Le Privacy Shield pas encore ratifié, mais déjà attaqué

A l’occasion du Cloud Independance Day, le Privacy Shield a cristallisé les débats. Les industriels appellent à plus de stabilité et de visibilité réglementaire. Max Schrems, pourfendeur du Safe Harbor, affute ses arguments pour invalider le Privacy Shield

L’association Cloud Confidence avait choisi le Privacy Shield pour focus à l’occasion de la Cloud Independance Day, manifestation intégrée à la Cloud Week. Cet accord fixant les règles de transfert des données entre les Etats-Unis et l’Europe a vocation à remplacer le Safe Harbor invalidé par la Cour de Justice de l’Union Européenne en octobre 2015. Pour mémoire, la juridiction communautaire avait considéré qu’au regard des différentes révélations sur la surveillance de masse des Etats-Unis et de la NSA en particulier, la protection des données européennes n’était plus garantie. Depuis, Commission européenne et autorités américaines ont dialogué pour trouver un compromis, le Privacy Shield.

Max Schrems à l’offensif contre le Privacy Shield

Or cet accord ne semble pas faire l’unanimité. Premier à intervenir lors de la conférence, David Martinon, ambassadeur pour la cyberdiplomatie et l’économie numérique, précise que cet accord doit être voté dans les prochains jours par la Commission européenne. « Il va y avoir un vote formel et non un consensus sur ce sujet, cela signifie qu’à travers leur vote certains vont exprimer leur méfiance vis-à-vis du texte. »

Mais le plus combattif contre le Privacy Shield est Max Schrems, fossoyeur du Safe Harbor. Il a réitéré ses craintes sur le nouvel accord. « Le Privacy Shield pose des problèmes à la fois dans le domaine commercial et sur le plan des politiques publiques », constate l’hacktiviste devenu avocat. Sur le terrain commercial, il conteste l’utilisation des données personnelles par les entreprises américaines et que les règles ne soient pas les mêmes que celles des entreprises européennes. Il reste dubitatif sur la mise en place d’un médiateur, nommé politiquement et sous la tutelle du ministère des affaires étrangères américaines.

Mais c’est sur plan de la surveillance de masse que Max Schrems tacle le Privacy Shield. « Il n’y a pas de changement dans la surveillance de masse aux Etats-Unis. » Il rappelle que 6 exceptions sont possibles au Privacy Shield : « La détection et la lutte à certaines activités de puissances étrangères, l’anti-terrorisme, la lutte contre la prolifération nucléaire, la cybersécurité, la détection et la lutte contre les menaces visant les Etats-Unis et les forces armées alliées et, enfin, la lutte contre les menaces de crimes transnationaux. ». Or cet espionnage massif est contraire, selon lui, à la jurisprudence de la Cour de Justice de l’Union européenne qui impose « une sphère de confiance ». Face à ces conflits, il n’exclut pas des recours concernant le Privacy Shield. Il est déjà en bisbille avec Facebook sur des questions de localisation des données.

Un bazar réglementaire

Et les entreprises qu’en pensent-elles ? « C’est le bazar réglementaire », constate Xavier Lofficial, membre du Cigref et directeur de la transformation, processus et systèmes d’information à la Société Générale, en évoquant les différentes régulations portant sur les données personnelles : le Privacy Shield, le GDPR qui doit s’appliquer en 2018, le contrôle de la CNIL et des autorités bancaires. « Dans ce débat il y a des aspects positifs et négatifs. La différence de régulation et de réglementation fait que le problème n’est pas réglé de manière homogène. Par contre, en s’emparant du problème, le pouvoir politique donne des règles à suivre », poursuit le dirigeant.

Une visibilité et une stabilité demandées de la même façon par les fournisseurs comme Oodrive, par la voix de son président Stanislas de Rémur. « Le Safe Harbor était un joke, il est absolument nécessaire de rétablir une confiance avec les clients sur les données et cela passera par des sanctions financières. » Le règlement européens sur les données personnelles (GDPR) impose des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise. « Le problème en Europe est qu’il y a beaucoup de règles, mais elles ne sont pas souvent appliquées », rétorque Nicolas Hodach, en charge des affaires réglementaires et gouvernementales chez IBM Europe. « Il ne faut pas prendre cette menace de sanctions à la légère pour une double raison. La première est que le montant peut-être impactant pour la société, et la deuxième porte sur la réputation de l’entreprise. Un effet dévastateur sur la confiance vis-à-vis du client », souligne Xavier Lofficial.

Mais le débat est peut-être tronqué dès le début, assure maître Olivier Iteanu, avocat spécialiste des nouvelles technologies et vice-président de Cloud Confidence. « La bataille sur le Privacy Shield est avant tout sur les principes mêmes liés à la donnée personnelle. Aux Etats-Unis, les données sont perçues comme un droit de propriété que l’on peut céder commercialement à une entreprise. En Europe, la donnée est un droit fondamental protégé. Tant que nous n’aurons pas de réconciliation de ces principes, il sera difficile de trouver un terrain d’entente. Il faut que les Etats-Unis fassent un pas supplémentaire dans notre direction. » Le débat est encore ouvert…

A lire aussi :

Le G29 souffle le chaud et le froid sur le Privacy Shield

L’affaire Apple-FBI, une menace pour le Privacy Shield ?