Quid de la protection de nos données à caractère personnel ?

Le transfert de données à caractère personnel est un domaine complexe et particulier, mais également très contemporain, puisqu’il s’agit d’un enjeu majeur à l’heure actuelle. Il est réglementé dans l’Union Européenne par la directive 95/46/CE, relative à la protection des données à caractère personnel, ou données personnelles.

Ces transferts ne peuvent pourtant pas être effectués en dehors de l’Union aussi « simplement » que ceux ayant lieu dans l’Union. En effet, la directive prévoit qu’ils « sont interdits à moins que le pays ou le destinataire n’assure un niveau de protection suffisant ».  Ainsi, des transferts vont être permis avec des pays considérés « adéquats », comme la Suisse, l’Argentine, le Canada…

Cependant, concernant les Etats-Unis, cette directive a permis la création d’un système de protection des données personnelles par une décision de la Commission Européenne 2000/5290/EC : le Safe Harbor. Ce système se traduit en un certain nombre de principes mis en avant par la directive 95/46/CE, comme l’information des personnes, la sécurité ou encore le droit d’accès et de rectification des données. Ces principes, une fois appliqués, vont permettre de considérer qu’un niveau de protection suffisant est assuré.

Une décision du 6 octobre 2015 est venu bouleverser le système en place depuis 2001. En l’espèce, Maximilien Shrems, ressortissant autrichien et utilisateur de Facebook (encore lui !) depuis 2008 a porté plainte contre l’autorité irlandaise de protection des données à caractère personnel, car il considérait que, compte tenu de la gravité des révélations de l’affaire Snowden de 2013 et la surveillance massive pratiquée par la NSA , « la législation et les pratiques américaines n’offraient pas une protection suffisante face à la surveillance par les autorités publiques américaines des données exportées depuis l’UE ».

L’affaire a été saisie par la Haute Cour de Justice Irlandaise (« Irish High Court ») qui a ensuite posée une question préjudicielle à la Cour de Justice de l’Union Européenne : une autorité de protection des données est-elle liée par une décision de la Commission Européenne ou peut-elle agir en toute indépendance ?

Après examen de la décision 2000/520/EC, la CJUE s’est en effet rendue compte de la faiblesse du Safe Harbor, de la surveillance massive des données, et a donc procédé à son invalidation. Ce fut un coup dur pour la protection des données à caractère personnel : des milliers de transferts ont lieu chaque année grâce à ces principes, et ils sont à la base des transferts entre Union Européenne et Etats-Unis. En invalidant ce système, la CJUE a laissé un vide, que les autorités compétentes ont dû combler de toute urgence.

C’est ainsi qu’est né le Privacy Shield.

Le département du Commerce des Etats-Unis, la Commission Européenne et l’Administration Suisse se sont concertés et ont permis la mise en place du système du Privacy Shield (ou « bouclier de sécurité des données »). Il est entré en vigueur au 1er aout 2016. Fonctionnant comme le Safe Harbor, ce système fonctionne par l’enregistrement des entreprises sur un registre et un encadrement des transferts de données par des garanties juridiques.

Cependant, ce Privacy Shield n’est toujours pas une garantie optimale des transferts de données à caractère personnel : ce ne sont que des principes mis en place par les entreprises volontaires pour garantir une protection, avec un contrôle des autorités compétentes.

Mais cette « saga » de protection des transferts de données personnelles ne semble pas encore terminée. En effet, les CNIL européennes et ce fameux M. Shrems remettent déjà ce système en question… Il est vrai qu’ayant été construit en toute urgence après l’invalidation du Safe Harbor par la CJUE, des failles commencent dès aujourd’hui à transparaitre. Beaucoup disent d’ailleurs qu’une décision de la CJUE risque de tomber à tout moment pour invalider ce nouveau système, moins d’un an après son apparition.

Pour la protection des transferts de données à caractère personnel, et pour prévoir toute invalidation du Privacy Shield, il serait donc préférable de se replier sur les BCR, ou encore les Clauses types de la Commission Européenne, qui semblent faire leur preuve depuis leur mise en place.

A l’heure où les internautes prennent vraiment conscience de la valeur de leurs données personnelles, la protection de ces dernières reste un enjeu crucial, se reposant sur des bases inlassablement fragiles.

                                                                      Lolita Huber-Froment

1ère année Master IP/IT


Sources :

MasterIPIT

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *