Et comment je me plains si mes données personnelles sont dans un fichiers prospects d'une société américaine.
J'ai des soupsons mais rien pour prouver.
Et comment je me plains si mes données personnelles sont dans un fichiers prospects d'une société américaine.
J'ai des soupsons mais rien pour prouver.
Consultez mes articles sur l'accessibilité numérique :
Comment rendre son application SWING accessible aux non voyants
Créer des applications web accessibles à tous
YES WE CAN BLANCHE !!!
Rappelez-vous que Google est le plus grand aveugle d'Internet...
Plus c'est accessible pour nous, plus c'est accessible pour lui,
et meilleur sera votre score de référencement !
En clair on va soumettre les internautes européens aux lois américaines dès lors que le site appartient à une entreprise américaine. Du moins en ce qui concerne les données personnelles.
Quel pied magistral dans la porte ! Vu la prévalence des sites US et du nuage US, dans vingt ans ils auront étendu ce principe à d'autres problèmes et nous seront soumis aux lois US pour tout ce qui se passera en ligne.
Bravo les gars, une trahison de plus. Et un sacré coup, celui-là !
Pour ma part, je ne vois pas pourquoi on parle de terrorisme... Encore un automatisme orwellien ? On considère quelque chose comme bon, donc ça doit forcément aider d'une manière ou d'une autre face au terrorisme ?
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
J'ai bien aimé le coup des obligations de transparence et des possibilités de recours sachant que le texte n'est pas porté à la connaissance du public.
Pour ceux qui voudraient le document de travail de mardi 29/02/2016 voici des liens :
Texte -> http://ec.europa.eu/justice/data-pro...ecision_en.pdf
Annexe 1 -> http://ec.europa.eu/justice/data-pro...annex-1_en.pdf
Annexe 2 -> http://ec.europa.eu/justice/data-pro...annex-2_en.pdf
Annexe 3 -> http://ec.europa.eu/justice/data-pro...annex-3_en.pdf
Annexe 4 -> http://ec.europa.eu/justice/data-pro...annex-4_en.pdf
Annexe 5 -> http://ec.europa.eu/justice/data-pro...annex-5_en.pdf
Annexe 6 -> http://ec.europa.eu/justice/data-pro...annex-6_en.pdf
Annexe 7 -> http://ec.europa.eu/justice/data-pro...annex-7_en.pdf
Ce serait bien que les articles DVP prennent l'habitude de donner des avis opposés dans leurs articles, dire de gagner un peu en neutralité. Le côté positif donné ici est complètement remis en cause par exemple sur la quadrature du net, qui ne doivent pas être les seuls j'imagine.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
En gros, le Privacy Shield obligera les autorités US a demandé le droit d'obtenir des données qu'ils ont déjà aux autorités européennes
Du blabla pour rien, une fois que les données sont disponibles sur un serveur, qui plus est sur sol américain, elles sont à disposition sur un simple claquement de doigt... Tout le reste, c'est juste de la politique, histoire pour les autorités européennes de faire croire qu'elles ont encore un mot à dire... En fait, l'Oncle Sam fait comme il en a l'envie.
Oui bah on se fait baiser, rien de nouveau sous le soleil...
ça devrai plutôt se nommer le "privacy smoke screen" au moins ça nommerait bien les choses
Privacy Shield : le G29 exprime ses réserves face à certaines mesures prévues par l'accord,
le groupe regrette le manque de garanties concrètes
La Cour de justice européenne a annulé l'accord Safe Harbor en octobre dernier, estimant que les données des Européens n'étaient pas suffisamment protégées lorsqu'elles étaient transférées aux États-Unis.
Après plusieurs mois de négociations depuis l’échec du Safe Habor, l’Union européenne et les États-Unis sont parvenus à trouver un nouvel accord, le Privacy Shield, dont le premier draft a été publié en fin février. En début juillet, la Commission européenne a validé ce nouvel accord qui est donc déjà entré en vigueur.
Parmi les principes que les entreprises doivent respecter, figurent entre autres :
- le Choice Principle : les entreprises doivent laisser à l’utilisateur la possibilité de s’opposer à une transmission de la donnée à un acteur tiers. Elles doivent également obtenir le consentement explicite des utilisateurs pour les données dites sensibles ;
- le Security Principle : ici sont définies des contraintes de sécurité que les entreprises doivent respecter ;
- le Data Integrity and Purpose Limitation Principle : il est stipulé que les données personnelles soient limitées aux seules informations nécessaires au traitement, être tenues à jour, exactes, complètes et adaptées à leur utilisation ;
- l'Access Principle : il est question de donner aux utilisateurs la possibilité de demander à une entreprise si elle exploite leurs données personnelles et les obtenir dans un délai « raisonnable ».
Le G29, le groupe qui rassemble les autorités de protection de la vie privée en Europe, parmi lesquelles la CNIL française a rendu publique, après une réunion lundi 25 juillet, son analyse, plutôt critique, de cet accord négocié par la Commission européenne et les États-Unis.
Tout d’abord, le G29 a tenu à saluer les améliorations apportées par les mécanismes de Privacy Shield, comparé à Safe Harbor. Le groupe a également remercié la Commission européenne ainsi que les autorités américaines d’avoir pris son avis en considération dans la rédaction de la version finale des documents relatifs à Privacy Shield.
Toutefois, le groupe regrette que certaines des dispositions essentielles soient trop faibles, et notamment celles concernant la surveillance de masse exercée par les services de renseignement américains, mais aussi sur l’aspect commercial.
« En ce qui concerne les aspects commerciaux, le G29 regrette, par exemple, l'absence de règles spécifiques sur les décisions automatisées et/ou d'un droit général à s’y opposer. Il reste aussi difficile de savoir comment les principes de Privacy Shield seront applicables aux sous-traitants.
