Accueil Confidentialité des données Privacy Shield : la CNIL a toujours des interrogations sur la collecte...

Privacy Shield : la CNIL a toujours des interrogations sur la collecte de masse d’informations

Florence Raynal
Florence Raynal, au FIC 2017

Depuis la fin de l’accord Safe Harbor, tous les échanges de données entre l’Europe est les Etats-Unis sont régis par ce que l’on appelle le Privacy Shield, un accord toujours en cours de négociation. Le bras de fer entre l’Europe et les Etats-Unis porte sur des modalités d’application particulièrement subtiles et complexes.

Invalidé par la Cour de justice de l’Union Européenne en octobre 2015, l’accord Safe Harbor qui régissait jusqu’alors les transferts de données entre les Etats-Unis et l’Europe n’est plus. Depuis, les échanges réalisés par les géants d’Internet comme Amazon, Facebook, Microsoft, les industriels mais aussi les services secrets sont régis par l’accord Privacy Shield, accord sur lequel les discussions ont été entamées dès la mort de « Safe Harbor ». Un subtil travail de négociation qui continue actuellement. Le diable est dans les détails, notamment quant aux modalités d’application des engagements pris.

Des modifications ont déjà été apportées à l’accord suite aux demandes de la CNIL

A la tête des affaires européennes et internationales de la CNIL, Florence Raynal a livré à l’occasion du Forum International de la Cybersécurité quelques détails sur ces négociations. « La nouvelle version du Privacy Shield est en cours d’étude car la commission a déjà procédé à des modifications suite à notre avis. Des améliorations sont apportées par rapport au Safe Harbor, mais nous avons encore des préoccupations et des interrogations notamment sur la collecte de masse d’informations. Comment celle-ci est pratiquée ?, quels sont les critères qui permettent de considérer qu’il s’agit d’une collecte massive discriminée ou indiscriminée ? – une distinction que font les américains. Est-ce que cela correspond à nos propres critères ?, on ne le sait pas. Ce mécanisme ne fonctionne que dans le cas « National Security » dans lequel sont impliqués les services secrets. Est-ce que la personne qui ordonne cette écoute est indépendante ? Elle l’est au regard de ce que les américains appellent l' »Intelligence Authority », mais elle ne l’est pas par rapport au gouvernement. Par ailleurs, quels sont ses pouvoirs ? A-t-elle capacité à accéder aux informations quand elle évalue et instruit une plainte, à quel type d’informations a-t-elle accès ? Peut-elle vraiment décider par elle-même et quels sont les mécanismes si la décision ne lui convient pas ? »

Un accord sur les échanges dans le cadre de la sécurité nationale mais aussi dans le cadre commercial

Pour Florence Raynal, beaucoup d’aspects quant à la mise en œuvre pragmatique du Privacy Shield restent encore à être mis en lumière. En outre, des points encore obscurs restent à lever sur le volet commercial de l’accord, notamment sur ce que la CNIL appelle les décisions automatisées. « Derrière les décisions automatisées on trouve tout ce qui est profilage, c’est donc fondamental« , explique la responsable de la CNIL qui n’en dira publiquement guère plus sur cette question épineuse. Une revue annuelle de l’accord va être menée en septembre prochain par la commission européenne pour évaluer l’efficacité et les modalités d’application pratiques du Privacy Shield. La CNIL fera partie de l’équipe d’évaluation. Ce sera une étape fondamentale dans la mise en œuvre de ce traité entre l’Europe et les Etats-Unis. A moins que le 45ième président des Etats-Unis n’en décide autrement !

 

Auteur : Alain Clapaud