Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Data Protection : une révolution copernicienne est en marche

février 2016 par Yves Reding – CEO EBRC (European Business Reliance Centre)

La maîtrise de l’information constitue un enjeu stratégique majeur pour l’Union européenne, tant en termes économiques qu’en termes de valeurs. L’Europe reprend enfin la main et montre la voie.

L’invalidation de « Safe Harbor », l’accord décisif obtenu fin 2015 par la Présidence luxembourgeoise sur le futur règlement général de la protection des données ainsi que l’accord sur les fondations d’un « Safe Harbor 2 », le « EU-US Privacy Shield », annoncé ce 2 février 2016 pourraient constituer un véritable « Game Changer ».

2016 sera une année décisive en matière de Data Protection.

2016 : Une étape charnière

Ce 28 janvier 2016 s’est tenue la 10ème journée de la protection des données, instaurée par le Conseil de l’Europe afin de sensibiliser les citoyens européens sur l’importance de la protection des données personnelles.. Il y aura probablement un avant et un après ce 28 janvier 2016. Plusieurs décisions clefs sont attendues dans les prochaines semaines. Les initiatives européennes en matière de Data Protection amorcent une véritable révolution qui aura un impact majeur sur le traitement des données à caractère personnel, non seulement sur un plan européen mais également au niveau mondial. L’Europe montre l’exemple et est à la pointe.

Invalidation de Safe Harbor : un « tsunami juridique »

Le transfert des données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection adéquat de ces données personnelles. Suite à différentes actions en justice menées par Max Schrems, un citoyen autrichien, contre Facebook, la Cour de Justice de l’Union européenne a invalidé le 6 octobre 2015, le cadre de transfert des données personnelles de l’Union Européenne vers les Etats-Unis : « Safe Harbor » (sphère sécurité).
Ce cadre avait été jugé adéquat il y a quinze années par l’Union Européenne. Entre-temps, beaucoup d’eau a coulé sous les ponts : digitalisation exponentielle avec le développement des réseaux sociaux, des services cloud, de la sophistication des algorithmes de recherche, sans compter les programmes de surveillance de masse américains et britanniques révélés par Edward Snowden en 2013.

Le 6 octobre 2015, « Safe Harbor » a été considéré comme « portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». Depuis lors, l’accord « Safe Harbor » ne constitue donc plus une présomption irréfragable de légalité. Cette invalidation du cadre « Safe Harbor » constitue un véritable « tsunami juridique » et représente une décision clef pour la Protection des données.
Plus de 4.500 entreprises, dont Facebook, Google, Amazon, Microsoft, … qui stockent les données des utilisateurs européens dans des serveurs situés aux Etats-Unis seraient depuis lors dans l’illégalité. Ces entreprises ont dû revoir leurs conditions de transfert des données à caractère personnel de citoyens de l’Union européenne vers les Etats-Unis. Pour se mettre en règle, elles peuvent faire appel à d’autres types d’exceptions prévues, tel que les « clauses contractuelles type » ou les « Binding Corporate Rules » (codes de conduite internes) pour les transferts au sein d’un même groupe, revoir leur organisation, le rapatriement des données vers des Data Centres en Europe, etc …

31 janvier 2016 : Echéance de l’ultimatum du G29

Face à ce tsunami juridique qui a créé un véritable vide juridique, les autorités nationales de protection de la vie privéedes données ont hérité d’une responsabilité accrue. Après l’invalidation du cadre « Safe Harbor », le G29, le groupe des autorités de protection des données de la vie privée de l’Union Européenne, a donné trois mois aux autorités européennes et américaines pour négocier un nouveau cadre « Safe Harbor », dans le respect des droits fondamentaux. La data butoir était donc ce 31 janvier 2016.
Le G29, qui se réunit les 2 et 3 février 2016 devrait, en outre, examiner les répercussions de l’arrêt de la Cour de Justice sur les autres exceptions prévues, tel les « clauses contractuelles type » et les « Binding Corporate Rules ». En effet, ces instruments ne semblent pas de nature à faire obstacle à la surveillance massive des autorités américaines.

Les autorités nationales vont-elles franchir ce pas supplémentaire ?

Par ailleurs, l’état de grâce de trois mois étant écoulé, les autorités nationales de protection devaient statuer sur le fait de poursuivre les entreprises qui ne se sont pas encore mis en ordre.

