BFM Business

Les américains peuvent ils vraiment faire ce qu'ils veulent de nos données

La protection des données personnelles européennes est sensée être encadrée par le Privacy Shield. Mais cet accord est loin de faire l’unanimité.

La protection des données personnelles européennes est sensée être encadrée par le Privacy Shield. Mais cet accord est loin de faire l’unanimité. - Pixabay

Privacy Shield, le traité qui fait trembler. Le nouvel accord transatlantique de transfert des données est très critiqué. On lui reproche de toujours permettre aux entreprises et au gouvernement américains de faire ce qu’ils veulent avec les données collectées sur les citoyens européens.

Début octobre 2016, Reuters a révélé que Yahoo aurait permis au FBI ou à la NSA de lire, en temps réel et de façon massive, les e-mails de ses abonnés. Suite à cette révélation, Yahoo a envoyé une lettre au Directeur du renseignement national américain indiquant, entre autres choses, que ces révélations ont alimenté de nombreuses spéculations quant à l’approche du gouvernement en matière de surveillance, notamment dans le cadre des négociations du Privacy Shield.

Ce dernier, entré en vigueur le 1er août 2016, encadre le traitement et la protection des données des citoyens européens, transférées aux Etats-Unis et exploitées à des fins commerciales ou de sécurité nationale. Il remplace le Safe Harbor, annulé par la Cour de justice de l’Union européenne en octobre 2015. Ce dernier ne garantissait pas à l'époque un niveau de protection des données satisfaisant.

Les entreprises elles-mêmes se méfient du Privacy Shield

Le Privacy Shield doit notamment permettre aux entreprises américaines (Google et Facebook par exemple) de continuer à collecter des données de citoyens européens dans le respect des principes de protection de la vie privée, sans entraver un commerce estimé à 260 milliards de dollars. Un nouvel accord qui laisse experts et entreprises sceptiques.

Selon une étude réalisée par l’association internationale des professionnels de la vie privée et du cabinet de conseil EY, alors que la moitié des sociétés transférant des données entre l’Europe et les Etats-Unis s’appuyait sur le Safe Harbor, elles ne sont plus qu’un tiers à vouloir utiliser le Privacy Shield (plus de 500 se sont auto-certifiées à ce jour). L’une des raisons invoquées concerne la possibilité de voir cet accord remis en question par les autorités européennes, comme le souhaite par exemple la société civile depuis début 2016.

Les Européens craignent une utilisation abusive de leurs données

"Il est tout a fait envisageable que cet accord soit annulé par la Cour de justice de l’Union européenne", confirme Marc-Antoine Ledieu, Avocat à la Cour. En effet, le Safe Harbor a été annulé pour deux raisons: d’une part parce qu’il ne permettait pas un contrôle effectif des services de renseignement américains collectant massivement des données; d’autre part parce qu’il ne proposait pas de voie de recours effective pour les européens constatant une utilisation abusive de leurs données aux Etats-Unis."

Même si le Privacy Shield a été bâti pour combler ces deux lacunes, il n’y a en réalité pas de moyen de contrôler efficacement les services de renseignement américains. Ceux-ci se contentent de déclarations formelles sans grande valeur, regrette l’avocat. Quant aux voies de recours proposées, le nouveau processus est si complexe que je mets au défi un européen de s’extraire de ce salmigondis. Et même si un recours aboutit, l’accord ne prévoit aucune sanction pécuniaire ou pénale. Il n’y a donc pas de contrôle juridictionnel effectif ".

Pour la Commission européenne l’accord est solide

Au sein de la Commission Européenne on s’étonne que le Privacy Shield soulève de telles questions. "Nous avons réussi à obtenir des engagements écrits de la part des services secrets américains. Ils ne feront pas de surveillance de masse non discriminée, sauf exceptions, commente Mélanie Voin, fonctionnaire de la Commission européenne, qui a suivi les négociations de l’accord. Elle souligne par ailleurs que le Privacy Shield propose bien des mécanismes de voies de recours clairs lorsqu’un citoyen européen estime que ses droits sont bafoués. "Les différentes options disponibles garantissent que sa plainte sera résolue, en un temps imparti", assure la fonctionnaire.

Quant au manque de sanction mis en avant par les détracteurs du nouvel accord, Mélanie Voin rétorque "qu’en plus du retrait de la liste du Privacy Shield, la Federal Trade Commission américaine peut infliger des sanctions financières aux opérateurs de services". Mais sur ce point rien n’est garantit. Aucun mécanisme n’a explicitement été formulé dans l’accord.

Eddye Dibar