Privacy Shield : Microsoft acquiesce, les CNIL sceptiques

Le Privacy Shield, l’accord entre l’UE et les Etats-Unis sur le transfert des données, fait un premier heureux : Microsoft. Les CNIL européennes sont elles bien plus hésitantes.

Le timing est précis pour Microsoft : alors que les autorités européennes chargées de la protection des données personnelles se réunissent pour évaluer le Privacy Shield, le premier éditeur mondial s’engage à respecter ce cadre, visant à remplacer le défunt Safe Harbor, invalidé en octobre 2015 par la Cour de justice de l’Union européenne. Le Privacy Shield vise à protéger les droits fondamentaux des Européens en cas de transfert de leurs données vers les États-Unis.

Quelque 4 000 entreprises sont concernées. Elles obtiennent des garanties sur leur business transatlantique en contrepartie d’obligations, notamment en matière de transparence sur la communication d’informations au gouvernement U.S. et aux services de renseignement ou de police. Microsoft est la première grande entreprise IT américaine à se rallier officiellement au Privacy Shield, signé en février entre Bruxelles et Washington.

Vice-président des affaires européennes de Microsoft, John Frank était encore, il y a quelques mois, responsable des problématiques légales pour la firme de Redmond. Dans une contribution de blog, il souligne la nécessité de construire sur les « fondations solides » apportées par le Privacy Shield. De son avis, l’instrument légal doit être flexible, moyennant des dispositions additionnelles au niveau de chaque pays adhérent, des accords multilatéraux et une modernisation des traités d’assistance mutuelle.

Fronde des associations, hésitation des CNIL européennes

Chargés de veiller à l’application du cadre outre-Atlantique, la Federal Trade Commission et le département américain du Commerce ont abordé ces problématiques lors de plusieurs séances de questions-réponses… sans parvenir à satisfaire les défenseurs des libertés civiles à l’ère numérique. Ces derniers évoquent un « Safe Harbor 1.1 » fait de « réchauffé », tout particulièrement parce qu’il ne requiert aucune modification de la loi aux États-Unis.

Dans une lettre adressée à Bruxelles (document PDF), une coalition fédérant 27 membres dont l’Electronic Frontier Foundation, l’American Civil Liberties Union et Amnesty International dénonce une « mise en danger » des citoyens européens, qui « ne peuvent être sûrs de ce que deviennent leurs données » en l’état actuel de Privacy Shield. Et de pointer du doigt le « manque d’indépendance » de l’organe chargé de contrôler les éventuels abus gouvernementaux.

De son côté, les CNIL européennes regroupées sous le label Article 29 vont discuter aujourd’hui et demain du Privacy Shield et prendre position sur le texte. Parmi elles, l’autorité allemande de protection des données ne serait pas prête à valider le texte actuel. Selon des documents qui ont fuité sur le web, les régulateurs ne seraient pas en mesure d’apporter une réponse au projet d’accord, car le Privacy Shield n’accorde pas le même niveau de protection que les règles en Europe. Réponse définitive dans quelques heures.

Lire aussi : AutoDev : GPT-4 en agent autonome de développement logiciel