Une vision homogène à l’échelle l’internationale

Les pays retenus pour l’enquête, à savoir l’Allemagne, la Chine, les États-Unis, la France, l’Italie, et le Royaume-Uni, ont été choisis sur la base de leurs environnements socio-économiques et de leur diversité de cadres réglementaires concernant la protection de la vie privée. Ces éléments sont à même d’influencer la perception et les opinions des citoyens concernant la protection des données personnelles. Toutefois, malgré ces différences de contexte initiales, nous avons pu observer au travers des réponses collectées que la thématique de la vie privée est perçue d’une manière relativement homogène dans les différents pays étudiés.

Parmi les personnes ayant répondu à l’enquête, les jeunes générations, plus digitalisées et qui sont souvent les plus intéressées par le sujet de la vie privée dans un monde numérique, sont majoritaires.

Bien sûr, il existe certaines différences et sensibilités particulières : ainsi, les sondés originaires d’Allemagne ont-ils accordé proportionnellement plus de poids aux définitions de la vie privée ayant trait à la liberté que ceux originaires d’autres pays. Les réponses provenant des États-Unis affichent, pour leur part, une confiance moins grande dans les institutions publiques. Néanmoins, de manière générale, on note une véritable prise de conscience globale des individus liée à la vie privée et aux données personnelles. Celle-ci peut s’expliquer par le caractère transfrontalier du monde numérique et de la donnée, le citoyen numérique souhaitant faire respecter sa vie privée indépendamment des frontières. Cette observation renforce l’importance de la prise en compte du respect de la vie privée dans les projets numériques, quels que soient le pays et la population concernés.

De la liberté à la maîtrise : l’évolution du sens de la « vie privée »

La vie privée est traditionnellement perçue comme la possibilité pour un individu de conserver une forme d’anonymat dans ses activités et de disposer d’une capacité à s’isoler pour protéger ses intérêts. Elle est donc intimement liée à la notion de liberté. Mais l’analyse des résultats du panel montre que cette notion tend à disparaître au profit de la maîtrise des informations. Nous avons proposé à nos sondés de sélectionner une ou plusieurs définitions ayant davantage trait à l’une ou l’autre de ces deux notions.

Les réponses les plus fréquemment choisies ont toutes trait à la maîtrise. Cette tendance se confirme si l’on observe les propositions intermédiaires : « avoir le contrôle sur le type d’informations collectées sur vous » est davantage plébiscité (plus de la moitié des réponses) que « avoir ses moments seul, sans devoir subir l’attention d’autrui », relatif à la liberté.

Dans tout projet faisant appel aux données, il sera alors important de donner aux clients et aux collaborateurs l’assurance qu’ils disposent de cette maîtrise, en prévoyant des modes d’accès simples et en autonomie.

Toutes les données sensibles aux yeux des citoyens

Interrogé sur les niveaux de sensibilité, le panel a fait ressortir de très faibles différences, les citoyens considérant la plupart des types de données proposés comme relativement sensibles. Ils n’ont pas perçu que des fuites de certains types de données peuvent avoir des conséquences lourdes, voire irréversibles (données de santé par exemple), contrairement à d’autres (données financières par exemple) pour lesquelles la plupart des pays ont mis en place un cadre réglementaire protégeant les individus (remboursement rapide en cas de fraude). Ce constat montre que quelles que soient les données personnelles manipulées dans le cadre d’un projet, une attention particulière devra y être portée, a minima dans la communication sur les niveaux de protection.

Une confiance qui varie fortement d’un pays à l’autre

Nous avons demandé aux sondés d’indiquer le ou les type(s) d’organisations en lesquels ils avaient le plus confiance dans l’utilisation de leurs données personnelles pour un usage préalablement autorisé. On observe une réelle différenciation entre trois grandes familles d’acteurs :

• En première position, les acteurs regroupés sous la catégorie des institutions sont ceux qui suscitent le plus la confiance des sondés. Il s’agit d’institutions publiques, semi-publiques ou de l’économie traditionnelle avec qui les individus ont un lien de confiance historique, d’autant qu’elles traitent depuis toujours des données sensibles (données médicales…). À noter que l’on observe de vraies différences au sein même de cette catégorie, les banques arrivant en tête avec plus de la moitié des sondés déclarant leur faire confiance pour le traitement de leurs données. L’enjeu en termes d’image est donc particulièrement fort pour les acteurs du secteur bancaire : ils se devront d’être à la hauteur des attentes de leurs clients s’ils veulent conserver leur place de partenaire de confiance numéro un.
• En deuxième place, une catégorie intermédiaire englobant les acteurs de la vie quotidienne : opérateurs de transport, fournisseurs d’énergie… Ces acteurs historiques du B2C sont en train de mener leur transformation numérique à marche forcée et peuvent tirer les fruits de cette confiance déjà présente.
• En troisième et dernière position, les acteurs de l’économie numérique, qu’il s’agisse de géants du web ou d’entreprises technologiques.

La défiance des individus à leur égard peut s’expliquer par la quantité de données collectées et utilisées par ces tech-companies et les condamnations récentes de celles-ci liées à l’utilisation qu’elles en font. Cependant ce résultat souligne un paradoxe. Malgré ce manque de confiance criant, les individus continuent d’utiliser massivement les services fournis par ces acteurs, en partie par manque d’alternative mais aussi parce que les informations confiées peuvent paraître, souvent à tort, anodines.

