Le Privacy Shield passe le premier éthylotest juridique

 

Un peu plus d’un an après l’entrée en vigueur du Privacy Shield entre l’Union européenne et les États-Unis, la Commission européenne (CE) affirme que le pacte multinational est en mesure de protéger les données personnelles des Européens après leur transfert aux entreprises américaines.

Dans le même temps, les US pourraient faire davantage pour protéger les non-Américains, au travers notamment de l’ajout de certaines règles au Foreign Intelligence Surveillance Act (FISA).

Le Privacy Shield prolongé, avec ses failles

Les recommandations sont issues du premier rapport annuel de la Commission évaluant l’effectivité du bouclier de protection de la vie privée ou Privacy Shield – un pacte entre l’UE et les États-Unis qui fixe les conditions des transferts de données personnelles transatlantiques.

« Les autorités américaines ont mis en place les structures et procédures nécessaires pour assurer le bon fonctionnement du Privacy Shield, telles que de nouvelles possibilités de recours pour les citoyens de l’UE » commente la CE dans un communiqué.

Le département américain du Commerce a certifié plus de 2400 entreprises attestant de leur conformité avec le pacte, indique le rapport. De plus, « des garanties applicables du côté des États-Unis restent en vigueur. »

Ces protections comprennent la directive présidentielle n°28 (PPD-28), une directive que le président Obama a signée en 2014 pour protéger la vie privée des non-Américains. Lors de l’examen par la Commission du Privacy Shield, « les autorités américaines ont expressément confirmé que l’administration américaine actuelle n’apportait aucun changement à la PPD-28. »

Cependant, les directives présidentielles – utilisées pour promulguer des décisions présidentielles sur des questions de sécurité nationale – sont des règles opaques soumises à peu de contrôle.

Dans le cadre du débat en cours aux États-Unis sur la réautorisation et la réforme de l’article 702 de la loi sur la surveillance du renseignement extérieur (Foreign Intelligence Surveillance Act), l’Europe a suggéré de consacrer dans la loi la protection des non-Américains proposée par la directive présidentielle n°28 (PPD-28).

Les transferts de données « essentiels pour notre économie »

L’article 702 de la FISA permet à la NSA de recueillir des informations sur les étrangers hors des frontières en collectant des données à partir de points d’échange où des câbles fibre optique appartenant à des géants des télécommunications entrent aux États-Unis. Il expirera à la fin de l’année, et le Congrès débat actuellement des moyens de réformer et d’étendre son application.

Outre la prise en compte du PPD-28 dans le FISA, la Commission a soumis aux États-Unis d’autres suggestions, telles qu’un suivi plus proactif de la part du Département du commerce pour s’assurer que les entreprises respectent le Privacy Shield.

Elle a également appelé les États-Unis à nommer un médiateur permanent pour le Privacy Shield et à remplir les postes vacants de la Commission de surveillance de la vie privée et des libertés civiles (PCLOB). La Commission demande également au PCLOB de rendre public son rapport sur la mise en œuvre de la PPD-28.

« Les transferts de données transatlantiques sont essentiels pour notre économie, mais le droit fondamental à la protection des données doit également être assuré lorsque les données personnelles quittent l’UE » a déclaré le commissaire Věra Jourová dans un communiqué.

« Notre premier examen montre que le Privacy Shield fonctionne bien, mais il y a une marge pour améliorer sa mise en œuvre. Le Privacy Shield n’est pas un document abandonné dans un tiroir. C’est un accord vivant que l’UE et les États-Unis doivent superviser activement pour s’assurer que nous conservons nos normes élevées de protection des données. »

Article traduit et adapté par Christophe Auffray, ZDNet.fr


ZDNet vous accompagne

10 conseils de sécurité pour protéger les données des consommateurs

ZDNet