Le Privacy Shield vient remplacer le défunt Safe Harbor, invalidé par la justice européenne en octobre dernier, et redéfinit les règles concernant le transfert de données personnelles entre l’Europe et les États-Unis.
« Le bouclier de protection des données UE-États-Unis (Privacy Shield, NDLR) tient compte des exigences énoncées par la Cour de justice de l’Union européenne dans son arrêt du 6 octobre 2015, qui a invalidé l’ancien régime de la sphère de sécurité (Safe Harbor, NDLR) », a rappelé la Commission européenne lors du lancement de ce nouveau dispositif de protection des données personnelles.
Google vient d’annoncer avoir soumis sa demande d’adhésion à ce nouveau dispositif. « Google s’est engagé à appliquer les principes et les garanties du Privacy Shield dans le cadre des transferts de données personnelles entre l’UE et les Etats-Unis. Aucune action n’est requise de la part de nos clients afin de bénéficier de la protection proposée dans ce cadre. »
La firme de Mountain View n’est pas la seule à avoir adopté le Privacy Shield. D’autres grands noms du monde IT l’ont précédé, comme Microsoft, qui place 20 de ses entités sous cette bannière : Acompli, Blue Stripe Software, Double Labs, Equivio, FieldOne Systems, Incent Games, MetricsHub, Microsoft Caribbean, Microsoft Corporation, Microsoft India Corporation, Microsoft Licensing, Microsoft Mobile, Microsoft Online, Microsoft Regional Sales Corporation, Microsoft Technology Licensing, Parature, Revolution Analytics, Sunrise Atelier, Vexcel Corporation et VoloMetrix.
Autre acteur proposant des services en ligne à l’international, Salesforce, qui adopte lui aussi le Privacy Shield. Certains grands noms du Cloud, comme Amazon ou IBM, manquent toutefois aujourd’hui encore à l’appel.
Les règles concernant les entreprises sont précisément établies. Pour les gouvernements, les choses sont moins claires. Le communiqué de la Commission européenne indique que « les États-Unis ont donné à l’Union européenne l’assurance que l’accès des pouvoirs publics aux données à des fins d’ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. […] Les États-Unis ont exclu toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire dans le cadre du bouclier de protection des données UE-États-Unis. »
Deux points rassurants. Mais le même texte évoque aussi la possibilité de collecter des données ‘en vrac’. Nous pouvons ainsi lire dans le texte que « le cabinet du directeur du renseignement national a également précisé que le recours à la collecte de données en vrac serait soumis à certaines conditions préalables et que cette collecte devrait être aussi ciblée et précise que possible ».
Et, dans le chapitre ‘données sensibles’ du texte, plusieurs possibilités sont données pour accéder à des données personnelles sans le consentement de la personne intéressée : dans les intérêts vitaux de la personne concernée ou d’une autre personne ; pour l’établissement de revendications juridiques ou moyens de défense ; afin de fournir des soins médicaux et de diagnostic. Nul doute que le terme « intérêts vitaux » devrait permettre de multiples débordements.
À lire aussi :
Facebook un peu trop à l’écoute de ses utilisateurs ?
Le chiffrement de Windows 10 sous écoute de la NSA ?
Microsoft va ouvrir des datacenters anti-écoutes en Allemagne
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.