les États-Unis procèdent à un traitement de données en masse, sans assurer une protection substantiellement équivalente à celle garantie par […] la Charte ».

De l’application du RGPD aux transferts hors UE

La première question posée est simple. Il s’agit de savoir si le RGPD s’applique aux transferts de données personnelles effectués par un opérateur économique établi en Europe (ici Facebook en Irlande) vers un autre opérateur économique établi dans un pays tiers (Facebook Inc aux États-Unis), lorsque ces informations « sont susceptibles d’être traitées par les autorités de ce pays tiers à des fins de sécurité publique, de défense et de sûreté de l’État ».

Dans son analyse, la CJUE va déconstruire ces différentes étapes. Un transfert est juridiquement un traitement, notion très largement définie par le règlement. Et les données ici en jeu sont bien « personnelles ».

La question des clauses contractuelles types

Autre problématique à percer : quel est le niveau de protection à prendre en considération lorsque des données sont transférées sur les clauses contractuelles types ? Facebook utilise en effet ce véhicule pour drainer les milliards de données d’Europe vers les États-Unis.

Le doigt sur chaque ligne du RGPD, la Cour retient qu’un pays tiers à l’Europe doit assurer « un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu dudit règlement, lu à la lumière de la Charte ».

Validation de la décision relative aux clauses contractuelles types de 2010

La Cour a évidemment appelé à mettre son nez dans la décision de 2010, prise par la Commission. C’est elle qui sert de fondement aux clauses contractuelles types (CCT), d’ailleurs énumérées dans ses annexes .

L’invalidation du Privacy Shield

Vient ensuite le cœur de l’arrêt : celui concernant « la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis », à savoir le Privacy Shield.

Selon le document adoubé par la Commission européenne, « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données ».

Le Privacy Shield, victime des programmes de surveillance américains

Voilà pour la théorie. Restait à la confronter aux programmes de surveillance américains, fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’executive ordrer 12333.

Outre-Atlantique, les textes prévoient bien l’intervention du tribunal de la surveillance du renseignement extérieur (ou FISC, pour Foreign Intelligence Surveillance Court), toutefois elle se limite à « vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur », pas à savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».

Ces dispositifs concoctés par le procureur général et le directeur du renseignement national ne ciblent en effet pas une personne déterminée, mais orchestrent bien un programme de surveillance extérieure.

Quelles sont les conséquences d’une telle décision ?

Déjà, sur le terrain politique, c’est une nouvelle gifle assénée à la Commission européenne, après l'arrêt Schrems 1.

Mais c’est surtout sur le terrain juridique que les choses se corsent : les entreprises vont devoir s’appuyer sur un autre socle pour justifier ces transferts.

Le RGPD prévoit bien l’hypothèse d’une absence de décision d’adéquation en son article 49.  Des transferts ponctuels restent alors autorisés, mais seulement dans certaines conditions très particulières.

UE - USA : Privacy Shield et Partage des Données
UE - USA : Privacy Shield et Partage des Données
UE - USA : Privacy Shield et Partage des Données
UE - USA : Privacy Shield et Partage des Données
UE - USA : Privacy Shield et Partage des Données

 La plus haute juridiction de l'UE a statué qu'un accord transatlantique utilisé par des milliers d'entreprises pour transférer des données entre l'UE et les États-Unis ne protégeait pas la vie privée des citoyens européens. Dans une déclaration jeudi, des juges de la Cour européenne de justice (CJCE) à Luxembourg ont déclaré que l'accord du bouclier de protection des données ne limitait pas l'accès aux données par les autorités américaines «d'une manière qui satisfait des exigences qui sont essentiellement équivalentes à celles requises par le droit de l'UE. ». L'impact de la décision n'était pas immédiatement clair. Alors que des milliers de sociétés, y compris des entreprises technologiques, des banques, des cabinets d'avocats et des constructeurs automobiles, s'appuient sur le bouclier de protection des données pour déplacer facilement les données entre les deux régions, le tribunal a déclaré qu'elles pourraient continuer à le faire en vertu de ce que l'on appelle des clauses contractuelles standard (CSC), essentiellement accords juridiques individuels couvrant la manière dont les données seront traitées. Les entreprises devront désormais analyser attentivement si leurs SCC sont suffisants pour garantir que les données transférées à l'étranger sont traitées conformément au règlement général européen sur la protection des données (RGPD). «La [CJCE] a clairement indiqué que les entreprises ne pouvaient pas les justifier en utilisant un exercice de« case à cocher »consistant à mettre en place des CSC. Au lieu de cela, les risques associés à ces transferts doivent être correctement évalués », a déclaré Tanguy Van Overstraeten, partenaire et responsable mondial de la confidentialité et de la protection des données chez Linklaters.