En ce qui concerne l'accès par les pouvoirs publics aux données transférées aux États-Unis via le Privacy Shield, le G29 aurait prévu des garanties plus strictes concernant l'indépendance et les pouvoirs du mécanisme de Ombudsperson. En ce qui concerne la collecte de masse des données personnelles, le G29 note l'engagement de la ODNI à ne pas procéder à la collecte en masse de données personnelles sans discernement. Néanmoins, il regrette le manque d'assurances concrètes que cette pratique n'aura pas lieu ».
Pour rappel, un ombudsman est une personne indépendante et objective qui enquête sur les plaintes des gens contre les organismes gouvernementaux et autres organisations, tant du secteur public que privé. Après un examen approfondi et impartial, il détermine si la plainte est fondée et formule des recommandations à l'intention de l'organisation afin de régler le problème.
Dans la plupart des contextes, l'« ombudsman » se réfère à un fonctionnaire nommé pour contrôler l'activité du gouvernement dans l'intérêt du citoyen, et pour surveiller le suivi des plaintes du citoyen contre l'État. Si l'Ombudsman trouve une plainte justifiée, il produit un rapport et en effectue un suivi jusqu'à réparation. L'Ombudsman n'agit pas en justice. Il tient son autorité du mandat qui lui a été confié, soit par l'autorité suprême du pays (président, roi...), soit par une assemblée de représentants, généralement des députés.
Le groupe se montre également très critique envers une disposition du Privacy Shield, qui prévoit que tout citoyen européen puisse demander réparation, auprès des tribunaux américains, en cas de mauvaise utilisation de ses données.
« En pratique, ce nouveau mécanisme pourrait s’avérer trop complexe à utiliser pour des citoyens européens, notamment lorsqu’ils ne sont pas anglophones, et donc s’avérer inefficace ». Aussi, le G29 recommande que les CNIL nationales puissent servir d’intermédiaire pour ces procédures.
« Le premier examen annuel conjoint sera donc un moment clé pour évaluer de la robustesse et de l'efficacité du mécanisme Privacy Shield », ont estimé les régulateurs. « Lorsqu’ils participeront à l’examen, les représentants nationaux du G29 ne vont pas seulement se prononcer sur la résolution ou non des problèmes soulevés en sus, mais ils vont également dire si les garanties prévues par Privacy Shield sont réalisables et efficaces ».
Source : communiqué du G29 (au format PDF)
Voir aussi :
Antitrust : la Commission européenne pourrait alourdir les charges qui pèsent sur Google pour abus de position dominante sur son comparateur de prix
Bruxelles injecte 450 millions d'euros dans son programme visant à renforcer la cybersécurité à l'échelle de l'Union européenne
La Commission européenne s'apprêterait à ouvrir un troisième front contre Google se tournant cette fois vers les services publicitaires de la firme
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Le CNNum estime que le Privacy Shield, l'accord entre l'UE et les USA sur les transferts de données,
doit être renégocié
L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.
Cela va donc faire bientôt un an que cet accord a été établi. Aussi, l’Europe évalue sa pertinence pour pouvoir l’ajuster si le besoin s’en faisait ressentir.
C’est en prévision de cette évaluation annuelle que les membres du Conseil National du Numérique ont reçu une délégation américaine durant l’été pour échanger sur les différents enjeux du dispositif et formuler leurs interrogations. Au terme de cet échange, le CNNum a estimé que le « Privacy Shield » présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens.
Les pratiques de renseignement américain, mises au jour par les révélations d’Edward Snowden, étaient au cœur de la décision de la Cour de justice européenne lorsqu’elle a invalidé Safe Harbor. Aussi, lors des négociations sur l’accord Privacy Shield, la Commission européenne avait obtenu, de la part des autorités américaines, la promesse que la collecte de données ciblée resterait prioritaire sur la collecte de masse.
Néanmoins, le CNNum estime que cette avancée est relative, car il ne s’agit en réalité que d’une simple directive présidentielle. Cette promesse n’est pas inscrite « en dur » et le droit américain reste largement inchangé. Il en va ainsi de la portée de la collecte, qui peut toujours être justifiée à des fins « sécurité nationale », un motif comprenant des objectifs aussi larges que non définis.
Le CNNum s’inquiète également de certaines évolutions concomitantes : « Les évolutions législatives et jurisprudentielles récentes, combinées à la position affichée par la nouvelle administration, jettent un éclairage nouveau sur le dispositif. Si ces développements ne remettent pas fondamentalement en cause l’équilibre juridique (au demeurant très perfectible) de la protection des données aux États-Unis, ils constituent à tout le moins un signal politique particulièrement préoccupant. »
Le Conseil estime alors que la vigilance doit être de mise : « Le Conseil restera attentif aux futures évolutions américaines, en particulier la reconduction éventuelle du titre VII du FISA Amendments Act (FAA) américain, censé expirer à la fin de l’année. Ces dispositions comprennent la controversée « section 702 », qui permet la surveillance très large de tout ressortissant d’un pays étranger. Cette section a également servi de fondement aux programmes PRISM et UPSTREAM. »
À la question du respect de la vie privée des citoyens européens s’ajoutent des considérations plus économiques. Pour le CNNum, dans un contexte d’asymétrie très forte entre les industries numériques européennes encore naissantes et les géants extraeuropéens, l’accord Safe Harbor a contribué à renforcer ce déséquilibre. Les contrôles, particulièrement faibles, liés aux mécanismes d’autocertification ont pu entraîner une perte de compétitivité pour les entreprises européennes, soumises à des exigences plus strictes. Dans ce contexte, l’entrée en vigueur prochaine du règlement général pour la protection des données (RGPD), qui renforce les obligations des entreprises opérant sur le territoire européen, conduit au même risque de déséquilibre.
Le Conseil estime qu’il est essentiel de ne pas faire preuve de naïveté et de ne pas répéter les erreurs du passé et défend une approche prioritairement défensive par le fait que la position de prédominance des acteurs extraeuropéens sur le territoire de l’Union peut conduire à ce genre d’attitude.
