Tech&Co
Vie numérique

Le bouclier de confidentialité qui protège vos données déjà contesté

-

- - Commission européenne

Le nouveau "bouclier de confidentialité" multiplie les voies de recours pour les Européens, mais leurs données personnelles resteraient toujours accessibles aux dispositifs de surveillance de masse.

On n'y croyait presque plus. L'Union européenne (UE) et les Etats-Unis sont parvenus hier, mardi 2 février, à un "accord politique" censé mettre fin à l'insécurité juridique dans laquelle sont plongées depuis des mois les entreprises transférant des données personnelles de l'Europe vers les Etats-Unis. Fruit d'"intenses négociations", le nouveau cadre annoncé mardi par la Commission européenne est destiné aux transferts transatlantiques de données personnelles entre entreprises, et doit remplacer celui qui a été invalidé en octobre dernier par la Cour de justice de l'Union européenne (CJUE). Ce nouvel accord a été baptisé "Bouclier de confidentialité UE-USA" ("EU-US Privacy Shield"). Ci-dessous la vidéo de la conférence de presse donnée par la Commission européenne.

Salué par les milieux économiques concernés, l'accord a cependant déjà fait l'objet de vives critiques mardi, notamment de députés européens doutant de sa portée juridique. Dans un arrêt retentissant concernant le réseau social Facebook, mais de portée générale, la CJUE avait exigé de meilleures garanties pour la confidentialité des données des Européens sur le sol américain, constatant notamment l'incompatibilité entre les lois relatives à la sécurité nationale et à la surveillance de masse (FISA) avec la Convention des droits de l'Homme de l'Union européenne.

Les données personnelles en question englobent toutes les informations permettant d'identifier un individu, de manière directe (nom, prénom ou photo) ou indirecte (numéro de sécurité sociale ou même numéro de client). Les précédentes règles, connues sous le nom de "Safe Harbor", régissaient depuis quinze ans les transferts transatlantiques de données. Leur remise en cause a provoqué un séisme pour des milliers d'entreprises, des géants comme Facebook aux nombreuses petites et moyennes entreprises traitant aux Etats-Unis des données recueillies en Europe.

Un médiateur américain pour les plaintes des Européens

Il protégera les "droits fondamentaux" des Européens, a assuré la commissaire européenne chargée de la Justice, Vera Jourova, et donnera aux entreprises "la sécurité juridique dont elles ont besoin", a appuyé son collègue Andrus Ansip, responsable du numérique, lors de la conférence de presse.

Pour répondre aux demandes de la justice européenne, l'exécutif bruxellois a assuré que ce nouveau système serait "vivant", avec des révisions annuelles, alors que "Safe Harbor" avait fait l'objet d'un accord unique en 2000."Pour la première fois, les Etats-Unis ont donné à l'UE des garanties contraignantes que l'accès" aux données des Européens par les autorités américaines "feraient l'objet de limites claires, de garde-fous et de mécanismes de supervision", a assuré la Commission.

Un "ombudsman" (médiateur) sera établi au sein du Département d'Etat américain, pour suivre les éventuelles plaintes et requêtes de citoyens européens concernant un accès à leurs données pour des questions de sécurité nationale. Dans le cas où des Européens estimeraient que leurs données personnelles ont été violées, ils pourront avoir accès, en "dernier recours", à un "mécanisme d'arbitrage", prévoit également l'accord.

A la lumière des révélations sur les pratiques du renseignement américain, la justice européenne avait considéré que "Safe Harbor" ne protégeait pas assez des "ingérences par les autorités publiques américaines dans les droits fondamentaux" des Européens.

Une avalanche de critiques

L'exécutif européen s'était fixé comme objectif de parvenir à un accord d'ici à fin janvier pour créer un nouveau cadre légal. Il avait ainsi repris à son compte une date butoir fixée par les 28 autorités européennes chargées de la protection des données dans l'UE. Celles-ci doivent justement se réunir mercredi à Bruxelles pour faire le point, après avoir menacé de faire usage de leur pouvoir de suspension ou d'interdiction des transferts de données en l'absence d'un nouveau cadre juridique d'ici la fin janvier 2016.

Digital Europe, une fédération représentant des entreprises du numérique à Bruxelles, a "applaudi le travail des négociateurs européens et américains", les appelant à transformer leur accord en document juridique "aussi vite que possible". Mais des députés européens, comme la libérale Sophie In't Veld, ou le Vert Jan Philipp Albrecht, ont déploré un "manque de clarté", et estimé que les nouvelles règles allaient donner lieu à de nouvelles affaires en justice. "La Commission européene brade le droit fondamental à la protection des données personnelles", estime M. Albrecht, qui ne voit dans cet accord aucune amélioration concrète, mais simplement des déclarations de bonnes intentions. Selon le député, le nouveau médiateur n'aurait aucun pouvoir réel. Il précise par ailleurs qu'aucun texte n'est pour l'instant finalisé et qu'il serait trop tôt pour parler d'un "accord".

L'Autrichien Max Schrems, le requérant à l'origine de l'affaire de l'arrêt de la Cour de justice de l'UE, a lui aussi mis en doute la portée de l'annonce de mardi. Comme cet accord n'exclut pas l'accès aux données personnelles des Européens par les dispositifs de surveillance de masse, il ne tiendrait pas face à la CJUE. "La Cour a dit explicitement qu'un accès généralisé à ce type de données viole les droits fondamentaux des citoyens européens", explique-t-il. Pour lui, "la Commission est en route pour une aller-retour à la Cour européenne de Luxembourg".

D'autres militants et associations de défense des droits citoyens ont également livré, sur Twitter, leur désaccord avec cet accord, dont Edward Snowden.

Gilbert Kallenborn, avec AFP