{"id":158,"date":"2016-04-21T17:51:14","date_gmt":"2016-04-21T15:51:14","guid":{"rendered":"https:\/\/www.iteanu.law\/?p=158"},"modified":"2016-11-22T16:06:42","modified_gmt":"2016-11-22T15:06:42","slug":"safe-harbor-et-privacy-shield-pour-les-nuls","status":"publish","type":"post","link":"https:\/\/www.iteanu.law\/en\/safe-harbor-et-privacy-shield-pour-les-nuls\/","title":{"rendered":"Safe Harbor et Privacy Shield pour les nuls"},"content":{"rendered":"

Sorry, this entry is only available in FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>

<\/p>\n

\n

Le 6 Octobre 2015, la Cour de Justice de l\u2019Union Europ\u00e9enne (CJUE) a invalid\u00e9 le programme Safe Harbor, programme con\u00e7u par le Gouvernement des Etats-Unis et conclu avec la Commission europ\u00e9enne en juillet 2000. Depuis lors, un autre vocable a pris place dans le public : Privacy Shield. De quoi s\u2019agit il ? Quels sont les enjeux ? Questions auxquelles nous allons ici r\u00e9pondre. Que chacun se fasse son id\u00e9e ensuite<\/strong>.<\/p>\n

Alice et Bob ont des donn\u00e9es \u00e0 caract\u00e8re personnel, comme chacun d\u2019entre nous, c\u2019est-\u00e0-dire des donn\u00e9es susceptibles de les identifier directement ou indirectement. Alice a confi\u00e9 certaines de ses donn\u00e9es \u00e0 un e-marchand aupr\u00e8s duquel elle a proc\u00e9d\u00e9 \u00e0 des achats en ligne et s\u2019est inscrite \u00e0 son programme de fid\u00e9lit\u00e9. Bob a confi\u00e9 ses donn\u00e9es \u00e0 son employeur, pour le traitement notamment de sa paie, de sa formation professionnelle, de sa carri\u00e8re.<\/p>\n

Ce faisant, Alice et Bob, citoyens europ\u00e9ens, ont des droits vis-\u00e0-vis du e-marchand et de l\u2019employeur, qualifi\u00e9s de responsable de traitement. Ces responsables doivent assurer la s\u00e9curit\u00e9 et la confidentialit\u00e9 des donn\u00e9es trait\u00e9es vis-\u00e0-vis de tiers non autoris\u00e9s. Ils ont d\u00fb \u00e9galement d\u00e9clarer leur traitement \u00e0 la CNIL et \u00e0 ce titre, ont d\u00e9clar\u00e9 une finalit\u00e9 du traitement, une dur\u00e9e de conservation de donn\u00e9es notamment, qu\u2019ils doivent respecter sous peine de sanctions p\u00e9nales prononc\u00e9es par un Tribunal correctionnel ou de sanctions pour non-conformit\u00e9 prononc\u00e9es par la CNIL.<\/p>\n

Enfin, le e-marchand et l\u2019employeur ont l\u2019obligation de par la Loi de ne pas \u00ab proc\u00e9der ou de faire proc\u00e9der \u00e0 un transfert de donn\u00e9es \u00e0 caract\u00e8re personnel faisant l’objet ou destin\u00e9es \u00e0 faire l’objet d’un traitement vers un Etat n’appartenant pas \u2026 \u00bb<\/em> \u00e0 l\u2019Union europ\u00e9enne. A d\u00e9faut, ces responsables de traitement sont passibles de sanctions pr\u00e9vues au Code p\u00e9nal.<\/a><\/p>\n<\/div>\n

\n

L\u2019objectif de cette r\u00e9glementation europ\u00e9enne est d\u2019assurer au citoyen europ\u00e9en un niveau de protection \u00e9quivalent \u00e0 celui dont il b\u00e9n\u00e9fice au sein de l\u2019Union europ\u00e9enne. Pour adoucir la r\u00e8gle, la commission europ\u00e9enne a pr\u00e9vu un certain nombre d\u2019exceptions, notamment en qualifiant de pays ad\u00e9quats, un certain nombre d\u2019Etats soit qui disposent d\u2019une l\u00e9gislation nationale \u00e9quivalente \u00e0 la r\u00e9glementation europ\u00e9enne en pareille mati\u00e8re, soit qui ont sign\u00e9 des trait\u00e9s internationaux qui les engagent \u00e0 une telle protection. Une dizaine de pays en dehors de l\u2019Union europ\u00e9enne ont ainsi \u00e9t\u00e9 qualifi\u00e9s de pays ad\u00e9quats. Il s\u2019agit d\u2019Andorre, de l\u2019Argentine, du Canada, d\u2019Isra\u00ebl, de la Nouvelle-Z\u00e9lande, de la Suisse et de l\u2019Uruguay, outre une poign\u00e9e d\u2019iles \u00e0 fiscalit\u00e9 avantageuse.<\/p>\n