Le Conseil conclut en disant que « L’accord Privacy Shield doit ainsi être conçu comme un dispositif transitoire. Il est nécessaire de s’atteler à la négociation d’un accord plus robuste juridiquement, pour garantir la protection des données personnelles de tous les Européens, dans un cadre suffisamment stable pour nos entreprises. Il s’agit également de prendre la pleine conscience de l’asymétrie existante en matière de flux de données entre les États-Unis et l’Union européenne. L’entrée en vigueur, l’an prochain, du RGPD et l’harmonisation des législations nationales, doit permettre cette négociation sur des bases plus solides. »
Source : CNNum
Et vous ?
Partagez-vous ce point de vue ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Privacy Shield : le commissaire européen à la Justice se montre plutôt satisfait du premier examen
de l'accord sur les transferts de données
L’Europe a évalué la pertinence de l’accord Privacy Shield, signé entre les États-Unis et l’UE sur les transferts des données, un an après son implémentation. Malgré les réserves émises par de nombreuses entités à l’endroit du Privacy Shield et une réponse très mince du groupe de travail de l'article 29 de l'UE (composé des autorités de protection des données des États membres), le commissaire européen à la Justice Věra Jourová et le secrétaire américain au Commerce Wilbur Ross ont publié une déclaration commune à la fin de l'examen qui ont estimé que cet accord est encourageant.
« Cette semaine, des représentants du gouvernement des États-Unis, de la Commission européenne et des autorités de la protection des données de l'UE se sont réunis à Washington DC pour lancer la première évaluation annuelle du Framework de protection de la vie privée entre l'UE et les États-Unis établi en 2016.
« Cette première évaluation annuelle marque une étape importante pour le Framework ainsi que pour la coopération entre les États-Unis et l'UE en matière de protection des données. Le Privacy Shield a mis la barre de protection des données transatlantiques haut en veillant à ce que les entreprises participantes et les autorités publiques concernées fournissent un niveau élevé de protection des données pour les individus de l'UE.
« Depuis la création du programme, plus de 2400 organisations ont rejoint le Privacy Shield. Les responsables des États-Unis et de l'UE se sont félicités des informations partagées par les participants conformément au Framework Privacy Shield et par la société civile et les fournisseurs de mécanismes de recours indépendants. Les fonctionnaires ont noté que cette contribution a largement informé le processus d'examen et entraînera des améliorations continues au fonctionnement du programme.
« L'évaluation s’est penchée sur tous les aspects de l'administration et de l'application du Privacy Shield, y compris les questions liées à la sécurité commerciale et à la sécurité nationale, ainsi que des développements juridiques plus importants aux États-Unis. Les participants ont également discuté de leurs travaux respectifs pour mettre en œuvre le programme du Privacy Shield au cours de l'année inaugurale, en reconnaissant la valeur de la communication régulière entre les États-Unis et les autorités de l'UE. »
« Privacy Shield a une importance vitale pour les entreprises américaines et européennes afin qu’elles puissent continuer à transférer des données à travers l'Atlantique, à faire des affaires en plus d’établir un niveau élevé pour la protection des données des consommateurs », a déclaré Kara Sutton, de la Chambre de commerce américaine dans un communiqué.
Jourová a souligné que l'accord sur la protection de la vie privée avait une solide analyse de rentabilisation. « Le transfert de données sous-tend nos importantes relations commerciales et est comme le pain et le beurre pour de nombreuses entreprises européennes et américaines », a-t-elle déclaré.
Vendredi dernier, la Maison-Blanche a assuré dans un communiqué que cet examen allait « démontrer la force de la promesse américaine de protéger les données personnelles des citoyens des deux côtés de l'Atlantique. »
Rappelons que le CNNum a estimé pour sa part que Privacy Shield doit être renégocié. Pour le Conseil, la promesse obtenue par Bruxelles que la collecte de données ciblée resterait prioritaire sur la collecte de masse est une avancée relative étant donné qu’il ne s’agit en réalité que d’une simple directive présidentielle. Le CNNum rappelle que cette promesse n’est pas inscrite « en dur » et le droit américain reste largement inchangé. Il en va ainsi de la portée de la collecte, qui peut toujours être justifiée à des fins de « sécurité nationale », un motif comprenant des objectifs aussi larges que non définis.
Le CNNum s’inquiète également de certaines évolutions concomitantes : « Les évolutions législatives et jurisprudentielles récentes, combinées à la position affichée par la nouvelle administration, jettent un éclairage nouveau sur le dispositif. Si ces développements ne remettent pas fondamentalement en cause l’équilibre juridique (au demeurant très perfectible) de la protection des données aux États-Unis, ils constituent à tout le moins un signal politique particulièrement préoccupant. »
Le Conseil estime alors que la vigilance doit être de mise : « Le Conseil restera attentif aux futures évolutions américaines, en particulier la reconduction éventuelle du titre VII du FISA Amendments Act (FAA) américain, censé expirer à la fin de l’année. Ces dispositions comprennent la controversée « section 702 », qui permet la surveillance très large de tout ressortissant d’un pays étranger. Cette section a également servi de fondement aux programmes PRISM et UPSTREAM. »
Source : Europa
Mise à jour du 20/10/2017 : Bruxelles approuve le Privacy Shield
La Commission européenne a déclaré mercredi 18 octobre que l’accord Privacy Shield a passé son premier examen annuel.
Selon la commissaire à la justice de l'UE, Vera Jourova, qui a présenté le premier rapport annuel sur l'accord, Privacy Shield fonctionne « bien » et continue d'assurer un niveau adéquat de protection des données personnelles des Européens transférées aux entreprises participantes aux États-Unis.
« Les autorités américaines respectent leurs engagements » en mettant en place les structures et procédures nécessaires pour assurer le bon fonctionnement de l'accord, telles que de nouvelles possibilités de recours pour les citoyens européens ou encore une meilleure coopération avec les autorités européennes de protection des données.
Néanmoins, le commissaire a expliqué qu'une certaine « marge d'amélioration » est encore nécessaire, notamment sur le fait que le département du Commerce des États-Unis a besoin d'un suivi plus rigoureux de la conformité des entreprises avec ses règles de confidentialité.
