Après l’invalidation du Safe Harbour établi en 2000 qui autorisait l’échange de données entre l’Europe et les Etats-Unis, le Privacy Shield devrait prendre le relais.
Par une décision rendue publique en octobre dernier, la Cour de justice de l’Union européenne (CJUE) a invalidé le Safe Harbor qui autorisait le transfert de données personnelles entre l’Europe et les États-Unis. Cet accord posait néanmoins un problème : le traitement par les entreprises américaines des données des citoyens européens, avec des garanties encore plus faibles que celles existantes en Europe. Environ 4000 entreprises américaines utilisaient l’accord Safe Harbor.
C’est l’opiniâtreté de l’autrichien Max Schrems qui a été l’élément déclenchant de ce bouleversement juridique. Utilisateur de Facebook dont il avait donc accepté les conditions générales d’utilisation qui indiquait clairement que ses données personnelles seraient transférées aux Etats-Unis sachant que le géant des réseaux sociaux est membre du Safe Harbour. Il estimant notamment que la surveillance exercée par la NSA sur les données hébergées par Facebook affectait ses libertés et sa vie privée. Il a d’abord saisi la Commission européenne mais suite au rejet de sa requête, il a alors saisi les juridictions irlandaises où Facebook a installé son siège européen (pour des raisons fiscales). Ces dernières ont alors saisi la CJUE sur la légalité du Safe Harbour.
Le 6 octobre 2015, la CJUE lui a donné raison, en invalidant le Safe Harbor et en jugeant que la Commission avait abusé de son pouvoir en l’approuvant. Elle a aussi affirmé qu’une autorité locale de protection des données avait capacité à contester un accord européen si les garanties offertes aux citoyens avaient été modifiées. A la suite de cette invalidation, la CJUE ont donné trois mois à la Commission européenne pour trouver un nouvel accord. En janvier 2016, la CNIL mettait en demeure Facebook Inc et sa filiale Irlandaise (voir encadré ci-dessous).
C’est dans ce cadre que la Commission européen et le gouvernement américain ont engagé des négociations de ce nouvel accord baptisé Privacy Shield qui devrait remplacer le Safe Harbour. Cet accord, appelé parfois Safe Harbour 2.0, n’est pas encore arrivé dans sa version finale.
L’accord devrait également limiter la surveillance massive des données personnelles des citoyens européens. Evidemment l’affaire Snowden n’est pas étrangère à ces principes. Seuls l’accès aux données lorsque la sécurité nationale pourrait être autorisé. Cette surveillance passe d’ailleurs par le contrôle d’un médiateur, l’Ombudsman. Tout citoyen pourra saisir ce médiateur via sa CNIL locale après avoir saisi l’entreprise concernée et fait l’objet d’un refus.
Le 13 avril 2016, le Le G29 des CNIL européennes a rendu public son avis sur le Privacy Shield (voir encadré ci-dessous). Cependant, le groupe de travail relève également un certain nombre de lacunes de l’accord, rappelle Olivier Iteanu, avocat à la Cour (Safe Harbour et Privacy Shield pour les nuls) : « manque général de clarté, imprécisions quant au régime de surveillance massive des données et incertitudes quant à l’efficacité et l’indépendance du médiateur, discordances entre certains principes américains et leurs équivalents européens, complexité des voies de recours ouvertes aux citoyens européens…Les opposants au Privacy Shield font valoir que derrière le changement de nom, le changement n’est que de façade. Ils constatent que cet accord est construit sur les mêmes bases que le Safe Harbor ».
L’Avis du G29 sur l’accord Privacy Shield
A la suite de la publication par la Commission Européenne de son projet de décision d’adéquation sur le « privacy shield » et de ses annexes le 29 février, le G29 a publié son avis mercredi 13 avril 2016.
