Table des matières
Tags :
La Cour de justice de l’Union européenne (CJUE) invalide le « Privacy Shield » !
Retour à l'accueil de la catégorie...
Dans un arrêt important rendu le 16/07/2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le « Privacy Shield »
Il est donc grand temps d'agir pour trouver des réponses et faire les choix utiles face aux nombreux problèmes de non-respect de la vie privée et à l'utilisation non consentie de nos données personnelles par les GAFAM1) & consorts (les grands acteurs de la Silicon Valley). Car on ne peut plus ignorer que ces grands acteurs ne respectent pas le RGPD ! Alors que ce règlement européen, est pourtant en place et d'application depuis plus de 2 ans2) …
Et, à défaut d’être en mesure de renégocier rapidement des accords respectueux du RGPD avec chacune des sociétés des USA qui offrent des services numériques – et pas uniquement les GAFAM, loin de là (!) puisque qu’il y a 5357 qui bénéficiaient des avantages procurés leur inscription sur la liste du « bouclier de protection des données UE-États-Unis » (en anglais : EU-US Privacy Shield), celui-ci n’étant par ailleurs qu’un mécanisme d’auto-certification par lequel les entreprises s’engageaient à respecter une série d’obligations jugées comme suffisantes pour respecter la législation européenne… – il semble assez évident que la solution la plus « simple » est fort probablement de ne plus avoir recourt aux services des dites sociétés… Cela conforte aussi une position « stricte » qui est de considérer que tout transfert de données vers les États-Unis lors de l'utilisation des services des plates-formes Web des GAFAM et consorts est à proscrire car non conforme au RGPD !
La CJUE déclare sans ambiguïté que la réglementation des États-Unis et leurs programmes de surveillance – des lois telles le « USA PATRIOT Act » ou le « FISA Amendments Act of 2008 », ainsi que le programme de surveillance électronique de la NSA, le « Terrorist surveillance program » – sont incompatible avec la législation européenne
Ce faisant, elle met en exergue les différences d’approche entre l’Union Européenne et les États-Unis, consacrant par là les divergences irréconciliables entre les réglementations des deux entités…
Il est à noter dans le communiqué de presse de la CJUE que :
Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.
En se fondant sur les constatations figurant dans cette décision, la Cour relève que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.
Cela constitue manifestement des arguments de poids qu'il convient de prendre en considération. Il est également plus que probable que les États-Unis ne renonceront pas à leur législation, ni ne modifieront celle-ci pour qu’elle soit d’un niveau équivalent à celle de l’UE concernant la protection des données. D’autant que même s’ils étaient disposés à entreprendre une telle mise à jour de leur législation, cela leur prendrait probablement des années pour y parvenir…
Si l’on souhaite que nos pratiques numériques demeurent en adéquation avec le RGPD, tant dans ses prescrits que son esprit, il découle de cet arrêt de la CJUE que l’utilisation des plate-formes des GAFAM et consorts est, si pas à totalement proscrire, pour le moins à réévaluer en profondeur
Surtout que dans le même arrêt, la CJUE, même si elle n’invalide pas une autre réglementation de l’UE du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers3), elle émet cependant un sérieux avertissement :
Si selon la Cour, la validité de cette décision (2010/87) n’est pas remise en cause, en revanche, précise-t-elle, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer.
Europe versus États-Unis ?
Dès lors, le plus sage pour les Européens est certainement d’envisager mettre rapidement en place leur propre écosystème numérique. Et au-delà de ce qui existe déjà, en le construisant sur base de logiciels libres, ils pourront aisément mutualiser les efforts à consentir pour arriver à cet objectif de « souveraineté numérique4) ».
À l’Europe aussi de promouvoir auprès d'un large public (citoyens, associations, entreprises, administrations de tous niveaux, du local au supra-national, ect) l’utilisation de logiciels libres installés sur des serveurs basés « localement » dans les pays de l’UE, avec des prestataires de services dignes de confiance qui respectent clairement le RGPD et s'engagent à ne collecter aucune donnée personnelle ni à revendre ou céder celles-ci à des tiers. Cela concerne autant le monde l'éducation et l'école, que toutes les organisations soucieuses du traitement qui est fait avec les données personnelles de leurs utilisateurs !
Même si pour certains experts, la question du niveau de protection dont bénéficient les données personnelles, selon qu’elles sont stockées sur des serveurs situés en Europe ou aux États-Unis, peut cependant elle-même être un sujet de controverse… Avec par exemple, Fred Cate, vice-président de la recherche à l'université de l'Indiana et expert en matière de cybersécurité, de confidentialité des informations et de droit de la sécurité, qui est cité par David Roe sur le média en ligne CMSWire dans un article du 21/07/2020 à propos justement des conséquences de la décision de l'UE d’invalider le Privacy Shield qui aurait déclaré : « Cette affaire ignore le fait qu'en vertu du droit américain, les données sont plus protégées lorsqu'elles sont situées aux États-Unis que si elles sont situées ailleurs. Si la Cour européenne de justice voulait vraiment protéger les données personnelles de la surveillance américaine, elle exigerait que les données soient stockées aux États-Unis où elles seraient mieux protégées. »5).