Andrus Ansip, vice-président de la Commission pour le marché unique numérique, a déclaré : « Cette première revue annuelle démontre notre engagement à créer un système de certification solide avec un travail de supervision dynamique. »
Au cours des prochains mois, la Commission continuera à suivre de près le fonctionnement de Privacy Shield et veillera notamment à ce que les autorités américaines respectent leurs engagements.
Source : EU Observer
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Lorsque le patriote act sera aboli, alors le privacy Shield aura un sens. Que Macron ait descendu les lois de l'état d'urgence dans la constitution.,.
La Commission des libertés civiles de l’UE demande la suspension du Privacy Shield
si les États-Unis ne s’y conforment pas d’ici le 1er septembre
Depuis le 12 juillet 2016, le Privacy Shield, l’accord constituant un bouclier de protection des données et conclu entre l’Union européenne (UE) et les États-Unis afin de protéger les données des citoyens et résidents de l’UE transférées et exploitées sur le sol américain, a été approuvé. À la suite de cet accord, plusieurs voix se sont élevées afin d’exprimer des réserves ou des désaccords vis-à-vis de ce nouveau programme.
Avant l’entrée en vigueur de cet accord, le G29, l’organe consultatif européen qui rassemble les autorités de protection des données et de la vie privée parmi lesquelles se trouve la CNIL, l’agence française de protection des données, a émis des réserves vis-à-vis de cet accord. Pour le G29, les dispositions sur la surveillance de masse exercées par les agences américaines restaient encore à améliorer en plus d’autres points comme celui qui prévoit que tout citoyen européen puisse demander réparation, auprès des tribunaux américains, en cas de mauvaise utilisation de ses données. Pour le G29, cette dernière procédure devrait introduite par les Européens auprès des CNIL nationales pour faciliter la tâche aux non anglophones.
Quelques points soulevés par le G29 ont également été repris par le CNNum en France qui est le Conseil national du numérique. À la faveur de l’examen annuel qui devait avoir lieu un an après l’entrée en vigueur de cet accord, le CNNum, après avoir échangé avec une délégation américaine durant l’été 2017, a souligné que le Privacy Shield présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens.
Selon l’article 72 de cet accord, il est stipulé que « les composantes de la communauté du renseignement [y compris les États-Unis] doivent parfois collecter des renseignements d’origine électromagnétique en vrac dans certaines circonstances, par exemple pour détecter et évaluer les nouvelles menaces ou les menaces émergentes ». L’article 73 ajoute que « lorsque la communauté du renseignement ne peut pas utiliser des identifiants spécifiques pour cibler la collecte, elle s’efforcera de réduire “autant que possible” le champ de la collecte ». Enfin sur ce même point, l’article 76 précise que « la priorité est clairement donnée à une collecte ciblée, tandis que la collecte en vrac est limitée aux situations (exceptionnelles) dans lesquelles une collecte ciblée n’est pas possible pour des raisons techniques ou opérationnelles ».
Pour le CNNum, le Privacy Shield doit être renégocié pour parvenir à un accord plus robuste, car par exemple la promesse formulée par le gouvernement américain sur le fait que la collecte de données ciblée resterait prioritaire sur la collecte de masse demeure légère dans la mesure où elle n’est pas inscrite dans la loi américaine pour qu’elle soit une obligation pour les agences américaines. En raison de ces dispositions et d’autres encore, certaines associations notamment la Quadrature du Net, French Data Network et la fédération FDN ont porté plainte devant la Cour de justice de l’Union européenne à l’effet d’obtenir l’annulation de cet accord.
Au parlement européen, ces points de désaccord ne sont pas passés sous silence. Après un débat houleux sur l’avenir de cet accord, un nouveau projet de résolution a été adopté par les parlementaires. Avec ce projet de résolution adopté par 29 voix pour, 25 voix contre et 3 abstentions, l’accord du Privacy Shield devrait plus profiter aux Européens avec plus de contraintes pour les États-Unis. À la suite de l’adoption de projet de résolution, les députés de la commission des libertés civiles ont interpellé la Commission sur le fait « que l’accord devrait rester suspendu jusqu’à ce que les autorités américaines respectent totalement ses conditions ». Les députés ont fixé comme date butoir, le 1er septembre, pour déterminer si les États-Unis se sont conformés aux exigences de l’accord ou pas. En outre, « suite à la violation des données par Facebook-Cambridge Analytica, les députés de la commission des libertés civiles soulignent la nécessité d’un meilleur suivi de l’accord ».
Claude Moraes, le rapporteur de la Commission, a déclaré à la suite de l’adoption de ce projet de loi que « la commission des libertés civiles a adopté lundi 11 juin une position claire sur l’accord relatif au bouclier de protection des données entre l’UE et les États-Unis. Bien que des progrès aient été réalisés pour améliorer l’accord Safe Harbor, le bouclier de protection des données dans sa forme actuelle n’offre pas le niveau de protection adéquat requis par la législation de l’UE en matière de protection des données et la Charte de l’UE. Il appartient donc aux autorités américaines de suivre réellement les termes de l’accord et à la Commission européenne de prendre des mesures pour s’assurer qu’il se conformera pleinement au RGPR ».
Source : Projet de résolution dur le Privacy Shield (PDF),Parlement européen
Et vous ?
Que pensez-vous de ce nouveau durcissement de ton de la Commission de l’UE ?
Est-ce suffisant pour régler les points de désaccord soulevés ?
Voir aussi
Le vote sur l'ePrivacy, le règlement sur la protection de la vie privée des citoyens, sera retardé d'une semaine suite à un désaccord européen
UE : des groupes de défenses de la vie privée exposent leur pessimisme sur les modifications apportées à la protection des données personnelles
Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018, vos applications seront-elles conformes ?
