Le cadre de protection des données n'est qu'une "copie du bouclier de protection des données" et doit échouer.

L'UE et les États-Unis s'accordent sur une nouvelle loi sur le partage des données : Cadre de protection des données. Le problème : la surveillance américaine n'a pas changé et les données des citoyens européens sont menacées.

Essayons encore une fois : Après l'échec de plusieurs accords sur la protection des données entre l'UE et les États-Unis, les deux parties tentent à nouveau leur chance avec le cadre de protection des données. Mais la surveillance américaine - le problème sous-jacent de l'accord sur le partage des données - ne s'est pas miraculeusement dissipée entre-temps.


Critique du cadre de protection des données

Selon Max Schrems, éminent défenseur de la confidentialité des données, le cadre de protection des données n’est qu’une copie du bouclier de protection des données ( Privacy Shield ), une loi invalidée par la Cour de justice de l’Union européenne (CJUE) en raison des problèmes de protection de la vie privée des citoyens de l’UE.

Le problème est que les services secrets américains peuvent facilement demander aux entreprises technologiques américaines de leur fournir des données qui comprennent également celles des citoyens de l’UE. Or, ces données devraient être protégées contre les actions de surveillance excessives par le GDPR européen. Il est donc illégal d’envoyer des données de citoyens européens aux États-Unis et de les y stocker.

Avec le cadre de protection des données, l’UE considère simplement que la protection contre les agences de renseignement américaines est désormais suffisante.

Cette position est bien sûr fortement critiquée.

Max Schrems, l’avocat qui a poursuivi Facebook pour avoir continué à stocker les données de citoyens européens aux États-Unis, a déclaré au Spiegel:

“On dit que la définition de la folie est de faire la même chose encore et encore et de s’attendre à un résultat différent. (…) Nous avons maintenant des “ports”, desparapluies”, des “boucliers” et des “cadres”, mais aucun changement substantiel n’est intervenu dans la législation américaine en matière de surveillance.Les déclarations de presse actuelles, a-t-il ajouté, sont presque une copie mot pour mot de celles d’il y a 23 ans : “Se contenter d’affirmer que quelque chose est “nouveau”, “solide” ou “efficace” n’est pas suffisant devant la Cour. Nous avions besoin d’un changement dans la législation américaine en matière de surveillance, et il n’existe pas.

La nouveauté du cadre de protection des données réside uniquement dans la définition que donne l’UE de la surveillance américaine : La Commission européenne a déclaré que la protection des données aux États-Unis était équivalente au niveau de protection de l’UE. Ce faisant, elle crée une nouvelle base juridique pour les entreprises qui souhaitent envoyer des données de citoyens européens aux États-Unis.

Depuis que la CJUE a déclaré illégal l’accord européen-américain sur les données “Privacy Shield” en 2020, la situation juridique est incertaine. Avec le cadre de protection des données, les entreprises des deux côtés de l’Atlantique disposent désormais d’une base juridique pour partager à nouveau des données, ce qui constitue une avancée importante - pour les entreprises, pas pour les citoyens.

Une action en justice devant la CJCE

Cependant, NOYB a déjà annoncé qu’elle allait porter la loi devant la Cour européenne de justice.

”La troisième tentative de la Commission européenne de parvenir à un accord stable sur les transferts de données entre l’UE et les États-Unis se terminera à nouveau devant la Cour de justice des Communautés européennes (CJCE) dans quelques mois. Le soi-disant “nouvel” accord transatlantique sur la protection des données est en grande partie une copie de l’accord “Privacy Shield” qui a échoué. Contrairement à ce qu’affirme la Commission européenne, peu de choses changent dans le droit américain : le problème fondamental de FISA 702 n’a pas été abordé par les États-Unis, ce qui signifie que, comme auparavant, seules les personnes américaines ont des droits constitutionnels et ne peuvent pas faire l’objet d’une surveillance sans mandat”.

Cette critique est exactement ce qui a conduit à l’invalidation du Privacy Shield. Les défenseurs de la vie privée reprochent donc à la nouvelle loi de ne pas tenir la route non plus.

Le cadre de protection des données personnelles comporte les mêmes risques de surveillance des données personnelles des citoyens européens que le bouclier de protection de la vie privée.

Nous devrons maintenant attendre que l’affaire soit portée devant le tribunal pour obtenir une décision en faveur d’une meilleure protection des données des citoyens de l’UE.

Pourquoi le cadre de protection des données est-il critiqué ?

Le cadre de protection des données est un accord entre l’Union européenne (UE) et les États-Unis (US), qui fait suite au fameux Privacy Shield (qui suivait le cadre Safe Harbor), et qui vise à réglementer le transfert de données personnelles de l’UE vers les États-Unis - principalement par des entreprises américaines telles que Facebook et Google. Il vise à garantir que les entreprises américaines respectent certaines normes en matière de protection de la vie privée et assurent une protection adéquate des données à caractère personnel.

Toutefois, le cadre de protection des données fait l’objet de critiques importantes et connaîtra finalement le même sort que le bouclier de protection des données. Plusieurs facteurs sont critiqués :

  1. Uneprotection insuffisante contre la surveillance américaine: Le problème (comme pour le Privacy Shield) est que les programmes de surveillance américains, tels que les activités de surveillance de masse de la National Security Agency, ne s’alignent pas sur les normes de l’UE en matière de protection de la vie privée. Le cadre de protection de la vie privée de la date d’aujourd’hui ne fournira pas de garanties suffisantes contre ces pratiques, ce qui le rend incompatible avec le droit européen.
  2. Absence de recours pour les citoyens de l’UE: Le cadre de protection des données ne prévoit pas de recours efficaces pour les personnes de l’UE dont les données personnelles pourraient être mal traitées par des entreprises américaines.
  3. Insuffisance de la surveillance et de l’application: Les critiques soutiennent que le cadre de protection des données à caractère personnel manque de mécanismes efficaces de contrôle et d’application. La responsabilité d’assurer le respect de ce cadre incombe principalement aux autorités américaines, qui sont considérées comme insuffisamment équipées pour contrôler de manière adéquate les milliers d’entreprises participantes.
  4. Préoccupations non résolues concernant l’accès aux données par les autorités américaines: L’accord n’aborde pas la question plus large de l’accès du gouvernement américain aux données personnelles à des fins de sécurité nationale. Dans le cas du bouclier de protection de la vie privée, l’arrêt de la CJCE a souligné que les pratiques d’accès et de surveillance des agences de renseignement américaines n’étaient ni proportionnées ni limitées, ce qui a suscité des inquiétudes quant à la protection des droits à la vie privée des citoyens de l’Union européenne - il en va de même pour le nouveau cadre de protection des données.

La principale critique formulée à l’encontre du cadre de protection des données est qu’il n’offre pas un niveau de protection adéquat pour les données personnelles transférées aux États-Unis.

Protégez vos données par le cryptage

La meilleure façon de protéger vos données contre la surveillance de masse illégale est de les crypter autant que possible.

Heureusement, il existe de nombreux services de protection de la vie privée, en particulier en Europe, qui mettent l’accent sur la protection et le cryptage des données et vous permettent de communiquer en ligne en toute sécurité et en toute confidentialité, sans risque d’être surveillé.