Le G29 a mené son analyse à la lumière du cadre juridique européen applicable en matière de protection des données (Directive 95/46/EC), ainsi que des droits fondamentaux à la vie privée et à la protection des données garantis tant par la Convention européenne des droits de l’Homme (Article 8) que par la Charte des droits fondamentaux de l’Union européenne (Articles 7 & 8).
L’objectif de cette analyse consiste à s’assurer que les transferts de données personnelles qui seront réalisés dans le cadre du Privacy Shield respectent un niveau de protection « essentiellement équivalent » aux exigences européennes, pour reprendre l’expression utilisée par la Cour de justice de l’Union européenne dans l’arrêt Schrems du 6 octobre 2015.
Le G29 tient tout d’abord à souligner les améliorations significatives apportées par le Privacy Shield par rapport à la décision Safe Harbor de 2001.
Celles-ci portent notamment sur :
– l’insertion de définition clés ;
– les mécanismes mis en place pour assurer le contrôle du respect des principes garantis par le Privacy Shield et notamment les audits de conformité internes et externes.Néanmoins, d’importantes préoccupations demeurent concernant le volet commercial du Privacy Shield et l’accès par les autorités publiques aux données transférées dans le cadre de l’accord Privay Shield.
En remarque préalable, le G29 déplore que le Privacy Shield se compose d’une grande variété de documents. De ce fait, les principes et les garanties apportées par le Privacy Shield se retrouvent à la fois dans la décision d’adéquation et dans ses annexes, ce qui rend l’analyse complexe et contribue à un manque général de clarté.
Le G29 rappelle qu’une cohérence doit exister entre les garanties apportées par le Privacy Shield et celles prévues par le cadre légal européen actuel (Directive de 95), qu’il s’agisse du champ d’application ou de la terminologie employée. A cet égard, le G29 propose l’insertion d’une clause de révision afin que le Privacy Shield prenne en compte le niveau élevé de protection qui sera garanti par le nouveau règlement européen sur les données personnelles quand celui-ci entrera en application.
En ce qui concerne le volet commercial, le G29 considère que des principes clés de la protection des données tels que définis dans la loi européenne n’ont pas leur équivalent dans la décision d’adéquation et les annexes ou ont été remplacés de façon inadéquate par des notions alternatives. En particulier, les modalités d’application du principe de finalité limitée du traitement de données demeurent peu claires. Le principe de durée de conservation limitée des données n’est pas expressément mentionné et ne peut pas se déduire de façon précise en l’état des documents analysés. De plus, il n’existe pas de disposition dédiée à la protection qui devrait être offerte lorsque des décisions individuelles automatisées sont prises sur le seul fondement d’un traitement automatisé de données.
Dans la mesure où le Privacy Shield servira également de cadre pour le transfert de données en dehors des Etats-Unis, le G29 insiste pour que les transferts vers des pays tiers garantissent un niveau de protection identique sur tous les aspects du Shield (y compris en matière de sécurité nationale) et n’aboutissent pas à affaiblir ou contourner les principes européens de protection des données.
Même si le G29 prend acte des possibilités nouvelles de recours offertes aux individus pour exercer leurs droits, il remarque que ce mécanisme risque d’être complexe en pratique et difficile à utiliser pour les personnes, notamment du fait qu’il ne s’exercerait qu’en anglais et qu’il pourrait, de ce fait, ne pas offrir une garantie effective. Des précisions doivent donc être apportées sur ces procédures de recours ; en particulier les autorités nationales de protection des données qui le souhaitent devraient pouvoir servir de point de contact pour les citoyens européens et avoir la possibilité d’exercer les recours en leur nom.
En ce qui concerne l’accès par les autorités publiques aux données transférées dans le cadre du Privacy Shield, le G29 déplore que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. Il rappelle qu’il a toujours condamné cette surveillance massive et indiscriminée, qui n’est pas acceptable dans une société démocratique. Le G29 prend note de la tendance à collecter toujours plus de données dans le cadre de la lutte contre le terrorisme. Etant données les préoccupations que cela implique en terme de protection des droits fondamentaux à la vie privée et à la protection des données, le G29 suivra avec attention les décisions prochaines de la CJUE relatives à des cas de collecte massive et indiscriminée.
