IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Joe Biden pave la voie du "Privacy Shield 2.0" avec un décret exécutif pour codifier l'organisation du transfert de données US-UE
Mais un défenseur de la vie privée en souligne déjà les limites

Le , par Stéphane le calme
80 commentaires

140PARTAGES

6  0 
Plus de six mois après un « accord de principe » entre l'UE et les États-Unis, le président américain Joe Biden a signé le décret exécutif tant attendu qui vise à respecter les arrêts passés de la Cour européenne de justice (CJUE). Avec de décret, Joe Biden voudrait surmonter les limitations des transferts de données entre l'UE et les États-Unis.

Le décret est donc conçu pour codifier les accords que l'UE et l'Amérique ont conclus plus tôt cette année qui rétabliraient le Privacy Shield, bien que la version 2.0 de celui-ci. Il s'agit d'un framework qui définit comment, quand et quelles données des citoyens sont envoyées à l'étranger, entre l'Europe et l'Amérique.

Selon Joe Biden, ce décret renforce un ensemble « déjà rigoureux » de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement des États-Unis. Indirectement, le président américain évoque l’application de lois américaines, telles que le Cloud Act, qui permettent aux agences de renseignement de s’emparer et de consulter les données traitées ou hébergées par toutes les sociétés américaines.

Toutefois, selon un défenseur de la vie privée qui a rejeté les réglementations précédentes devant les tribunaux, ce décret exécutif signé par le président Biden pourrait ne pas répondre aux exigences de l'UE.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur dès le 1er août 2016.

Puis est venu le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.

Maximillian Schrems, ressortissant autrichien résidant en Autriche et défenseur des droits numériques, a lancé une plainte contre Facebook qui a conduit la Cour de Justice de l'Union européenne (CJUE) à annuler la validité de Privacy Shield, en partie parce que les citoyens de l'UE n'avaient pas de moyen de s'opposer à la collecte de leurs données par le gouvernement américain s'ils estimaient que leurs données avaient été collectées de manière inappropriée.

L'ordonnance de Biden vient résoudre ces problèmes en limitant la manière dont les renseignements électromagnétiques peuvent être recueillis par les agences d'espionnage américaines et en plaçant la collecte d'informations derrière plusieurs couches de conditions, notamment en veillant à ce que seules des données étroitement adaptées soient collectées.

Le nouveau framework met également en place un tribunal de révision de la protection des données composé d'employés non gouvernementaux pour entendre les cas des citoyens de l'UE, à condition que leurs plaintes soient d'abord transmises à l'équipe des libertés civiles du bureau du directeur du renseignement national pour examen.

La Maison-Blanche explique que :

« Les flux de données transatlantiques sont essentiels à la relation économique entre l’UE et les États-Unis, qui représente 7 100 milliards de dollars. Le Data Privacy Framework (DPF) UE-États-Unis rétablira une base juridique importante pour les flux de données transatlantiques en répondant aux préoccupations que la Cour de justice de l’Union européenne a soulevées en invalidant l’ancien framework du Privacy Shield UE-États-Unis en tant que mécanisme de transfert de données valide en vertu du droit communautaire.

« Le décret renforce un éventail déjà rigoureux de garanties en matière de confidentialité et de libertés civiles pour les activités de renseignement électromagnétique des États-Unis. Il crée également un mécanisme indépendant et contraignant permettant aux individus des États éligibles et des organisations d'intégration économique régionale, tels que désignés dans le cadre de l'E.O., de demander réparation s'ils pensent que leurs données personnelles ont été collectées par le biais du renseignement électromagnétique américain d'une manière qui viole la loi américaine applicable.

« Les grandes et petites entreprises américaines et européennes de tous les secteurs de l'économie s'appuient sur les flux de données transfrontaliers pour participer à l'économie numérique et élargir les opportunités économiques. L'UE-États-Unis. Le DPF représente l'aboutissement d'un effort conjoint des États-Unis et de la Commission européenne pour rétablir la confiance et la stabilité dans les flux de données transatlantiques et reflète la force de la relation entre l'UE et les États-Unis fondée sur nos valeurs communes ».