« Vos données personnelles sont utilisées pour vous contrôler », Bruce Schneier décrit la guerre de l'information à laquelle se livre le monde
UE : des groupes de défenses de la vie privée exposent leur pessimisme sur les modifications apportées à la protection des données personnelles
Je n'ai pas les compétences pour juger du point de vue juridique, mais je pense que c'est surtout le reflet de la "trade war" qui émerge entre l'UE et les USA.
Sans compter que la confiance est rompue depuis Snowden jusqu'à l'affaire Cambridge Analytica.
Le Parlement européen appelle à la suspension du Privacy Shield,
estimant qu'il n'offre pas le niveau de protection requis par le droit européen en matière de protection des données
L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.
Cependant, les députés ont adopté une résolution appelant à la suspension de Privacy Shield. Le Parlement européen explique que :
- considérant que les transferts de données à caractère personnel entre les organisations commerciales de l’UE et des États-Unis constituent un élément important des relations transatlantiques, au vu de la numérisation toujours croissante de l’économie mondiale; que ces transferts devraient être menés dans le strict respect du droit à la protection des données à caractère personnel et du droit au respect de la vie privée; que l’un des objectifs fondamentaux de l’Union est la protection des droits fondamentaux consacrés dans la charte;
- considérant que Facebook, signataire du bouclier de protection des données, a confirmé que les données de 2,7 millions de citoyens de l’UE figuraient parmi les données utilisées de manière abusive par le consultant politique Cambridge Analytica;
- considérant que le bouclier de protection des données UE-États-Unis est assorti de plusieurs engagements et assurances unilatéraux de la part de l’administration américaine, explicitant, entre autres, les principes de la protection des données, le fonctionnement de la surveillance, de la mise en application de la loi et des voies de recours, et les protections et garanties en vertu desquelles les agences de sécurité peuvent avoir accès aux données à caractère personnel et traiter ces dernières;
- considérant que le groupe de travail «article 29» a recensé un certain nombre de questions en suspens, importantes et très préoccupantes, concernant à la fois le commerce et l’accès des autorités publiques américaines aux données transférées aux États-Unis au titre du bouclier de protection des données (que ce soit à des fins de répression ou de sécurité nationale), qui doivent être abordées aussi bien par la Commission que par les autorités américaines; qu’il a demandé la mise en place immédiate d’un plan d’action pour démontrer que toutes ces questions seront abordées, au plus tard lors du deuxième examen conjoint;
- considérant que le 11 janvier 2018, le Congrès américain a modifié et réautorisé pour six ans la section 702 du FISA sans répondre aux préoccupations que la Commission exprime dans son rapport d’examen conjoint et de l’avis du groupe de travail «article 29» ;
- considérant que, dans le cadre de la législation budgétaire générale promulguée le 23 mars 2018, le Congrès américain a promulgué le «Clarifying Overseas Use of Data (‘CLOUD’) Act», qui facilite l’accès à des fins répressives au contenu des communications et autres données liées en permettant aux autorités répressives des États-Unis d’imposer la production de données de communication même si elles sont stockées en dehors des États-Unis, et en permettant à certains pays étrangers de conclure des accords exécutifs avec les États-Unis de manière à permettre aux fournisseurs de services américains de répondre à certaines décisions de justice étrangères réclamant un accès à des données de communication;
- considérant que Facebook Inc., Cambridge Analytica and SCL Elections Ltd sont des entreprises certifiées dans le cadre du bouclier de protection des données et qu’en tant que telles, elles ont bénéficié de la décision d’adéquation comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l’Union européenne vers les États-unis.
Aspects institutionnels / Nominations
Le Parlement européen souligne que les récentes révélations concernant les pratiques de Facebook et de Cambridge Analytica mettent en exergue la nécessité d’une surveillance en amont ainsi que de mesures d’exécution qui ne se fondent pas exclusivement sur des plaintes et qui prévoient des contrôles systématiques de la conformité pratique des politiques de protection de la vie privée avec les principes du bouclier de protection des données tout au long de la durée de vie de la certification; invite les autorités compétentes de l’Union en matière de protection des données à prendre des mesures appropriées et à suspendre les transferts en cas d’absence de conformité.
Aspects commerciaux
Le Parlement estime que les différentes procédures de recours offertes aux citoyens de l’Union européenne peuvent s’avérer trop complexes, difficiles à utiliser et, partant, moins efficaces; note que, comme le soulignent les entreprises qui proposent des mécanismes de recours indépendants (IRM), la plupart des plaintes sont déposées directement auprès des entreprises par des personnes cherchant des informations générales sur le bouclier des données et le traitement de leurs données; plaide donc pour que les autorités américaines donnent, sur le site Internet du bouclier de protection des données, des informations plus concrètes sur les divers droits et les voies de recours existantes, et ce sous une forme accessible et facilement compréhensible;
Il s’est montré vivement préoccupé par les conséquences de la révision des conditions d’utilisation de Facebook pour les utilisateurs de pays tiers résidant hors des États-Unis et du Canada, qui ont jusqu’à présent bénéficié des droits octroyés par la législation européenne sur la protection des données, et qui doivent désormais accepter que le responsable du traitement des données ne soit plus Facebook Irlande mais Facebook États-unis. Le Parlement considère que cette pratique constitue un transfert de données à caractère personnel d’environ 1,5 milliard d’utilisateurs vers un pays tiers et doute sérieusement qu’une telle limitation à grande échelle et sans précédent des droits fondamentaux des utilisateurs d’une plateforme, de fait monopolistique, corresponde au but recherché par le bouclier de protection des données. Aussi, il invite les autorités de protection des données de l’UE à enquêter sur cette question.
Appréciation de la loi et sécurité nationale
Le Parlement estime que la définition de l’expression «sécurité nationale» dans le mécanisme du bouclier de protection des données n’est pas suffisamment circonscrite pour s’assurer que les violations de la protection des données peuvent être effectivement examinées par les tribunaux sur la base d’un contrôle strict de ce qui est nécessaire et proportionné; demande par conséquent une définition claire de la «sécurité nationale».