Safe Harbor 2 : les intenses négociations de ces 3 derniers mois

Pour répondre à l’ultimatum lancé par le G29, la Commission Européenne et les autorités américaines ont accéléré leurs négociations depuis trois mois sur le nouveau cadre « Safe Harbor 2 ». Jusqu’à ce 1er février 2016, il semblait difficile qu’un « Safe Harbor 2 » solide d’un point de vue juridique voie le jour. Plusieurs points de blocage majeurs étaient identifiés. Tout d’abord, l’Union européenne exige que les Etats-Unis autorisent le recours en Justice devant les tribunaux américains pour tout citoyen européen dont les données personnelles seraient exploitées de manière abusive. Si un projet de loi spéciale « Judicial Redress Act » a bien été voté à la Chambre des Représentants US, le vote au Sénat prévu pour le 20 janvier 2016 avait été annulé sans raisons. Cette annulation bloquait du même coup le vote de l’« Umbrella Agreement » (« accord parapluie ») que doit voter l’Union européenne et qui porte sur la limitation des droits des autorités américaines sur les données des citoyens européens et ce, dans le cadre des échanges en matière de police et de justice. Un « Judicial Redress Act » amendé a finalement été voté au Senat le 28 janvier 2016. Vu les enjeux, le lobbying des grandes entreprises américaines a repris de plus belle ces derniers mois, semaines et jours, afin de mettre sous pression l’Union européenne, afin qu’elle renonce à certaines de ces exigences.
A moins que les autorités européennes ne renoncent, et sachant que les points de blocage portent sur des points relatifs à la sécurité sur lesquels les autorités américaines sont intransigeantes, il était donc peu probable que cet accord soit finalisé à court-terme.

2 février 2016 : EU-US Privacy Shield : les fondations d’un Safe Harbor 2 annoncées

Face à l’ultimatum du G29, la bonne nouvelle est tombée ce mardi 2 février 2016. Avec quelques heures de retard sur la date butoir du 31 janvier 2016, la Commission Européenne a annoncé un accord sur les fondations d’un « Safe Harbor 2 ».
Cet accord est avant tout un accord politique et une déclaration d’intention. Le nouveau cadre « EU-US Privacy Shield » reposerait sur les trois principes suivants annoncés (cf communiqué de presse de l’UE du 2 février 2016) :

-  « Les compagnies américaines souhaitant importer des données personnelles d’Europe devront respecter de solides obligations sur la façon dont les données personnelles seront traitées et les droits individuels garantis » ;

-  « Pour la première fois, les États-Unis ont fourni à l’Europe des assurances écrites que l’accès des pouvoirs publics (...) sera soumis à des limitations claires et à des mécanismes de contrôle » ;

-  « Tout citoyen considérant que leurs données a été mal utilisée aura à sa disposition de nombreuses possibilités pour rétablir la situation ». …

Des voies de recours seraient donc prévues du côté européen comme du côté américain, ainsi qu’un système d’arbitrage, à déclencher en dernier recours. Par ailleurs, pour des plaintes sur des potentiels accès par des organismes « d’intelligence nationale », type NSA, un médiateur serait créé.

Un bon point de l’accord annoncé, est qu’il prévoit une révision annuelle conjointe du cadre, afin observer de près l’efficacité du « bouclier ».

Le point particulièrement faible est clairement qu’il ne serait a priori pas prévu d’exclure les données des Européens des données auxquelles les services de renseignement peuvent accéder, ou de limiter leur traitement. Les Européens devront simplement pouvoir contester une utilisation illégale de leurs données, s’ils arrivent à la démontrer.

EU-US Privacy Shield : le diable sera dans les détails à définir et à mettre en œuvre

L’annonce du « EU-US Privacy Shield » est un pas significatif dans la bonne direction. Il devrait évidemment être de meilleure qualité que « Safe Harbor 1 » qui constituait un cadre de façade, type « village de Potemkine ».

L’accord, tel que rapporté dans le communiqué de presse de l’UE, porte sur des fondations, des principes et des intentions. Sachant que dans ce domaine, le diable est dans les détails, la qualité de l’accord ne pourra être évaluée que sur des textes contraignants juridiques qui devraient être publiés le plus vite possible pour analyse. De même, il est indispensable de pouvoir vérifier quels sont les moyens qui seront mis en œuvre sur ces obligations.

