Privacy Shield : inquiétudes sur la protection de la vie privée des étrangers

Quel niveau de confidentialité le gouvernement américain promet-il aux étrangers ? Moins aujourd’hui qu’auparavant, maintenant que Donald Trump a pris le pouvoir. La section 14 du nouvel Ordre Exécutif de Trump : Enhancing Public Safety in the Interior of the United States, exige que les agences fédérales, “dans la limite de la loi applicable”, “veillent à ce que leurs politiques de protection de la vie privée excluent, les personnes qui ne sont pas citoyens américains ou résidents permanents légitimes, des protections offertes par le Privacy Act, concernant les renseignements personnellement identifiables”.

L’ordre exécutif de Trump vise à renforcer l’application des lois sur l’immigration, mais rien dans la section 14 ne semble limiter son utilisation aux individus qui tentent d’entrer aux États-Unis : il peut facilement se référer à toutes les données personnellement identifiables sur lesquelles le gouvernement américain peut mettre la main, excluant les données concernant les citoyens et les résidents permanents légitimes.

Ainsi, quand l’ordre a été publié pour la première fois, la première réaction d’Edward Snowden était que Trump était en train de “suspendre le cadre juridique permettant l’accord de partage de données entre US-UE (#PrivacyShield)”.

L’eurodéputé vert allemand Jan Philipp Albrecht a rapidement répondu : “Si c’est le cas, @EU_Commission doit immédiatement suspendre #PrivacyShield et sanctionner les États-Unis pour avoir violé l’accord-cadre UE-US”. Les protestations sont rapidement apparues au sein des communautés de la protection de la confidentialité en entreprise et des affaires internationales.

Quatre jours plus tard, cependant, l’histoire semble un peu plus nuancée … peut-être.

Rappelez-vous ce qu’est le Privacy Shield : un accord récemment négocié entre les États-Unis et l’UE (et séparément avec la Suisse) pour “fournir aux entreprises des deux côtés de l’Atlantique un mécanisme pour se conformer aux exigences de protection des données lors du transfert de données personnelles … vers les États-Unis, et en support au commerce transatlantique”. Comme l’écrit TechCrunch, le Privacy Shield a promis de donner aux Européens une protection de la vie privée “essentiellement équivalente”, que leurs données soient stockées dans l’UE ou aux États-Unis.

Le Privacy Shield est devenu nécessaire après que la Cour de justice de l’UE ait statué que les anciennes règles du “Safe Harbor” ne protégeaient pas de manière appropriée la vie privée des résidents de l’UE. Le tribunal a déclaré, entre autres, que :

… les exigences en matière de sécurité nationale, d’intérêt public et d’application de la loi aux États-Unis l’emportaient sur le schéma proposé par “Safe Harbour”, de sorte que les États-Unis ne sont plus tenus de respecter leurs engagements, et ce sans limite, vis à vis des règles de protection prévues par Safe Harbour dans le cas de conflits avec les exigences mentionnées.

Étant donné le langage de la cour, les défenseurs de la protection de la vie privée ont, sans surprise, exprimé leurs inquiétudes concernant le nouvel ordre exécutif et le fait qu’il pourrait rendre le Privacy Shield caduque. Mais un examen plus approfondi suggère que ce n’est pas le cas, du moins pas encore. Comme l’a rapporté PC World, un porte-parole de la Commission Européenne a souligné que dans le cadre de l’accord, le Congrès des États-Unis avait adopté “l’US Judicial Redress Act, qui étend les avantages de l’US Privacy Act aux Européens, en leur donnant l’accès aux tribunaux américains”. Cette loi, affirme que la Commission Européenne, travaille encore à protéger les données des Européens lorsque ces dernières séjournent aux États-Unis.

Juste avant que l’administration Obama ne parte, son ministère de la Justice avait annoncé de nouvelles réglementations qui permettraient la mise en application du Judicial Redress Act, en étendant les protections offertes par le Privacy Act aux 26 pays européens. Ces règles doivent entrer en vigueur le 1er février. Personne n’a démenti cette information (pas encore !).

Vous voulez aller encore plus loin sur ce sujet ? Consultez sur Lawfare les discussions/débats en cours sur le sens plutôt ambigu de l’ordre exécutif de Trump.

Prêt à présent à prendre un peu de hauteur ? Voici quelques éléments :

• Le Privacy Shield se focalise sur les transferts de données entre l’UE et les États-Unis, mais ne protège pas la mine d’or que représente l’ensemble des données présentes dans le monde, et qui sont potentiellement “surveillables”.
• Comme Snowden l’a tweeté, en réponse à une question de Forbes, “la protection des données EU-US dépasse le cadre du Privacy Shield … Le problème est la collecte massive combinée avec le manque de règlementations”.
• Le Privacy Shield est confronté à ses propres problèmes juridiques liés à la protection de la vie privée au Royaume-Uni. Jusqu’à tout récemment, selon le TechCrunch, la Commission Européene s’est “déclarée satisfaite des garanties données par l’administration Obama”. Si ces “garanties” deviennet à présent inopérantes, le Privacy Shield devient difficile à défendre pour les autorités de l’UE.
• Outre l’US Privacy Act, d’autres réglementations américaines concernent la confidentialité des données des étrangers (par exemple, le PPD-28 d’Obama établissant des principes pour équilibrer la collecte des données sur la vie privée des non-citoyens). Le nouvel ordre de Trump aura-t-il des répercussions à ce niveau ? Personne ne peut le dire pour l’instant !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Trump’s immigration move sparks fears for Privacy Shield protection, par Bill Camarda, Sophos NakedSecurity.