Il réitère ses préoccupations concernant le décret présidentiel 12333, qui permet à la NSA de partager de vastes quantités de données privées, recueillies sans mandat, ordonnance de justice ou autorisation du Congrès, avec 16 autres organismes, dont le FBI, l’agence de lutte contre la drogue et le ministère de la sécurité intérieure; regrette l’absence de tout contrôle juridictionnel des activités de surveillance fondées sur le décret présidentiel 12333.
Il exprime ses vives préoccupations concernant l’adoption récente de la loi CLOUD [Clarifying Lawful Overseas Use of Data Act] (H.R. 4943) visant à clarifier les règles relatives aux réquisitions des autorités américaines sur les données stockées en dehors de leur territoire, qui étend les compétences des services répressifs américains et étrangers en leur permettant de cibler et d’accéder aux données des personnes au-delà des frontières internationales sans recourir aux instruments d’entraide judiciaire (MLAT), qui eux prévoient des garanties appropriées et respectent les compétences judiciaires des pays sur le territoire desquels l’information est stockée; fait observer que la loi CLOUD pourrait avoir de graves conséquences pour l’UE car elle a une grande portée et est source de conflit potentiel avec la législation de l’UE sur la protection des donnée.
Conclusions
Le Parlement :
- invite la Commission à prendre toutes les mesures nécessaires pour garantir que le bouclier de protection des données sera entièrement conforme au règlement (UE) 2016/679, applicable à partir du 25 mai 2018, et à la charte des droits fondamentaux de l’UE pour éviter ainsi que les critères d’adéquation ne se traduisent par des lacunes ou par un avantage concurrentiel pour les entreprises américaines;
- rappelle que la protection des données et de la vie privée sont des droits fondamentaux juridiquement contraignants, consacrés par les traités, par la charte des droits fondamentaux et par la convention européenne des droits de l’homme, ainsi que par le droit et la jurisprudence; souligne qu’ils doivent être appliqués d’une manière qui n’entrave pas inutilement le commerce ou les relations internationales, mais qu’ils ne peuvent pas être «mis en balance» avec les intérêts commerciaux ou politiques;
- est d’avis que l’actuel bouclier de protection des données n’offre pas le niveau de protection adéquat requis par le droit de l’Union en matière de protection des données et par la charte des droits fondamentaux de l’Union européenne, telle qu’interprétée par la Cour de justice de l’Union européenne.
Source : proposition de résolution
Voir aussi :
Des pays d'Europe utiliseraient les données téléphoniques des migrants pour valider ou rejeter leurs demandes d'asile, pour ou contre cette pratique ?
Wikipédia Italie ferme son service pour dénoncer la réforme sur le droit d'auteur en Europe, dont l'adoption pourrait être accélérée le 5 juillet
Un mois après l'entrée en vigueur du RGPD, personne ne respecte vraiment le règlement européen qui est interprété différemment d'un acteur à l'autre
La CJUE estime que la marque « France.com » ne peut être déposée en Europe, et évoque un risque de confusion avec une marque déjà déposée
UE : 62 associations saisissent la Commission européenne sur la conservation généralisée des données par les opérateurs de télécoms dans 17 pays
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Privacy Shield : la Cour de justice de l'UE annule l'accord de transfert des données personnelles entre l'UE et les USA,
une victoire pour les défenseurs des libertés
Maximillian Schrems, ressortissant autrichien résidant en Autriche, est un utilisateur de Facebook depuis 2008. Comme pour les autres utilisateurs résidant dans l’Union, les données à caractère personnel de Schrems sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant, en substance, à faire interdire ces transferts. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif notamment que la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015, la Cour de justice de l'UE, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide.
C'est ainsi qu'elle a décidé le 6 octobre 2015 d'annuler l'accord « Safe Harbor » qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis. Cet accord a été remplacé en 2016 par « Privacy Shield ».
Puis vient le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.
Maximillian Schrems décrie également le nouvel accord « Privacy Shield » et tente en 2018 un recours collectif au nom des consommateurs contre Facebook. Il indiquait alors que Facebook violait les lois sur la vie privée en transmettant certaines données aux services de renseignement américains.
La Cour estime, tout d’abord, que le droit de l’Union, et notamment le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné. Elle précise que ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du RGPD.
En ce qui concerne le niveau de protection requis dans le cadre d’un tel transfert, la Cour juge que les exigences prévues à cet effet par les dispositions du RGPD, qui ont trait à des garanties appropriées, des droits opposables et des voies de droit effectives, doivent être interprétées en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. Dans ce contexte, elle précise que l’évaluation de ce
niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.
La Cour de justice de l'UE a donc décidé d'annuler à son tour l'accord « Privacy Shield ». Ce dispositif est utilisé par la quasi-totalité des grandes entreprises américaines pour traiter les données personnelles (identité, comportement en ligne, géolocalisation…) de leurs utilisateurs européens. Très strictement réglementée en Europe, l’utilisation de ces données est moins encadrée aux États-Unis ; pour permettre aux entreprises américaines de les utiliser, le Privacy Shield prévoyait une dérogation, à condition qu’elles s’engagent à respecter certaines mesures.
Les clauses contractuelles restent valides
La cour a cependant confirmé la validité d’un autre mécanisme de transfert de données vers des sous-traitants établis dans des pays tiers, baptisé « clauses contractuelles types ». Ce mécanisme permet à des entreprises de se conformer à la loi européenne en s’engageant, individuellement, à respecter certaines précautions sur l’usage des données de leurs utilisateurs européens. La CJUE souligne cependant que les autorités de protection de la vie privée doivent suspendre ou interdire les transferts hors de l’UE si la protection des données ne peut être assurée.
La décision de la justice européenne ne concerne pas les transferts de données jugés « nécessaires » – par exemple le contenu d’un e-mail envoyé aux États-Unis. La Cour a par ailleurs, conformément aux conclusions de l’avocat général, validé une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données.
« Selon la Cour, la validité de cette décision n’est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, précise-t-elle, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. La Cour constate que la décision 2010/87 met en place de tels mécanismes. À cet égard, elle souligne, notamment, que cette décision instaure une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est
respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier ».