« Chat échaudé craint l’eau froide » : dans l’exercice de mise en œuvre des grands principes de Safe Harbor 2 qui s’annonce, les autorités européennes devraient s’entourent des meilleurs spécialistes juridiques et techniques nécessaires pour garantir les mesures suffisantes de protection du bien le plus cher, dans tous les sens du termes, de l’Union Européenne et du Marché Unique : les informations personnelles de ses citoyens. L’Europe a fait preuve d’une naïveté affligeante pendant des années : il s’agit de persévérer et de ne pas se laisser impressionner dans la révolution copernicienne démarrée. A défaut, de nouveaux recours en annulation seront lancés et dans quelques années, le processus redémarrera de zéro.

Trois types d’incertitudes

Le développement des relations économiques et sociales requiert un cadre juridique clair. Le monde économique a horreur de l’incertitude juridique. En matière de protection des données, il fait aujourd’hui face à trois incertitudes.
- L’incertitude « Safe Harbor 2 », qui régule les transferts de données entre l’UE et les US et évoquée ci-avant. La bonne nouvelle est qu’un accord de principe a été conclu ce 2 février 2016. Il reste l’étape critique de mise en œuvre, car « le diable est dans les détails » ;
- La seconde incertitude concerne la décision ou l’avis du G29, groupe des autorités de protection des données, qui doit analyser l’adéquation des « clauses contractuelles type » et des « Binding Corporate Rules » et devra probablement donner, dans un temps très court, un avis sur le nouveau cadre « Safe Harbor 2 » proposé ; le G29 devrait recevoir les textes relatifs au nouveau cadre pour analyse d’ici fin février 2016.
- La troisième incertitude concerne le futur règlement relatif à la protection des données. La très bonne nouvelle est que cette incertitude sera levée au 1er semestre 2016, le projet de règlement est publié et est jugé satisfaisant : il devrait permettre la mise en place d’un cadre incontestable et équilibré entre les contraintes économiques, sociales, éthiques et judiciaires. Le projet de règlement constitue un très beau succès collectif européen !

4 années de débat : le Règlement général sur la protection des données

Les négociations autour de l’établissement du nouveau règlement relatif à la protection des données auront duré quatre années. Il s’agit de quatre années de débats acharnés, soumis à un lobbying intense. Vu les enjeux économiques considérables (pression des géants de l’internet, …) ainsi que les enjeux sociaux et politiques (vie privée, lutte contre le terrorisme, …), le processus aura connu des hauts et des bas. Le projet initial, soumis à ce lobbying massif de la part des acteurs de l’internet, était particulièrement inquiétant et fragile par rapport à la Charte des droits fondamentaux de l’Union européenne. Les révélations d’Edward Snowden ont néanmoins permis une prise de conscience rapide des parlementaires européens. De nouvelles révélations concernant les activités d’espionnage ont encore accéléré cette prise de conscience du monde politique : à la veille des réunions du sommet européen du 24 et 25 octobre 2013, « Der Spiegel » révélait la surveillance du téléphone portable d’Angela Merkel. Ces révélations auront incontestablement joué un rôle majeur dans le rééquilibrage du règlement européen en termes de meilleure protection des données personnelles.

Fin 2015 : la Présidence Luxembourgeoise obtient un accord informel

Le 15 décembre 2015, la Présidence luxembourgeoise du Conseil a annoncé l’obtention d’un accord informel du Conseil, du Parlement et de la Commission sur un nouveau règlement relatif à la protection des données ainsi que d’une directive qui s’applique aux données personnelles traitées à des fins répressives. Le règlement et la directive constitue le « Paquet Protection des données ». Le projet de règlement devrait être voté d’ici fin avril 2016 et entrer en vigueur en juin ou juillet 2016. Il est, par ailleurs, à espérer que les recours qui peuvent être soumis pendant une période de 60 jours après le vote, soient d’excellentes qualité, afin d’améliorer la robustesse du texte et qu’il soit purgé de ses vices éventuels le plus vite possible. Dans l’intérêt de tous, du monde économique et social, il est vital de disposer d’un référentiel très clair et robuste, en termes juridiques. Le règlement sera d’application dans deux années, c’est-à-dire au printemps 2018.

Une révolution copernicienne pour une confiance accrue Dans ce contexte, le futur règlement constitue une véritable révolution copernicienne. Le texte sur lequel les autorités européennes sont tombées d’accord vient donner de nouvelles garanties au citoyen. La première grande nouvelle, c’est que l’on disposera d’un règlement, autrement dit qu’il s’appliquera directement de la même manière sur l’ensemble de l’espace de l’Union européenne, offrant une réelle dimension au marché unique. Il n’a pas besoin d’être traduit dans le droit national des Etats membres.