Le probl\u00e8me est que les Etats-Unis d\u2019Am\u00e9rique ne sont pas \u00e9ligibles au rang de pays ad\u00e9quat, pour, notamment, n\u2019avoir aucune l\u00e9gislation f\u00e9d\u00e9rale en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel. Le probl\u00e8me aussi, est qu\u2019il est difficile aujourd\u2019hui \u00e0 l\u2019heure des r\u00e9seaux num\u00e9riques, de la globalisation et du commerce international sans fronti\u00e8res, de se passer des Etats-Unis.<\/p>\n<\/div>\n

La Commission europ\u00e9enne a d\u00e8s lors, par une D\u00e9cision 2000\/520 de Juillet 2000, conclu avec le Department of commerce du gouvernement des Etats-Unis, un programme d\u2019autor\u00e9gulation, purement d\u00e9claratif, par lequel les entreprises et organisations qui y adh\u00e8rent, s\u2019engagent \u00e0 assurer aux traitements re\u00e7us d\u2019Europe, une protection \u00e9quivalente \u00e0 celle accord\u00e9e au sein de l\u2019Union europ\u00e9enne. Ce programme, approuv\u00e9 par la Commission europ\u00e9enne, a pris pour nom \u00ab Safe Harbor \u00bb<\/p>\n

De cette mani\u00e8re, les Etats-Unis et les seules entreprises qui ont adh\u00e9r\u00e9 au Safe Harbor, constituent une exception \u00e0 l\u2019interdiction de principe d\u2019exportation des donn\u00e9es \u00e0 caract\u00e8re personnel europ\u00e9ennes, hors de l\u2019Union europ\u00e9enne.<\/p>\n

Un jeune \u00e9tudiant autrichien du nom de Max Schrems ne l\u2019a pas entendu de cette oreille.<\/p>\n

Membre de Facebook, dont il avait accept\u00e9 les Conditions g\u00e9n\u00e9rales d\u2019utilisation qui indiquaient express\u00e9ment que ses donn\u00e9es personnelles seraient transf\u00e9r\u00e9es aux Etats-Unis mais que l\u2019entreprise am\u00e9ricaine \u00e9tait membre du Safe Harbour, il a d\u2019abord saisi la Commission europ\u00e9enne contestant l\u2019accord pass\u00e9, puis, devant le rejet de sa requ\u00eate, a saisi les juridictions irlandaises, lieu d\u2019\u00e9tablissement de la filiale europ\u00e9enne de Facebook. Ces juridictions ont pos\u00e9 une question pr\u00e9judicielle \u00e0 la Cour de Justice de l\u2019Union Europ\u00e9enne (CJUE) sur la l\u00e9galit\u00e9 du Safe Harbour.<\/p>\n

C\u2019est ainsi qu\u2019on arrive \u00e0 la d\u00e9cision de la CJUE invalidant en Octobre 2015, l\u2019accord conclu 15 ans plus t\u00f4t en Juillet 2000.<\/p>\n

Pour arriver \u00e0 cette d\u00e9cision, les juges europ\u00e9ens, rappelant les r\u00e9v\u00e9lations d\u2019Edward Snowden sur un autre programme am\u00e9ricain appel\u00e9 Prism, auquel ont adh\u00e9r\u00e9 de grandes entreprises am\u00e9ricaines donnant \u00e0 la NSA un acc\u00e8s aux donn\u00e9es qu\u2019elles traitent, constatent que \u00ab toutes les entreprises participant au programme Prism qui permettent aux autorit\u00e9s US d\u2019avoir acc\u00e8s \u00e0 des donn\u00e9es stock\u00e9es et trait\u00e9es aux USA semblent \u00eatre certifi\u00e9es dans le cadre \u2026 \u00bb<\/em> du Safe Harbour, ce qui est contradictoire. Or, la CJUE consid\u00e8re que la Commission europ\u00e9enne n\u2019avait pas le pouvoir de conclure cet accord Safe Harbor, qui d\u00e9poss\u00e8de les CNIL europ\u00e9ennes de tout pouvoir de contr\u00f4le sur les donn\u00e9es des europ\u00e9ens ainsi transf\u00e9r\u00e9s, d\u2019o\u00f9 l\u2019invalidation de cet accord \u00e0 compter de l\u2019arr\u00eat de la CJUE, sans r\u00e9troactivit\u00e9.<\/p>\n

