Google, Microsoft, Salesforce : le Privacy Shield adoubé par les grands de l'IT

Google, Microsoft et Salesforce sont les premiers à adopter le nouveau bouclier transatlantique visant à encadrer l’exploitation des données personnelles des Européens.

Le Privacy Shield vient remplacer le défunt Safe Harbor, invalidé par la justice européenne en octobre dernier, et redéfinit les règles concernant le transfert de données personnelles entre l’Europe et les États-Unis.

« Le bouclier de protection des données UE-États-Unis (Privacy Shield, NDLR) tient compte des exigences énoncées par la Cour de justice de l’Union européenne dans son arrêt du 6 octobre 2015, qui a invalidé l’ancien régime de la sphère de sécurité (Safe Harbor, NDLR) », a rappelé la Commission européenne lors du lancement de ce nouveau dispositif de protection des données personnelles.

Google vient d’annoncer avoir soumis sa demande d’adhésion à ce nouveau dispositif. « Google s’est engagé à appliquer les principes et les garanties du Privacy Shield dans le cadre des transferts de données personnelles entre l’UE et les Etats-Unis. Aucune action n’est requise de la part de nos clients afin de bénéficier de la protection proposée dans ce cadre. »

Microsoft et Salesforce déjà en lice

La firme de Mountain View n’est pas la seule à avoir adopté le Privacy Shield. D’autres grands noms du monde IT l’ont précédé, comme Microsoft, qui place 20 de ses entités sous cette bannière : Acompli, Blue Stripe Software, Double Labs, Equivio, FieldOne Systems, Incent Games, MetricsHub, Microsoft Caribbean, Microsoft Corporation, Microsoft India Corporation, Microsoft Licensing, Microsoft Mobile, Microsoft Online, Microsoft Regional Sales Corporation, Microsoft Technology Licensing, Parature, Revolution Analytics, Sunrise Atelier, Vexcel Corporation et VoloMetrix.

Autre acteur proposant des services en ligne à l’international, Salesforce, qui adopte lui aussi le Privacy Shield. Certains grands noms du Cloud, comme Amazon ou IBM, manquent toutefois aujourd’hui encore à l’appel.

Un bouclier anti-écoutes…

Les règles concernant les entreprises sont précisément établies. Pour les gouvernements, les choses sont moins claires. Le communiqué de la Commission européenne indique que « les États-Unis ont donné à l’Union européenne l’assurance que l’accès des pouvoirs publics aux données à des fins d’ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. […] Les États-Unis ont exclu toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire dans le cadre du bouclier de protection des données UE-États-Unis. »

Deux points rassurants. Mais le même texte évoque aussi la possibilité de collecter des données ‘en vrac’. Nous pouvons ainsi lire dans le texte que « le cabinet du directeur du renseignement national a également précisé que le recours à la collecte de données en vrac serait soumis à certaines conditions préalables et que cette collecte devrait être aussi ciblée et précise que possible ».

… sauf si des intérêts vitaux sont en jeu

Et, dans le chapitre ‘données sensibles’ du texte, plusieurs possibilités sont données pour accéder à des données personnelles sans le consentement de la personne intéressée : dans les intérêts vitaux de la personne concernée ou d’une autre personne ; pour l’établissement de revendications juridiques ou moyens de défense ; afin de fournir des soins médicaux et de diagnostic. Nul doute que le terme « intérêts vitaux » devrait permettre de multiples débordements.