En clair, la CJUE invalide l’accord global que constituait le Privacy Shield, mais confirme que les entreprises peuvent se conformer à la loi européenne en s’engageant, individuellement, à respecter certaines précautions quant à l’usage des données de leurs utilisateurs européens.
Deux défaites en deux jours pour la Commission européenne
Le jugement de la CJUE constitue un nouveau camouflet pour Bruxelles après l’annulation mercredi par le Tribunal de l’Union européenne de la décision de la Commission européenne réclamant à Apple le versement de 13 milliards d’euros d’arriérés d’impôts à l’Irlande.
Margrethe Vestager, vice-présidente de la Commission européenne chargée de la politique de la concurrence, a concédé jeudi que les deux décisions rendues par la justice européenne constituaient « une défaite” : « La première chose que l'on fait lorsque l'on reçoit un jugement du tribunal est de le lire très, très attentivement. Et nous sommes toujours en train de le faire. Bien sûr, c'est une défaite, car c'est une annulation par le tribunal ».
Le commissaire européen à la Justice, Didier Reynders, a déclaré pour sa part que la Commission allait travailler sur une amélioration de la protection des données. « Nous étudierons attentivement le jugement et réfléchirons aux moyens opérationnels pour renforcer nos transferts de données », a-t-il déclaré dans un communiqué.
De son côté, Facebook a dit qu'il allait étudier les conséquences du jugement de la CJUE : « Comme de nombreuses entreprises, nous examinons attentivement les conclusions et les implications de la décision de la Cour de justice en ce qui concerne l'utilisation du bouclier de protection des données et nous attendons avec intérêt les directives réglementaires à cet égard », écrit Eva Nagle, l'avocate du groupe, dans un communiqué.
Dans un communiqué, la Business Software Alliance, qui rassemble de très grandes entreprises du numérique, s’est dite « soulagée de voir que les clauses standards contractuelles restent valides », évoquant un « dénouement positif », tout en regrettant que la décision « élimine l’un des rares moyens fiables de transférer des données de l’autre côté de l’Atlantique ». La Computer & Communications Industry Association (CCIA – « Association de l’industrie de l’informatique et des communications »), qui compte parmi ses membres Google, Samsung ou Amazon, a elle dit regretter « l’incertitude légale » créée par cette décision, et dit espérer que les « responsables politiques américains et européens trouveront rapidement une solution viable (…) pour assurer la continuité des flux d’informations qui sous-tendent l’économie numérique ».
Dans un communiqué du ministère du Commerce, les États-Unis se sont dits « profondément déçus » par la décision. Washington continuera à travailler avec la commission européenne, et étudie la décision de justice en détail pour en comprendre tous les effets concrets, a affirmé Wilbur Ross, le secrétaire américain au commerce. Nous « espérons pouvoir limiter les conséquences négatives pour la relation économique transatlantique qui pèse 7 100 milliards de dollars et qui est vitale pour nos citoyens, entreprises et gouvernements respectifs »,a ajouté Ross.
Maximillian Schrems quant à lui s'est félicité de cette décision : « À première vue, il semble que la cour nous a suivis sur tous les points. C’est un énorme coup porté à la commission de protection des données irlandaise et à Facebook. Il est clair que les États-Unis vont devoir sérieusement changer leurs lois sur la surveillance si leurs entreprises veulent continuer à jouer un rôle sur le marché européen. (…) La cour ne dit pas seulement à la commission de protection des données irlandaise de faire son travail après sept ans d’inaction, mais que ce type d’agence a un devoir d’action et ne peut pas se contenter de fermer les yeux. C’est un changement fondamental qui va bien plus loin que les transferts de données entre UE et États unis. Les autorités comme la commission de protection des données irlandaise ont sapé le succès du RGPD jusque-là. La cour dit clairement qu’elles doivent se mettre au travail et faire respecter la loi. »
Source : décision de la Cour de justice de l'UE, Max Schrems
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Joe Biden pave la voie du "Privacy Shield 2.0" avec un décret exécutif pour codifier l'organisation du transfert de données US-UE,
mais un défenseur de la vie privée en souligne déjà les limites
Plus de six mois après un « accord de principe » entre l'UE et les États-Unis, le président américain Joe Biden a signé le décret exécutif tant attendu qui vise à respecter les arrêts passés de la Cour européenne de justice (CJUE). Avec de décret, Joe Biden voudrait surmonter les limitations des transferts de données entre l'UE et les États-Unis.
Le décret est donc conçu pour codifier les accords que l'UE et l'Amérique ont conclus plus tôt cette année qui rétabliraient le Privacy Shield, bien que la version 2.0 de celui-ci. Il s'agit d'un framework qui définit comment, quand et quelles données des citoyens sont envoyées à l'étranger, entre l'Europe et l'Amérique.
Selon Joe Biden, ce décret renforce un ensemble « déjà rigoureux » de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement des États-Unis. Indirectement, le président américain évoque l’application de lois américaines, telles que le Cloud Act, qui permettent aux agences de renseignement de s’emparer et de consulter les données traitées ou hébergées par toutes les sociétés américaines.
Toutefois, selon un défenseur de la vie privée qui a rejeté les réglementations précédentes devant les tribunaux, ce décret exécutif signé par le président Biden pourrait ne pas répondre aux exigences de l'UE.
L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur dès le 1er août 2016.
Puis est venu le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.
Maximillian Schrems, ressortissant autrichien résidant en Autriche et défenseur des droits numériques, a lancé une plainte contre Facebook qui a conduit la Cour de Justice de l'Union européenne (CJUE) à annuler la validité de Privacy Shield, en partie parce que les citoyens de l'UE n'avaient pas de moyen de s'opposer à la collecte de leurs données par le gouvernement américain s'ils estimaient que leurs données avaient été collectées de manière inappropriée.