Les cons\u00e9quences pratiques de cette invalidation sont colossales. A compter du 6 Octobre 2015 et jusqu\u2019\u00e0 aujourd\u2019hui, tout transfert de donn\u00e9es personnelles vers les Etats-Unis est ill\u00e9gal, sauf autorisation expr\u00e8s d\u2019une CNIL Europ\u00e9enne qui peut \u00eatre accord\u00e9e au cas par cas sur demande, ou \u00e0 l\u2019int\u00e9rieur d\u2019un groupe (Binding corporate rules), ou sur la base de contrats conclus entre le e-marchand ou l\u2019employeur d\u2019Alice et Bob, avec des prestataires am\u00e9ricains qui h\u00e9bergeront leurs donn\u00e9es, \u00e0 la condition expresse que ces contrats reprennent \u00e0 la virgule pr\u00eat, des clauses types \u00e9labor\u00e9s par la Commission europ\u00e9enne.<\/p>\n

A la suite de la d\u00e9cision d\u2019invalidation, les CNIL europ\u00e9ennes regroup\u00e9es au sein d\u2019un Groupe de travail informel appel\u00e9 G29, ont tout d\u2019abord donn\u00e9 trois mois \u00e0 la Commission europ\u00e9enne pour trouver un nouvel accord, \u00e0 d\u00e9faut de quoi elles se r\u00e9servaient la facult\u00e9 d\u2019engager des contr\u00f4les.<\/p>\n

Les choses n\u2019en sont d\u2019ailleurs pas rest\u00e9es l\u00e0, puisque le 26 Janvier 2016, la CNIL mettait en demeure publiquement Facebook Inc. et sa filiale en Irlande, de se conformer \u00e0 la Loi informatique et libert\u00e9s fran\u00e7aises sous trois mois, pointant ce qu\u2019elle consid\u00e9rait \u00eatre un certain nombre de non conformit\u00e9s \u00e0 la Loi, notamment l\u2019export non autoris\u00e9 des donn\u00e9es personnelles d\u2019europ\u00e9ens aux Etats-Unis.<\/p>\n

C\u2019est ainsi qu\u2019entre en jeu, le nouvel accord en cours de n\u00e9gociation entre la Commission europ\u00e9enne et le gouvernement des Etats-Unis, d\u00e9sormais baptis\u00e9 Privacy Shield en lieu et place de feu Safe Harbor.<\/p>\n

A l\u2019heure o\u00f9 sont \u00e9crites ces lignes, on conna\u00eet le projet d\u2019accord, mais rien n\u2019assure qu\u2019il se trouve dans sa forme finale.<\/p>\n

Pour garantir la conformit\u00e9 aux exigences europ\u00e9ennes des traitements des donn\u00e9es effectu\u00e9s par les entreprises am\u00e9ricaines, l\u2019accord d\u00e9finit des principes (les \u00ab Privacy Shield Principles \u00bb) auxquels ces entreprises doivent adh\u00e9rer et qu\u2019elles doivent respecter.<\/p>\n

Les entreprises qui violent ces principes pourront \u00eatre sanctionn\u00e9es et devront mettre fin \u00e0 l\u2019utilisation des donn\u00e9es collect\u00e9es.<\/p>\n

L\u2019accord envisage \u00e9galement de limiter la surveillance massive des donn\u00e9es personnelles des citoyens europ\u00e9ens pratiqu\u00e9e par les services de renseignement am\u00e9ricains. Seul l\u2019acc\u00e8s aux donn\u00e9es \u00e0 des fins de s\u00e9curit\u00e9 nationale, d\u2019int\u00e9r\u00eat public ou de respect de la loi est autoris\u00e9, sous r\u00e9serve du caract\u00e8re n\u00e9cessaire et proportionn\u00e9 de la surveillance.<\/p>\n