Ce règlement instaure plusieurs grands principes importants :

- la nécessité d’obtenir un consentement explicite (et non plus implicite) du citoyen pour tout usage déterminé de ses données ; il faudra donc au préalable demander la permission au citoyen ;
- un accès plus facile de la personne concernée aux données à caractère personnel la concernant ;
- le droit à la rectification, à l’effacement des données et à l’oubli ;
- la collecte des données ne sera autorisée que pour servir des « intérêts légitimes » de l’entreprise, dans le cadre de son activité principale ;
- des exigences à l’égard de la gestion de la donnée par l’entreprise fondée sur les risques ;
- une définition claire de ce qui relève de l’information sensible ;
- la nécessité de désigner un délégué à la protection des données ;
- un important pouvoir de sanction des Commissions Nationales de la Vie Privée,
- l’instauration de pénalités substantielles en cas d’infraction grave (4% du chiffre d’affaires global du groupe auquel appartient la société en défaut) ;
- la mise en place d’un guichet unique pour le territoire européen pour les questions et réclamations à l’égard des données personnelles ;
- l’introduction du concept de « privacy by design » pour les processus de traitement de la donnée.

Avec ce règlement, vis-à-vis de l’usage qui est fait de ses données, le citoyen bénéficie d’une plus grande transparence, d’un meilleur contrôle, de nouveaux droits, comme par exemple le « droit à l’oubli ».

L’ensemble de ces droits accordés au citoyen et de ces exigences instaurées vis-à-vis des entreprises a pour objectif de créer la confiance envers l’économie numérique et ses acteurs. Cette confiance est essentielle pour le développement d’un marché unique dont le digital est l’un des principaux moteurs.

Un véritable « Game Changer »

Le 8 décembre 2015, Giovanni Buttarelli, « European Data Protection Supervisor », a déclaré lors de la conférence « EU Data Protection 2015 Regulation meets Innovation », à San Francisco, au cœur de la Bay Area et Silicon Valley, que le nouveau règlement va profondément modifier les règles du jeu pour tous les acteurs de l’Internet :
- Il n’y aura plus qu’un numéro de téléphone pour appeler le régulateur européen ;
- La sécurité des données ne sera plus une option. L’application de la protection des données « by design », dès la conception, sera une obligation ;
- Il y aura une claire protection du « Big Data ».

Il a par ailleurs indiqué que la protection des données ne pourra plus être considérée comme du « window dressing » et que les principes d’honnêteté, de transparence et de respect des individus devront être intégrés dans les processus de décision.
En faisant référence aux aspects environnementaux, il a appelé à agir en matière de Protection des données, dans le respect des futures générations. Par ailleurs, le 28 janvier 2016, à l’occasion de la journée de la Protection des Données, il a annoncé, la mise en place d’un framework sur le « Big Data » et la gestion des algorithmes.

Le Luxembourg, centre de compétences idéal pour la gestion de la donnée sensible La Présidence luxembourgeoise du Conseil de l’Union européenne s’est ponctuée sur l’annonce d’un accord informel sur ce règlement clef qui va réguler le monde digital en Europe et au-delà. Il va définir de nouvelles règles qui vont probablement à terme constituer une référence universelle. Il s’agit d’une excellente nouvelle pour le Luxembourg qui est en bonne position pour accompagner ce changement. La gestion de l’information sensible est inscrite dans les gênes du pays. Depuis toujours, au sein d’EBRC (European Business Reliance Centre), nous sommes persuadés que la gestion responsable de l’information et de la donnée sensible constitue un choix durable dans cet univers digital. Les acteurs qui, dans ce secteur, s’inscriront en premier lieu dans cette voie disposeront d’un réel leadership.

Alors que se développe une économie gigantesque autour des concepts d’objets connectés et de Big Data, les citoyens souhaitent plus de garanties. Plus nous allons avancer dans le développement de l’économie digitale, plus l’incertitude à l’égard de l’exploitation des données sera grande, plus il faudra veiller au maintien de la confiance. A notre niveau, cela passe par le développement d’infrastructures, de services managés IT et de savoir-faire permettant une sécurité et une disponibilité de l’information extrêmement élevée. Mais, cela consiste également à contribuer à l’établissement des normes internationales en matière de gestion de l’information sensible, dont la certification ISO 27018 (sécurité des informations personnelles dans le cloud), publiée le 1er août 2014 et en cours d’implémentation. Protéger et gérer l’information sensible de nos clients et de nos partenaires, c’est là notre core business.




Voir les articles précédents

    

Voir les articles suivants