Le bouclier de nos données

La CJUE a invalidé le Safe Harbor, un accord encadrant la manière dont les données de citoyens européens sont transférées vers les Etats-Unis. Pourquoi une telle décision? Quelles en seront les conséquences? Thierry Lallemang, spécialiste juridique en protection des données, nous répond à ce sujet et nous présente l’organe qui soutient les citoyens du pays contre les abus relatifs à ce domaine, la CNPD, dont il est membre de la direction.
Le naufrage du Safe Harbor
«Avant d’expliquer cette décision, il faut en connaitre le contexte», déclare Thierry Lallemang. «A l’origine, un jeune juriste autrichien, Max Schrems, a porté plainte contre Facebook. Il mettait en cause la conformité – au regard de la législation européenne – du système en place qui permet le transfert des données des utilisateurs vers les Etats-Unis».
«Le principe», explique notre expert, «est qu’au sein de l’Union européenne les données circulent librement. Elles peuvent être envoyées vers un pays tiers uniquement si cet endroit dispose d’un niveau de protection adéquat, que la Commission européenne a jugé similaire au nôtre». Dans ce cas, les échanges sont possibles. Cependant, la situation des Etats-Unis est différente. «Le niveau de protection du pays n’est pas reconnu comme adéquat, mais peut le devenir par un mécanisme spécifique, prévu dans une décision de la Commission européenne», dit-il. En effet, le niveau de protection adéquat pour le transfert de données vers les USA est obtenu pour chaque compagnie qui déclare de façon autonome à la Federal Trade Commission qu’elle respecte les normes de l’accord Safe Harbor – en français « sphère de sécurité » – relatifs à la protection de la vie
privée des consommateurs européens.
Il poursuit: «En l’occurrence, sur base entre autres des révélations d’Edward Snowden à propos des programmes de surveillance de masse de la NSA, Max Schrems a remis en cause cette conformité. Il a donc introduit différentes plaintes, dont une en Irlande contre Facebook qui y tient le siège de sa branche européenne». L’Irlande n’a pas analysé la plainte de Max Schrems, jugeant que cela relevait des compétences de la Commission européenne. L’affaire a donc été renvoyée vers la Cour de Justice de l’Union européenne (CJUE) qui a alors invalidé, le 6 octobre dernier, le système de transferts transatlantiques Safe Harbor.
Jusqu’en janvier pour se remettre à flot
Cette action entreprise par Max Scherms peut-elle avoir un impact au Luxembourg? Selon Thierry Lallemang, cela ne fait aucun doute: «Vu que l’arrêt de la CJUE a déclaré invalide cet accord, c’est tout comme si le Safe Harbor n’avait jamais existé. Conséquence: ce type de transferts est rendu illégal. Aujourd’hui, nous sommes en train d’informer les firmes luxembourgeoises qu’elles ne peuvent plus agir de la sorte. Les sociétés doivent donc réfléchir et trouver une nouvelle base sur laquelle transférer leurs données vers les USA».
Plusieurs outils se présentent à elles. Les clauses contractuelles types par exemple sont une forme alternative: un contrat modèle élaboré par la Commission européenne selon lequel la société en Europe s’accorde avec la société importatrice de données dans un pays tiers pour mettre en place des règles de protection adéquates. «La plupart des entreprises vont sans doute se tourner vers ce type de modèle», commente-il.
En parallèle et avant même l’action de Max Schrems, la Commission européenne avait déjà engagé depuis longtemps de nouvelles négociations avec les Etats-Unis pour revoir ce système qui date tout de même de 2000. Au vu des derniers événements, le groupe de travail Article 29, qui rassemble toutes les autorités européennes en matière de protection de données, a décidé de laisser un peu de temps à la Commission européenne afin de négocier un Safe Harbor 2 avec les Etats-Unis. «Le projet est sur les rails et devrait avoir pris forme à la fin janvier. Mais s’il n’y a pas de résultat à ce moment-là, les autorités nationales vont commencer à agir de façon concertées», déclare Thierry Lallemang.