Les points centraux du décret

En particulier, le décret exécutif :
  • ajoute des garanties supplémentaires pour les activités de renseignement électromagnétique des États-Unis, notamment en exigeant que ces activités soient menées uniquement dans la poursuite d'objectifs de sécurité nationale définis ; prend en considération la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence ; ces activités de renseignement sont menées uniquement lorsque cela est nécessaire pour faire avancer une priorité validée en matière de renseignement et uniquement dans la mesure et d'une manière proportionnées à cette priorité ;
  • mandate les exigences de traitement des informations personnelles collectées dans le cadre des activités de renseignement électromagnétique et étend les responsabilités des responsables juridiques, de la surveillance et de la conformité pour garantir que des mesures appropriées sont prises pour remédier aux incidents de non-conformité ;
  • exige que les éléments de la communauté du renseignement des États-Unis mettent à jour leurs politiques et procédures afin de refléter les nouvelles garanties de confidentialité et de libertés civiles contenues dans l'E.O ;
  • crée un mécanisme à plusieurs niveaux pour les individus des États éligibles et des organisations d'intégration économique régionale, tels que désignés conformément à l'E.O., pour obtenir un examen indépendant et contraignant et une réparation des réclamations selon lesquelles leurs informations personnelles collectées via le renseignement électromagnétique américain ont été collectées ou traitées par les États-Unis États en violation de la loi américaine applicable, y compris les garanties renforcées de l'E.O ;
  • demande au Conseil de surveillance de la vie privée et des libertés civiles d'examiner les politiques et procédures de la communauté du renseignement pour s'assurer qu'elles sont conformes au décret et de procéder à un examen annuel du processus de recours, notamment pour vérifier si la communauté du renseignement s'est pleinement conformée aux décisions prises par le CLPO et le DPRC.


Des limites déjà soulignées

Cela dit, Schrems estime que le décret de Biden est peu susceptible de satisfaire au droit de l'UE, et il devrait le savoir – il a déjà mis fin aux versions précédentes. Selon Schrems, bien que certains termes aient pu changer dans le nouvel accord, l'UE et les États-Unis ne semblent toujours pas définir certains termes, tels que « proportionné », de la même manière.

« En fin de compte, la définition de la CJUE prévaudra, tuant probablement à nouveau toute décision de l'UE. La Commission européenne ferme à nouveau les yeux sur la législation américaine, pour permettre la poursuite de l'espionnage des Européens », a regretté Schrems.

NOYB, l'organisation de protection de la vie privée de Schrems, a déclaré dans sa réponse à l'EO de Biden que la Cour de révision de la protection des données n'était pas un véritable tribunal tel que défini légalement par la loi américaine, et a critiqué le nombre de recours pour les citoyens de l'UE, affirmant qu'il n'y avait aucune...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

80 commentaires
Commenter Signaler un problème
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 01/04/2025 à 8:42
On gagnerait à héberger nos données en Europe :
- plus touché par le cloud act
- arrêter de donner de l'argent à Jeff BESOS sur son AWS ou GCP ou Azure
- il n'y a pas encore eu de coupure de câble sous-marin mais si ça arrive on aura que nos yeux pour pleurer... Exemple dans un hôpital : Bonjour, je viens pour mon opération... bah non ce n'est pas possible car on ne peut pas accéder à votre dossier car elles sont hébergées aux USA, reprenez RDV dans 1 an si vous n'êtes pas mort. Ou alors dans le même contexte devoir refaire tous les examens à nos frais probablement.
- réduire la surface espionnable
10  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 11/07/2023 à 9:31
Et ben voilà... Comme d'habitude... Les européens montrent les muscles pour au final baisser leur froc face aux américains!

Prochaine étape?

Les américains vont exiger le remboursement avec dommages et intérêts de toutes les amendes que l'UE a facturé aux GAFAM américaines ces dernières années

Si certains en doutaient encore, on voit qui sont les maîtres du monde et qui sont les cocus de l'histoire
5  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 11/07/2023 à 21:41
Si c'est la Commission qui vient de décider ça, c'est politique. Faut dire qu'avec cette guerre en Europe qui se déroule avec le plus grand intérêt des USA, l'Europe est sous leur tutelle militaire, énergétique , donc sous tutelle tout court.

C'est quand même génial, la Commission obtient le transfert de nos données au profit des USA, contre un accord non-contraignant de ne pas fouiller dedans (si c'est ni auditable ni punissable, c'est facultatif) . La seule excuse de nos dirigeants, c'est d'être corrompus pour passer des accords pareils.

Citation Envoyé par Jon Shannow Voir le message
Bof ! De toutes façons, se faire espionner par les USA ou l'UE, ça change quoi ?
certains disent que la guerre économique n'existe pas.