La décision du tribunal est intervenue après que le militant autrichien de la protection de la vie privée, Max Schrems , ait déposé une plainte contre Facebook, affirmant que sa vie privée avait été violée une fois que la société avait transféré ses données aux États-Unis, où elles pourraient être explorées par les agences de renseignement américaines. Le bouclier de protection des données a succédé à l'accord Safe Harbor, qui a également été démantelé par des juges européens en 2015 à la suite d'une affaire de M. Schrems. Jeudi, il a appelé les États-Unis à «modifier sérieusement leurs lois de surveillance si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen». M. Schrems a suggéré que le jugement empêcherait Facebook de transférer des données aux États-Unis parce que ses plates-formes étaient utilisées pour la surveillance par les services de renseignement américains. «L'arrêt montre clairement que les entreprises ne peuvent pas simplement signer les SCC, mais doivent également vérifier si elles peuvent être respectées dans la pratique», a-t-il déclaré. Facebook a déclaré qu'il se félicitait de la confirmation qu'il pouvait utiliser les SCC pour transférer des données et qu'il «examinait attentivement» la décision. «Nous veillerons à ce que nos annonceurs, clients et partenaires puissent continuer à profiter des services Facebook tout en préservant la sécurité de leurs données», a déclaré Eva Nagle, avocate générale associée chez Facebook. «Nous attendons avec impatience les orientations réglementaires à cet égard», a-t-elle ajouté.

Daniel Tozer, responsable des données et de la technologie chez Harbottle & Lewis, a déclaré qu'il n'était pas clair comment les entreprises pourraient garantir que les SCC aux États-Unis respecteraient les normes de protection des données étant donné les lois de surveillance qui ont conduit à l'effondrement du bouclier de protection des données.  "Certaines entreprises décideront que ces transferts de données ne sont plus appropriés et restructureront leurs opérations pour réduire ou supprimer ces transferts", a-t-il ajouté. D'autres entreprises technologiques se sont précipitées pour rassurer leurs clients sur le fait que les transferts de données étaient toujours possibles entre l'UE et les États-Unis. Julie Brill, responsable de la protection de la vie privée chez Microsoft, a déclaré: «La décision du tribunal ne change pas votre capacité à transférer des données aujourd'hui entre l'UE et les États-Unis à l'aide du cloud Microsoft. «Bien que la décision d'aujourd'hui ait invalidé l'utilisation du bouclier de protection des données à l'avenir, les CSC restent valables.» Thomas Boué, directeur général de la politique Europe, Moyen-Orient et Afrique de la Business Software Alliance, qui représente des sociétés telles que Microsoft, Oracle et IBM, a déclaré: «Nous sommes soulagés que les SCC restent valables, ce qui est un résultat positif. Mais la décision prise aujourd'hui sur le bouclier de protection des données vient de retirer du tableau l'un des moyens les plus rares et les plus fiables de transférer des données outre-Atlantique. »

En réponse à l'arrêt, Bruxelles a déclaré qu'elle accélérerait ses travaux de modernisation des SCC pour s'assurer qu'ils peuvent gérer les vastes flux de données privées en dehors de l'UE.  Vera Jourova, vice-présidente exécutive de l'UE chargée des valeurs et de la transparence, a déclaré que la commission continuerait également à pousser l'administration américaine à accélérer les travaux sur une loi fédérale américaine sur la protection de la vie privée.  «Nous n'avons jamais caché que nous voulons voir plus de convergence en ce qui concerne le cadre de protection des données [aux États-Unis]», a déclaré Mme Jourova. «Nous aimerions voir du côté américain une loi fédérale équivalente ou similaire au règlement général sur la protection des données».  La fin du bouclier de protection des données affectera probablement les futurs transferts de données entre l'UE et le Royaume-Uni après la fin de la période de transition post-Brexit en décembre. «Dans la pratique, cela signifie qu'à moins que le Royaume-Uni ne commence à réformer ses lois de surveillance maintenant, il sera difficile de parvenir à un accord d'adéquation d'ici fin 2020, ou à tout moment vraiment,» a déclaré Estelle Masse, analyste politique senior chez Access Now.

Si les entreprises britanniques étaient plutôt obligées d'utiliser des SCC, a déclaré David Dumont, partenaire de la protection des données chez Hunton Andrews Kurth, elles seraient «soumises à un contrôle beaucoup plus approfondi» par les agences de protection des données de l'UE. En février, Google a annoncé qu'il transférait les données des utilisateurs britanniques aux États-Unis , ce qui, selon les experts, éviterait probablement les risques juridiques liés au Brexit. Reportage supplémentaire de Mehreen Khan à Bruxelles

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :