Actualité de la protection des données

De nombreux développement dans l’actualité de la protection des données en Europe et aux Etats-Unis. Une actualité marquée par de nombreux chantiers législatifs alors que la mise en oeuvre de ces législations vis à vis d’un monde numérique en pleine évolution se pose de plus en plus. Privacy Shield

Suite à l’adoption définitive du Privacy Shield le 12 juillet dernier, le secrétaire d’Etat américain au Commerce, Penny Pritzker a mis en place le 1er août le mécanisme d’auto-certification pour les entreprises américaines participant à ce programme. 200 sociétés selon les derniers chiffres disponibles y participeraient d’ores et déjà, dont Microsoft, Salesforce ou encore Google, cet engouement montrant la nécessité d’un cadre juridique sécurisé pour les transferts de données entre l’Union européenne et les Etats-Unis.

Des réserves demeurent toujours : certaines d’entre elles ont été exprimées par le G29 -qui regroupe les autorités de protection des données européennes- dans son avis du 29 juillet dernier[1]. Ce comité a souligné ses préoccupations quant au manque de garanties précises concernant l’accès des autorités publiques aux données transférées aux Etats-Unis. Le G29 a d’ores et déjà pris date pour la première évaluation annuelle conjointe du Privacy Shield et souligné qu’il se pencherait alors sur l’effectivité ou non des garanties mises en place.

L’adoption du Privacy Shield n’est qu’une étape. Si sa mise en place implique un suivi attentif, sa portée à moyen et long terme reste encore sujette à caution. Rappelons aussi que le Congrès américain s’est inquiété de la remise à cause à terme par la Cour de Justice de l’Union européenne d’accords visant d’autres flux de données transatlantiques (transport aérien par exemple).

Révision de la directive vie privée : le chantier se poursuit

La Commission européenne avait indiqué quels objectifs elle poursuivait avec la révision de la directive privée[2] (assurer la cohérence avec le règlement protection des données, moderniser les dispositions de la directive au vu des innovations technologiques, renforcer la sécurité et la confidentialité des communications en Europe). Elle a organisé une consultation publique qui s’est terminée le 5 juillet dernier, en complément des travaux menés avec les parties prenantes sur le sujet.

Le G29 a rendu le 19 juillet dernier son avis sur ce chantier[3] en soulignant que :

  • Des règles européennes spécifiques pour les communications électroniques devaient être conservées ;

  • Un haut niveau de protection des données personnelles devait être assuré, grâce à la cohérence entre la future directive et le règlement protection des données ;

  • Le champ d’application de la directive devait être précisé, au regard notamment de ses définitions et des catégories de services visées ;

  • La protection de la confidentialité des communications électroniques ou des services fonctionnant de façon équivalente restait un objectif essentiel (à articuler avec les impératifs de conservation des données) : à cet égard le G29 appelait à réécrire l’article 5§3 (confidentialité des communications) ;

  • Les dispositions sur les failles de sécurité devaient être supprimées, afin d’éviter les doublons avec le règlement protection des données.

Cet avis devra être apprécié à la lumière des autres avis publiés et notamment du contrôleur européen à la protection des données[4] qui milite aussi en faveur d’une clarification du cadre juridique au regard de la charte des droits fondamentaux, de l’extension du champ de la directive vie privée et d’une plus grande protection de la confidentialité des communications.

Le règlement protection des données constitue d’ores et déjà une ligne de négociation difficile à contourner par les opérateurs du secteur. Par ailleurs, si la transformation de la directive 95/46 en règlement a rebattu les cartes du principe de son articulation avec la directive vie privée, reste à en décliner les modalités concrètes sur de nombreux points (failles de sécurité, limitations etc.). Ce qui sera particulièrement délicat.

Politique de confidentialité

A noter par ailleurs, les préoccupations exprimées par les régulateurs européens au sujet des nouvelles conditions d’utilisation de Whatsapp et des changements en terme de politique de confidentialité. Le bureau britannique en charge de la protection de la vie privée (ICO) a annoncé avoir ouvert une enquête le 26 août, en l’absence de précision de la part de l’entreprise sur l’étendue du partage de données. La CNIL pour le G29 a aussi noté ses préoccupations.

Ce dossier devra être suivi de près dans les mois qui viennent car il montre que les changements de règles de confidentialité ou de partage des données apparaissent de plus en plus comme des outils à manier avec précaution. A défaut, les conséquences en termes d’image ou de réputation peuvent être pénalisantes.

A suivre : une décision de la Cour d’appel de Manhattan[5] du 14 juillet dernier a estimé que Microsoft n’avait pas à transmettre aux autorités américaines, dans le cadre d’une procédure judiciaire, le contenu des e-mails d’un de ses clients dont les données étaient exclusivement stockées dans des serveurs étrangers, en l’espèce en Irlande. La question posée devrait pousser le Congrès américain à légiférer pour préciser quel niveau de protection doit être apporté en matière de respect de la vie privée, y compris en modernisant des législations estimées par certains observateurs comme obsolètes. Il appartiendra aussi au Congrès de se pencher sur l’application extra-territoriale de ces dispositions, au vu des prises de position de la Cour suprême américaine et des mutations technologiques récentes (cloud computing notamment). Cette décision qui recoupe de très nombreuses problématiques liées à l’économie digitale aux Etats-Unis mais aussi en Europe devrait cependant continuer à faire couler beaucoup d’encre.

 

[1] Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield en date du 29 juillet 2016 https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield

[2] https://ec.europa.eu/digital-single-market/en/news/eprivacy-directive-commission-launches-public-consultation-kick-start-review

[3] Opinion 03/2016 du 19 juillet 2019 on the evaluation and review of the ePrivacy Directive (2002/58/EC)

[4] Opinion 5/2016 – preliminary EDPS Opinion on the revision of the E-Privacy directive https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf

[5] https://www.justsecurity.org/wp-content/uploads/2016/07/Microsoft-Ireland-2d-Cir-Opinion-20160714.pdf