Atlantico, c'est qui? c'est quoi ?
Jeudi 30 Juin 2016 | Créer un compte | Connexion
Extra

Privacy Shield : l’Europe à la peine pour protéger la vie privée de ses citoyens, dont toutes les données personnelles sont aux mains d’entreprises américaines ?

L'Union Européenne prépare en ce moment le Privacy Shield, outil-garantie de protection des données privées en Europe qui prétend protéger ses citoyens des attaques des géants d'internet, Facebook en tête. Mais la réalité est bien moins utopique que ce que prétend la Commission.

Garder le contrôle

Publié le
Privacy Shield : l’Europe à la peine pour protéger la vie privée de ses citoyens, dont toutes les données personnelles sont aux mains d’entreprises américaines ?

Atlantico : Le Privacy Shield fait l'objet de négociations entre l'UE et les Américains depuis le 2 février. Il sera rendu public à la fin du mois. Il est destiné à remplacer le Safe Harbor, projet avorté l'année dernière qui permettait de certifier le respect de la législation européenne par les entreprises américaines voulant transférer des données personnelles aux USA. De quoi s'agit-il concrètement ? 

Fabrice Epelboin : Il s’agit de ressusciter le défunt Safe Harbor, qui était, en quelque sorte, un accord de libre échange des données privées entre l’Europe et les Etats-Unis. Cet accord qui avait presque dix ans est le socle de ce qu’on pourrait appeler l’industrie de la donnée privée : une multitude d’entreprises dont la spécialité est de créer de la valeur à partir de données privées. Les plus iconiques de ces entreprises sont sans conteste Google et Facebook, mais ce n’est que la partie émergée de l’iceberg. C’est l’ensemble des acteurs de la “big data” qui est concerné par cet accord et qui s’est construit sur ces bases juridiques.

Les citoyens européens, mais également les entreprises, utilisent quotidiennement des applications Cloud qui traitent des données privées, et les font transiter de part et d’autre de l’Atlantique. Si votre entreprise utilise Salesforce, il y a des données privées là dedans, et si elles sont traitées dans un datacenter américain, alors votre entreprise est - juridiquement - dans une zone grise.

Il convient donc de distiguer clairement deux problématiques : le cadre légal et son évolution du coté des politiques, d’un coté, et les choix en termes d’architecture informatique, de fonctionnalités et de modèles économiques auxquels le défunt Safe Harbor a donné naissance, du coté de l’industrie. Ces choix industriels ne sont pas anodins, tous ne sont pas irréversibles, mais ce n’est pas quelque chose sur lequel on peut revenir facilement. 

Ainsi, Google personnalise ses résultats de recherche depuis quelques années, et utilise de l’intelligence artificielle ainsi que la “big data” qui la nourrit pour vous fournir des résultats qui sont non seulement pertinents mais personnalisés selon votre profil. Pour faire cela, il brasse une quantité faramineuse de données personnelles. Si Google devait arrêter de faire transiter sur le continent américain des données privées, il devrait repenser en profondeur ses choix techniques. Compliqué, couteux, mais pas forcément impossible. Pour Facebook, par contre, stopper le trafic intercontinental de données privées reviendrait à scinder sa communauté et à isoler les citoyens européens. Cela semble impossible.

Il y a ainsi plusieurs milliers d’entreprises américaines du numérique qui, sans le Safe Harbor, se retrouvent dans une zone grise législative. Sans Safe Harbor II, elles devront faire face, au pire, à une mort programmée, au mieux, à d’importants chantiers technologiques destinés à les rendre compatibles avec une souveraineté numérique Européenne. 

L’Europe doit donc faire face à une situation politiquement impossible. L’affaire Snowden a définitivement tué le Safe Harbor, et la société de la surveillance dans laquelle nous sommes entrés rend ce genre d’accord ridicule. Mais les investissements qui ont été réalisés sur la base de cet accord sont collossaux, et l’économie actuelle repose en partie sur des technologies rendues possibles par cet accord. Il est donc impossible de supprimer le Safe Harbor, mais il est ridicule de conserver.

Le Safe Harbor avait été vivement critiqué par les instances de protection des données personnelles. Peut-on estimer que le Privacy Shield sera plus efficace ? Et à quoi ne répondra-t-il pas ? Peut-on être certain que ces données seront vraiment protégées quand on connaît les pouvoirs exceptionnels dont jouit le programme PRISM de la NSA, comme l'avait révélé Edward Snowden en 2013 ? 

La seule révision significative apportée par le Privacy Shield est la possibilité de le réviser périodiquement, ainsi que quelques brèches juridiques intercontinentales qui pourraient permettre à un Max Schrems de poursuivre son combat, au prix de nombreuses années de batailles juridiques incertaines.

Autant dire que le Privacy Shield est un cataplasme sur une jambe de bois. Personne n’y croit, en dehors du commissaire Européen à la Justice qui annonce, les yeux dans les yeux, que le Privacy Shield sonne la fin de la surveillance américaine. 

La seule chose qui change réellement, c’est qu’on pouvait faire semblant de croire au respect de la vie privée à l’époque du Safe Harbor, ou tout du moins avant Snowden, alors que c’est impossible aujourd’hui. Désormais, l’hypocrisie est de mise pour la loi, qu’aucun état ne respecte, et l’incertitude est de mise pour les entreprises qui vont devoir se poser des questions qui vont au delà du simple respect d’une législation qui ne veut plus rien dire, et ne protège pas de grand chose.

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio en entier

Je m'abonne
à partir de 4,90€