Cette surveillance est subordonn\u00e9e au contr\u00f4le d\u2019un m\u00e9diateur sp\u00e9cialement cr\u00e9\u00e9 par le futur Privacy Shield, l\u2019Ombudsman.<\/p>\n

L\u2019accord met en place un dispositif de recours ouvert aux citoyens europ\u00e9ens. Tout citoyen pourra saisir l\u2019Ombudsman v\u00e7ia sa Cnil locale, apr\u00e8s s\u2019\u00eatre adress\u00e9 en vain \u00e0 l\u2019entreprise concern\u00e9e, condition pr\u00e9alable de la saisine. Cependant, les pouvoirs de cet Ombudsman ne seront pas coercitifs.<\/p>\n

Enfin, un m\u00e9canisme de r\u00e9examen annuel vise \u00e0 contr\u00f4ler l\u2019efficacit\u00e9 du Privacy Shield.<\/p>\n

Le 13 avril 2016, le G29 a rendu public son avis sur le Privacy Shield.<\/p>\n

Le G29 des Cnil europ\u00e9ennes souligne que des am\u00e9liorations significatives ont \u00e9t\u00e9 apport\u00e9es \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

Cependant, le groupe de travail rel\u00e8ve \u00e9galement un certain nombre de lacunes de l\u2019accord : manque g\u00e9n\u00e9ral de clart\u00e9, impr\u00e9cisions quant au r\u00e9gime de surveillance massive des donn\u00e9es et incertitudes quant \u00e0 l\u2019efficacit\u00e9 et l\u2019ind\u00e9pendance du m\u00e9diateur, discordances entre certains principes am\u00e9ricains et leurs \u00e9quivalents europ\u00e9ens, complexit\u00e9 des voies de recours ouvertes aux citoyens europ\u00e9ens\u2026<\/p>\n

Les opposants au Privacy Shield font valoir que derri\u00e8re le changement de nom, le changement n\u2019est que de fa\u00e7ade.<\/p>\n

Ils constatent que cet accord est construit sur les m\u00eames bases que le Safe Harbor. Il met au prise les m\u00eames acteurs : le d\u00e9partement du commerce du gouvernement am\u00e9ricain, la Federal trade Commission, sauf l\u2019arriv\u00e9e de l\u2019Ombudsam, dont l\u2019efficacit\u00e9 reste \u00e0 d\u00e9montrer. Surtout, il s\u2019agit d\u2019un programme d\u2019auto r\u00e9gulation et d\u00e9claratif comme \u2026 le Safe Harbor. Enfin, l\u2019Ombudsman, la grande innovation du projet de texte, n\u2019a aucun pouvoir coercitif. A l\u2019usage seulement, on pourra juger de son pouvoir r\u00e9el et \u2026 de son ind\u00e9pendance.<\/p>\n

Ils lui pr\u00e9disent d\u00e8s lors une fin certaine, ce que personne ne peut en r\u00e9alit\u00e9 pr\u00e9dire \u00e0 la date d\u2019aujourd\u2019hui.<\/p>\n

Enfin, ils pointent l\u2019autre grand manquement au syst\u00e8me imagin\u00e9 par la Commission europ\u00e9enne. Pendant qu\u2019en Europe, les contraintes r\u00e9glementaires s\u2019accumulent pour les entreprises europ\u00e9ennes dans l\u2019attente d\u2019un projet de r\u00e8glement qui s\u2019annonce, La m\u00eame commission europ\u00e9enne semble se satisfaire des promesses de leurs concurrents am\u00e9ricains.<\/p>\n

N\u2019y a-t-il pas l\u00e0, un \u00e9cart de concurrence particuli\u00e8rement pr\u00e9judiciable aux entreprises europ\u00e9ennes ?<\/p>","protected":false},"excerpt":{"rendered":"","protected":false},"author":5,"featured_media":222,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-158","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/comments?post=158"}],"version-history":[{"count":6,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/158\/revisions"}],"predecessor-version":[{"id":552,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/158\/revisions\/552"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/media\/222"}],"wp:attachment":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/media?parent=158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/categories?post=158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/tags?post=158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}