  • Les USA ont recours au renseignement pour fouiller dans toute société étrangère en concurrence avec une société américaine pour les contrats au-dessus d'une certaine somme. La société américaine peut alors récupérer le détails des négociations, les secrets industriels, les contacts, et faire une offre un peu meilleure juste ce qu'il faut.
  • Si ça ne suffit pas, la société étrangère peut être poursuivie dans le droit américain (bien que non américaine) et amenée à payer une amende si un jour elle a dérogé à une loi américaine, surtout dans un pays non-américain (ex les 9 G€ payés par la BNP aux USA pour avoir commercé avec les Iraniens de mémoire).
  • Si ça ne suffit pas, les USA peuvent capturer dans un pays allié les dirigeants de la dite entreprise, les mettre dans une prison au secret, les garder longtemps sans les mettre en inculpation, en échange de la capitulation de la dite société (ex d'un dirigeant d'Alstom -Pierucci - avant son démantèlement au profit de GE avec l'aide active de Macron-l'Américain en passant, ou des dirigeants de Siemens)
5  0 
pierre-y
Avatar de pierre-y
Membre chevronné https://www.developpez.com
Le 12/07/2023 à 13:58
Quel farce et en plus c'est van der Layen qui a signé le papier. Et le pire c'est que ça ne fait même pas une ligne dans les journaux.
4  0 
virginieh
Avatar de virginieh
Membre expérimenté https://www.developpez.com
Le 12/07/2023 à 7:40
Citation Envoyé par Fagus Voir le message

certains disent que la guerre économique n'existe pas. [...]
Comme tu le démontre il n'y a pas de guerre, pour qu'il y en ai une il faudrait une opposition.
C'est juste une domination acceptée par les autres pays (et en premier lieu l'Europe)
3  0 
defZero
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/10/2022 à 23:29
Ah, c'est assez simple en fait, technologiquement parlant, nous avons besoin d'eux, alors qu'eux n'ont pas besoin de nous.
Tant que nous ne pourrons pas changer cet état de fait, il sera impossible d'imposer quoi que ce soit au ricain.
Honnêtement avec des "allier" comme ça, on a pas vraiment besoin d'ennemies .
3  1 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 11/07/2023 à 10:11
...notamment en limitant l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné, et en instituant une Cour chargée du contrôle de la protection des données (Data Protection Review Court - DPRC), à laquelle les citoyens de l'Union auront accès.
Ce qui est nécessaire et proportionné implique-t-il l'accès par le FBI en toute illégalité comme on a pu le voir ces dernières années ? Ensuite la DPRC accessible par les européens d'accord mais dans quelles conditions ? A mon avis, seul un avocat comme Max Schrems pourra avoir des voies de recours et invalider cet accord inique encore une fois et qui nous vassalise.
Personnellement, cela ne change rien vis-à-vis des NSA CIA puisque le cloud act permet de fouiller dans les données quel que soit leur emplacement à partir du moment où on a à faire avec une entreprise américaine.

Un élément essentiel du cadre juridique américain consacrant ces garanties est le décret américain sur le renforcement des garanties applicables aux activités de renseignement d'origine électromagnétique menées par les États-Unis (Enhancing Safeguards for United States Signals Intelligence Activities), qui répond aux préoccupations exprimées par la Cour de justice de l'Union européenne dans sa décision Schrems II de juillet 2020.
A partir du moment où un tribunal secret a tout pouvoir sur les données et a autorité suprême dessus, il s'agit de cosmétique puisque ce tribunal ne respecte même pas sa Constitution.
2  0 
yoyo3d
Avatar de yoyo3d
Membre éprouvé https://www.developpez.com
Le 11/07/2023 à 16:38
Pas vraiment une surprise, ils officialisent simplement une pratique douteuse fonctionnant depuis plusieurs années (décennies?)
2  0 
behel
Avatar de behel
Membre du Club https://www.developpez.com
Le 11/07/2023 à 10:13
Les grands gagnants sont les sociétés américaines qui absorbent déjà nos données et qui vont pouvoir continuer et faire du business dessus.
Ce qui va empêcher société européenne de grandir car les société américaine peuvent se permettre de faire du gratuit pour casser la concurrence où payer des amendes
2  1 
Christophe
Avatar de Christophe
Responsable Systèmes https://www.developpez.com
Le 02/04/2025 à 20:52
il n'y a pas encore eu de coupure de câble sous-marin mais si ça arrive on aura que nos yeux pour pleurer
Avec les services cloud, il est en général possible de choisir une région, et donc héberger les données en Europe.

Mais pour le reste, tu as tout à fait raison.
0  0 
Commenter Signaler un problème