le lundi 01 février 2016

Safe Harbor : toujours aucun accord entre USA et Europe

L'Europe et les Etats-Unis ne parviennent toujours pas à trouver un terrain d'entente au sujet du transfert des données. Les deux parties ont désormais 24 heures pour s'entendre, ou le G29 arbitrera lui-même le différend.

Les informations contradictoires affluent en ces dernières heures d'attente et de négociations. Depuis le 6 octobre dernier, La Cour de Justice de l'Union européenne (CJUE) avait décidé de suspendre le Safe Harbor, un texte datant de 2000 autorisant, sous certaines conditions, des entreprises américaines à transférer des données personnelles présentes en Europe vers leur territoire. A deux jours de l'ultimatum, certaines sources anonymes du New York Times rapportent que les représentants officiels ont à nouveau échoué dimanche à se mettre d'accord, mais que les deux parties espèrent pourtant trouver une issue dans les prochaines heures, avant que les CNIL de toute l'Europe (G29) ne rendent un jugement par défaut. Celles-là avaient promis un jugement sévère, voire des « actions répressives coordonnées » - contre pour les entreprises -, si la situation ne se débloquait pas avant le 1er février.

Dans le même temps, la commissaire européenne à la Justice Véra Jourová est attendue dans les prochaines heures pour dire si le Judicial Redress Act adopté au Sénat américain vendredi pourrait satisfaire ou non l'Europe. La toute nouvelle législation prévoit qu'un citoyen européen « puisse librement attaquer en justice une entreprise si celle-là divulgue ses données personnelles à des tiers sans son accord », au même titre qu'un citoyen américain peut déjà le faire. Le même type de recours pourrait être accordé contre toute société refusant de donner un accès total aux données récoltées sur sa personne.

David vs. Goliath


C'est justement cette faille juridique que, selon Max Schrems, des sociétés comme Facebook exploiterait aux dépens des européens. Dans un entretien à Pixels, il racontait l'origine de son indignation : « Quelqu'un de Facebook est venu nous expliquer comment les lois européennes sur la vie privée fonctionnaient. J'étais le seul Européen. Et il disait : "Vous pouvez faire ce que vous voulez, il ne vous arrivera jamais rien." Il interprétait la loi européenne d'une façon qui était complètement fausse. Il disait des choses comme : "Tant que personne ne vous dit non, vous pouvez continuer à utiliser leurs données" ».

La suspension historique de l'accord du Safe Harbor a été grandement influencée par le combat du jeune autrichien de 27 ans Max Schrems contre Facebook. Depuis son voyage aux Etats-Unis, il accuse la société de conserver des données effacées par les utilisateurs, mais aussi de créer des « profils fantômes » qui rassemblent des informations sur des personnes n'ayant pas de compte Facebook. Il condamne aussi la fonction « Graph Search », c'est-à-dire la collecte de vos activités sur les pages autres que Facebook, via les fonctionnalités de Facebook ( comme le bouton « like »).

Max Shrems
Max Schrems posant avec les 1200 pages d'informations collectées sur lui par Facebook


Pourtant, si les points d'inégalité de traitements dénoncés par Schrems entre citoyens américains et européens semblent avoir été entendus, un amendement au Judicial Redress Act déposé vendredi soir réclame que « ces nouvelles dispositions à l'égard des pays transatlantiques n'entravent pas le travail des services secrets américains ».

Sur son site Europe vs. Facebook, Max Schrems publie régulièrement les plaintes déposées contre Facebook, ainsi que les documents qui attesteraient notamment de la participation proactive de Facebook dans le programme de surveillance américaine PRISM, dénoncé par Snowden.

Lobbying Harbor


Selon le New York Times, pendant que représentants américains et européens cherchent une issue au désaccord depuis plusieurs mois, des entreprises se livrent régulièrement à un étonnant jeu de lobbying. A Bruxelles, des représentants de l'industrie du High-Tech font régulièrement la navette entre les différents hauts fonctionnaires européens, et tenteraient notamment de minimiser les différences entre les législations européennes et américaines sur l'utilisation des données. « Cela est tout simplement faux » rétorque l'homme politique allemand Jan Philipp Albrech, « il y a un fossé entre les pratiques de l'Europe et des USA concernant les données. » Pour la raison peut-être qu'il n'existe aucun équivalent européen de sociétés comme Facebook ayant accès à autant de données privées.

Le 18 janvier dernier, une lettre ouverte des organisations patronales transatlantiques tentait déjà d'attirer l'attention sur les conséquences désastreuses qu'induit ce « gel », notamment sur les PME dont le ressort est justement l'utilisation de données. L'occasion pour les institutions représentées de donner le sentiment qu'entreprises américaines et européennes font corps, et sont en danger.

Dans l'attente du dénouement, le nouveau règlement européen sur la protection des données (RGPD) a déjà pris ses dispositions concernant le pouvoir de sanction du G29 envers les sociétés qui violerait la législation européenne (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les plus grosses entreprises), à l'image de ce qui vient d'être voté en France dans la loi d'Axelle Lemaire. Le recours à un « Ombudsman », (sorte de médiateur) devrait aussi faire partie du Safe Harbor 2. Un nouveau délégué supervisait alors directement l'activité des autorités américaines. Mais Véra Jourová veut plus : qu'un « double contrôle » que les entreprises concernées réaliseraient elles-mêmes, afin de déterminer avec davantage de prévision le nombre et la fréquence des requêtes du renseignement américain.

A lire également
Modifié le 01/02/2016 à 16h42
Commentaires