Le rôle de l’organe national
Et l’avis de la CNPD – ou  Commission nationale pour la protection des données – sur cette affaire? «C’est positif», déclare Thierry Lallemang. «Les missions et les pouvoirs des autorités nationales ont été confortées. C’était en quelques sortes une invitation aux autorités nationales de bien user des pouvoirs dont ils disposent. De plus, à nouveau, l’importance de la protection des données comme droit fondamental a été reconnue».
La CNPD est un organe indépendant qui s’efforce de protéger les individus quant au traitement de leurs données personnelles. Elle est chargée de veiller à l’application des lois qui protègent les libertés des citoyens. La supervision, l’investigation, l’intervention suite à des violations de données dans le secteur des communications électroniques, la sensibilisation du public, l’explication du cadre légal et le conseil font partie de ses missions.
«D’abord, nous encadrons les entreprises qui travaillent avec du traitement de données, au niveau de formulaires et de formalités d’usages, mais également en ce qui concerne des autorisations. Dans ce cas de figure, nous devons analyser au préalable chaque situation, par exemple en cas de surveillance d’outils informatiques, d’usage de la biométrie ou encore de géolocalisation», explique-t-il.
Ensuite, la CNPD reçoit énormément de demandes d’informations. «Nous faisons alors un travail consultatif, de la simple guidance à des renseignements juridiques très poussés», ajoute-t-il.
«De plus, nous réceptionnons également les plaintes, dont le nombre est d’ailleurs en constante augmentation. Elles concernent des entreprises, mais aussi le secteur public. Un exemple courant est celui des enregistrements de caméras vidéo: si elles se trouvent dans des zones où elles n’ont pas été préalablement autorisées, il y a un problème».
«En outre, nous devons aviser tous les projets de règlements et lois grand-ducaux, si leur thématique touche à la protection des données», dit-il. Par exemple, la CNPD a dernièrement coopéré sur la mise en place du DSP, le dossier de soin partagé ou le dossier électronique du patient. Ce système – en phase pilote actuellement – sera déployé au niveau national dans un avenir proche.
«Avant cette période de test, nous avons accompagné l’Agence eSanté pendant plus d’une année afin que la conception de ce système se fasse dans les meilleures conditions», raconte-t-il.
Une naissance tardive et une révolution proche
En 1995, une directive européenne rendait obligatoire pour les Etats membres d’instaurer une autorité de contrôle indépendante en matière de protection des données. «Nous sommes donc nés sous l’impulsion de cet impératif. A l’époque, le Luxembourg a un peu trainé la patte: il a fallu sept ans pour transposer la directive en droit luxembourgeois. Le pays a même été condamné par la CJUE car il n’a pas respecté le délai imparti», commente le responsable du département juridique. La CNPD existe depuis fin 2002 et emploie actuellement 16 personnes.
«La mise en place de l’organe tel qu’il est aujourd’hui a demandé beaucoup de travail. Notre équipe était minuscule au départ, insuffisante au vu des missions qui nous étaient imparties. En 2007, nous avons eu l’autorisation d’engager plus de personnel, et heureusement nous pourrons encore recruter une dizaine de personnes dans les cinq années à venir», ajoute-t-il.
Aujourd’hui, une réforme de la directive initiatrice est en cours. Elle sera remplacée par un règlement européen, directement applicable dans les législations nationales. «C’est heureux car la société évolue très vite, surtout en informatique. Si tout va bien, au terme de la Présidence luxembourgeoise du conseil de l’UE, fin décembre, nous verrons apparaitre un texte de compromis. On peut espérer voir appliquer ce nouvel accord d’ici trois ans», se réjouit-il.
Les droits des citoyens devraient alors se voir renforcer. «Un exemple», raconte Thierry Lallemang, «lorsque vous vous inscrivez sur un site, face aux conditions générales, soit vous acceptez tout et vous y avez accès, soit vous ne signez pas et vous passez alors votre chemin. L’un des éléments de la réforme en cours est de supprimer cette pratique, souvent abusive. Nous désirons morceler le consentement et que les compagnies fournissent plus d’options différentes dans leurs conditions générales. Ainsi, adieu l’unique choix du tout ou rien».    SoM