L'ordonnance de Biden vient résoudre ces problèmes en limitant la manière dont les renseignements électromagnétiques peuvent être recueillis par les agences d'espionnage américaines et en plaçant la collecte d'informations derrière plusieurs couches de conditions, notamment en veillant à ce que seules des données étroitement adaptées soient collectées.
Le nouveau framework met également en place un tribunal de révision de la protection des données composé d'employés non gouvernementaux pour entendre les cas des citoyens de l'UE, à condition que leurs plaintes soient d'abord transmises à l'équipe des libertés civiles du bureau du directeur du renseignement national pour examen.
La Maison-Blanche explique que :
« Les flux de données transatlantiques sont essentiels à la relation économique entre l’UE et les États-Unis, qui représente 7 100 milliards de dollars. Le Data Privacy Framework (DPF) UE-États-Unis rétablira une base juridique importante pour les flux de données transatlantiques en répondant aux préoccupations que la Cour de justice de l’Union européenne a soulevées en invalidant l’ancien framework du Privacy Shield UE-États-Unis en tant que mécanisme de transfert de données valide en vertu du droit communautaire.
« Le décret renforce un éventail déjà rigoureux de garanties en matière de confidentialité et de libertés civiles pour les activités de renseignement électromagnétique des États-Unis. Il crée également un mécanisme indépendant et contraignant permettant aux individus des États éligibles et des organisations d'intégration économique régionale, tels que désignés dans le cadre de l'E.O., de demander réparation s'ils pensent que leurs données personnelles ont été collectées par le biais du renseignement électromagnétique américain d'une manière qui viole la loi américaine applicable.
« Les grandes et petites entreprises américaines et européennes de tous les secteurs de l'économie s'appuient sur les flux de données transfrontaliers pour participer à l'économie numérique et élargir les opportunités économiques. L'UE-États-Unis. Le DPF représente l'aboutissement d'un effort conjoint des États-Unis et de la Commission européenne pour rétablir la confiance et la stabilité dans les flux de données transatlantiques et reflète la force de la relation entre l'UE et les États-Unis fondée sur nos valeurs communes ».
Les points centraux du décret
En particulier, le décret exécutif :
- ajoute des garanties supplémentaires pour les activités de renseignement électromagnétique des États-Unis, notamment en exigeant que ces activités soient menées uniquement dans la poursuite d'objectifs de sécurité nationale définis ; prend en considération la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence ; ces activités de renseignement sont menées uniquement lorsque cela est nécessaire pour faire avancer une priorité validée en matière de renseignement et uniquement dans la mesure et d'une manière proportionnées à cette priorité ;
- mandate les exigences de traitement des informations personnelles collectées dans le cadre des activités de renseignement électromagnétique et étend les responsabilités des responsables juridiques, de la surveillance et de la conformité pour garantir que des mesures appropriées sont prises pour remédier aux incidents de non-conformité ;
- exige que les éléments de la communauté du renseignement des États-Unis mettent à jour leurs politiques et procédures afin de refléter les nouvelles garanties de confidentialité et de libertés civiles contenues dans l'E.O ;
- crée un mécanisme à plusieurs niveaux pour les individus des États éligibles et des organisations d'intégration économique régionale, tels que désignés conformément à l'E.O., pour obtenir un examen indépendant et contraignant et une réparation des réclamations selon lesquelles leurs informations personnelles collectées via le renseignement électromagnétique américain ont été collectées ou traitées par les États-Unis États en violation de la loi américaine applicable, y compris les garanties renforcées de l'E.O ;
- demande au Conseil de surveillance de la vie privée et des libertés civiles d'examiner les politiques et procédures de la communauté du renseignement pour s'assurer qu'elles sont conformes au décret et de procéder à un examen annuel du processus de recours, notamment pour vérifier si la communauté du renseignement s'est pleinement conformée aux décisions prises par le CLPO et le DPRC.
Des limites déjà soulignées
Cela dit, Schrems estime que le décret de Biden est peu susceptible de satisfaire au droit de l'UE, et il devrait le savoir – il a déjà mis fin aux versions précédentes. Selon Schrems, bien que certains termes aient pu changer dans le nouvel accord, l'UE et les États-Unis ne semblent toujours pas définir certains termes, tels que « proportionné », de la même manière.
« En fin de compte, la définition de la CJUE prévaudra, tuant probablement à nouveau toute décision de l'UE. La Commission européenne ferme à nouveau les yeux sur la législation américaine, pour permettre la poursuite de l'espionnage des Européens », a regretté Schrems.
NOYB, l'organisation de protection de la vie privée de Schrems, a déclaré dans sa réponse à l'EO de Biden que la Cour de révision de la protection des données n'était pas un véritable tribunal tel que défini légalement par la loi américaine, et a critiqué le nombre de recours pour les citoyens de l'UE, affirmant qu'il n'y avait aucune garantie supplémentaire qu'ils seraient entendus au-delà des frameworks précédents.
Et Schrems de déclarer : « Il est étonnant que l'UE et les États-Unis conviennent que les écoutes téléphoniques nécessitent une cause probable et une approbation judiciaire. Cependant, les États-Unis estiment que les étrangers n'ont pas le droit à la vie privée. Je doute que les États-Unis aient un avenir en tant que fournisseur de cloud dans le monde, si les personnes non américaines n'ont aucun droit en vertu de leurs lois. Il est contradictoire pour moi que la Commission européenne travaille sur un accord qui accepte que les Européens soient des citoyens de "seconde classe" et ne méritent pas les mêmes droits à la vie privée que les citoyens américains ».Envoyé par NYOB
« À première vue, il semble que les problèmes fondamentaux n'aient pas été résolus et cela reviendra tôt ou tard devant la CJUE , a déclaré Schrems.Envoyé par NYOB
Le Royaume-Uni et les États-Unis sont parvenus à un accord de partage de données la semaine dernière.
Sources : Maison-Blanche, NYOB
Et vous ?
Que pensez-vous des propositions de Joe Biden pour rétablir les échanges US-UE ?
Quelle lecture faites-vous des limites relevées par NYOB ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Partager