En suivant ce raisonnement, on peut en venir à considérer qu’au-delà de la stricte localisation des données – Europe vs États-Unis –, c’est aussi plus fondamentalement sur la manière de les stocker et d’en contrôler l’accès qu’il faut travailler… En systématisant par exemple le recours à du chiffrement – et du chiffrement de bout en bout –, ce dans une logique « d’autodéfense numérique ». Et ici encore, les logiciels libres ont probablement une carte à jouer en mettant en avant l’avantage de la transparence de leurs algorithmes, transparence rendue possible par l’ouverture de leur code source qui permet de facto l’audit de celui-ci par les chercheurs et experts en cybersécurité.
Du point de vue de l’école et des enseignants, le problème peut sembler fort complexe. La tentation serait alors de rester dans une forme d’attentisme, en ignorant la question jusqu’à ce que les experts et les juristes apporte une éventuelle réponse sur voie à suivre. D’autant qu’en Fédération Wallonie-Bruxelles, il n’est pas évident que, tant l’administration que les autorités politiques, parviennent à mobiliser rapidement les ressources humaines nécessaires pour y répondre…
La réponse la plus satisfaisante à court terme ne serait-elle pas justement de sortir de l’incertitude et de toute illégalité par rapport à la réglementation européenne en adoptant dès maintenant « Des outils numériques sous licence libre dans l'enseignement pour une formation citoyenne, critique et responsable » comme nous l’avons demandé – avec bon nombre de personnalités, d’enseignants, de chercheurs, et de citoyens signataires – dans une carte blanche publiée le 7 juillet 2020
L’illégalité est confirmée par le « Comité Européen de la Protection des Données »
Il est à noter que cette interprétation « stricte » considérant que les transferts de données effectué en utilisant les services des acteurs des États-Unis (les GAFAM et consorts) qui adhéraient jusque-là au « Privacy Shield », sont illégaux, a été confirmée le 24/07/2020 par le « Comité Européen de la Protection des Données ».
En effet, dans un document disponible en français, intitulé « Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems », on peut lire en page 3, la question suivante :
4) Je transférais des données à un importateur de données ressortissant des États-Unis adhérant au « bouclier de protection des données ». Que dois-je faire à présent ?
Et la réponse du Comité est la suivante :
Les transferts effectués sur la base de ce cadre juridique sont illégaux. Si vous souhaitez continuer à transférer des données vers les États-Unis, vous devez vérifier que vous êtes en mesure de le faire conformément aux conditions énoncées ci-dessous.
Et, à la question suivante, le Comité insiste sur la nécessaire vigilance par rapport aux « clauses contractuelles types » :
5) J'utilise des clauses contractuelles types avec un importateur de données basé aux États-Unis. Que dois-je faire ?
Réponse :
La Cour a conclu que le droit des États-Unis (c.-à-d. l'article 702 du FISA et l'EO 12333) ne garantit pas un niveau de protection substantiellement équivalent.
La possibilité de transférer ou non des données à caractère personnel sur la base de clauses contractuelles types dépendra du résultat de votre évaluation, en tenant compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. Les mesures supplémentaires ainsi que les clauses contractuelles types émergeant d'une analyse au cas par cas des circonstances relatives au transfert doivent assurer que le droit des États-Unis n'affecte pas le niveau de protection adéquat qu'elles garantissent.
Si vous en arrivez à la conclusion que, compte tenu des circonstances du transfert et des éventuelles mesures supplémentaires, les garanties appropriées ne seraient pas garanties, vous êtes tenu de suspendre ou de mettre fin au transfert de données à caractère personnel. Toutefois, si vous avez l'intention de continuer à transférer des données malgré cette conclusion, vous devez en informer l'autorité de contrôle dont vous relevez.
Source : Télécharger la « Foire aux questions sur l’arrêt de la CJUE » du Comité Européen de la Protection des Données – PDF
Si les clauses proposées par la Commission Européenne pour les pays tiers peuvent être appliquées à de nombreux pays, ce n’est pas le cas pour les Etats-Unis. En effet, les conditions pour qu’elles soient appliquées ne sont pas présentes aux USA, contrairement à ce que prétendent les grands acteurs américains du secteur. En effet l’accès aux données par le gouvernement américain rend inapplicable l’utilisation de ces clauses.
Source : Article « Privacy shield: dites adieu à Microsoft, Google, etc » de Jacques Folon sur le blog de GDPRfolder – 04/09/2020
Quelques références à propos de cet arrêt de la CJUE :
- Communiqué officiel de la CJUE : Communiqué de presse n° 91/20 de la Cour de justice de l’Union européenne [PDF]
Un article assez complet publié sur Next INpact le 22/07/2020, fait également le point sur le sujet : Retour sur l'invalidation du Privacy Shield par la justice européenne – Tout, sauf un bouclier
À lire aussi :
- « Privacy shield: dites adieu à Microsoft, Google, etc » – Jacques Folon sur le blog de GDPRfolder – 04/09/2020
- « Protection des données personnelles : vers une disparition de Facebook et des GAFA en Europe ? » – Opinion de Jacques Folon publiée dans “La Libre” le 01/10/2020
- « La fin du transfert des données vers les sociétés américaines : une autre catastrophe économique potentielle en Europe » – Opinion de Jacques Folon publiée dans “La Libre” le 15/12/2020
Pages dans la catégorie :