Par ailleurs, le G29 salue la mise en place d’un médiateur (Ombudsperson). Ce mécanisme de recours nouvellement offert devrait améliorer considérablement les droits des citoyens européens vis-à-vis des activités des services de renseignement américains. Néanmoins, le G29 doute qu’il dispose d’une indépendance et de pouvoirs suffisants pour exercer son rôle efficacement et qu’il permette d’obtenir un recours satisfaisant en cas de désaccord avec l’administration.
En conclusion, le G29 constate les améliorations apportées par le Privacy Shield par rapport au Safe Harbor. Cependant, il demande à la Commission de répondre aux sérieuses préoccupations exprimées et d’apporter les précisions nécessaires afin d’améliorer le projet de décision d’adéquation et de garantir un niveau de protection des données personnelles essentiellement équivalent au niveau exigé par l’Union européenne.
A lire également
– Evaluation du Safe Harbor : quelle prochaine étape pour la confidentialité et le consentement ?, Eve Maler, Forgerock
– Safe Harbor : collecte de données et surveillance de masse invalidées par la Cour européenne !
– Suspendre le Safe Harbor, première étape indispensable ?, La Quadrature du Net
– Facebook, je t’aime moi non plus !, Alexandra Ruiz et Vincent Hinderer, Lexsi
– Invalidation de l’accord Safe Harbor : quelles conséquences pour les entreprises ?, Alexandre Souillé, Olfeo
– Suspension du Safe Harbor : le point de vue du Syntec
La CNIL met en demeure Facebook
En février dernier, la Présidente de la CNIL met en demeure Facebook de collecter loyalement les données de navigation des internautes ne disposant pas de comptes Facebook. Elle demande aussi que les membres puissent s’opposer à la combinaison de l’ensemble de leurs données à des fins publicitaires.
A la suite de l’annonce par Facebook de la modification de sa politique de confidentialité, un groupe composé des cinq autorités de protection ayant décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) a été créé au sein du G29 (groupe des CNIL européennes) en mars 2015.
C’est dans ce contexte que la CNIL a effectué des contrôles sur place, sur pièces et en ligne pour vérifier la conformité du réseau social Facebook à la loi Informatique et Libertés. Ces vérifications ont permis de relever de nombreux manquements à cette loi.
- La CNIL a constaté que le site Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook. En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook (« J’aime » ou « Se connecter » par exemple).
- Il apparaît que le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. De même, aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service
- Le site dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement.
- Pour afficher de la publicité ciblée à ses membres, le site Facebook procède à la combinaison de toutes les données personnelles qu’il détient sur eux (fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux). Toutefois, le site ne propose pas aux internautes de mécanisme leur permettant de s’opposer à la combinaison de l’ensemble de ces données à des fins publicitaires, ce qui méconnaît leurs droits et intérêts fondamentaux et porte atteinte au respect de leur vie privée.
- Facebook transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015.
La Présidente de la CNIL a donc décidé de mettre en demeure les sociétés Facebook INC. et Facebook Ireland de se conformer à la loi dans un délai de 3 mois.
L’objet de cette mise en demeure n’est pas de se substituer au réseau social pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec la loi, sans entraver son modèle économique ni sa capacité d’innovation.
Il a été décidé de rendre public cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées par le service Facebook (plus de 30 millions d’utilisateurs en France).
La CNIL rappelle que cette mise en demeure n’est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si les sociétés se conforment à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.
Si les sociétés Facebook Inc. et Facebook Ireland ne se conforment pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction à l’égard des sociétés.
Les autorités de protection des données de Belgique, d’Allemagne (Land d’Hambourg), d’Espagne, et des Pays-Bas poursuivent leurs investigations, dans le cadre de leurs procédures nationales respectives et dans le cadre d’une coopération administrative internationale.