Des nouvelles technologies qui suscitent des craintes

Le panel met en lumière 4 technologies, les plus susceptibles de mettre en danger leur vie privée selon les sondés. Leur point commun ? Elles permettent toutes de collecter des données sans que cette collecte ne puisse être maîtrisée par les personnes concernées. Elles seraient donc, pour certaines personnes, synonymes de surveillance. À contrario, des technologies où le citoyen a la capacité de choisir quelles données il partage, comme les objets connectés ou certains services cloud permettant de stocker des informations privées, sont considérées comme moins risquées pour leur vie privée, et n’entrent donc pas dans ce top 4.

Bien que non traditionnellement considérées comme sensibles, les données sur les comportements et les agissements de chacun sont donc aujourd’hui l’objet de l’attention des individus, et constituent un point d’achoppement non négligeable entre une relation client toujours plus personnalisée et les attentes desdits clients en termes de respect de leur vie privée.

Des citoyens qui agissent pour protéger leur vie privée numérique

Plus de la moitié des sondés déclarent ainsi avoir modifié certains de leurs comportements pour mieux protéger leurs données. Ce changement illustre la prise de conscience des individus quant à la protection de leur vie privée. Il est également intéressant d’étudier comment les individus procèdent pour mettre en place cette protection. Nos sondés ont décrit des mesures concrètes qui peuvent être réparties en deux catégories :

• Mesures visant à limiter la quantité/ le type de données fournies : fourniture d’informations inexactes/ incomplètes lors de la création d’un compte (utilisation de pseudonyme ou non-remplissage des champs non obligatoires), utilisation de comptes anonymes…
• Mesures visant à renforcer la sécurité des données fournies : hausse du niveau de sécurité de leurs comptes en ligne (renforcement du mot de passe, changements de mots de passe plus réguliers, révision des droits d’accès…), attention accrue lors du partage de données personnelles sur internet…
• En marge de ces mesures on trouve également quelques solutions plus extrêmes : fermeture complète de compte sur les réseaux sociaux, utilisation exclusive de sites ou de technologies testés et de confiance, suppression de l’historique et des cookies après chaque utilisation des navigateurs de recherche.

À noter que si ces initiatives individuelles peuvent contribuer à améliorer la protection de la vie privée, elles risquent toutefois d’entrer en conflit avec les nouveaux usages et innovations promus par les organisations et entreprises, et donc de limiter, voire d’empêcher, la personnalisation de leur relation avec celles-ci.

Methodologie de l’enquête

L’enquête a été réalisée auprès d’un panel constitué de 1 587 répondants basés dans 6 pays différents : Allemagne, Chine, Etats-Unis, France, Italie, et Royaume-Uni. Les  réponses ont été analysées par les équipes de Wavestone Paris et Luxembourg.  L’échantillon de répondants a été fourni par un tiers (SSIS) avec lequel les équipes de recherche Wavestone collaborent depuis plusieurs années, notamment dans la conduite d’enquêtes destinées à la Commission Européenne. Les questionnaires ont été conçus et traduits par Wavestone puis envoyés par email. Le panel a été sélectionné pour assurer sa représentativité vis-à-vis de la population des pays ciblés sans discrimination de genre ou de catégorie socio-professionnelle, les deux critères de sélections étant qu’il s’agisse de personnes majeures et disposant d’un accès à Internet. L’enquête a été conduite entre juillet et août 2016 et analysée de septembre à décembre 2016 pour une publication en début d’année 2017. Les données de cette enquête ont été rendues anonymes : la collecte est uniquement statistique.

Cet article Dans un monde numérique : quelle vie privée ? est apparu en premier sur RiskInsight.

Dans le monde d’aujourd’hui, le principe de la vie privée est en pleine évolution, tout comme le rôle qu’elle peut jouer au sein de la transformation numérique.

Au sein de Wavestone, nous avons la conviction que les organisations privées comme publiques doivent savoir utiliser les données personnelles pour devenir des champions du numérique, mais tout en maintenant le lien de confiance qui les unit à leurs employés et à leurs clients, la transparence étant pour nous la clé de voûte du maintien de cette confiance.

À travers cette publication, nous avons cherché à éclairer les différentes facettes de ce sujet complexe pour permettre à chaque organisation de trouver son propre positionnement face au défi de la vie privée dans le numérique.

Retrouvez notre synthèse sur la vie privée et la confiance numérique en cliquant ici.

Cet article La vie privée à l’ère numérique : au-delà de la conformité, un enjeu de confiance est apparu en premier sur RiskInsight.

Retour sur ce règlement et sur ce projet de mise en conformité avec Didier Lefèvre (DSI, CSN) et Yannick Thomassier (DSSI, Real.Not, opérateur de l’IGC du CSN).

Que pensez-vous de ce nouveau règlement ?

Yannick Thomassier : Avant ce règlement, il existait la directive 1999/93/CE mais un audit effectué dix ans après sa mise en place a mis en lumière ses limites. La réflexion initiée alors par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe) est claire : « […] la Commission a désigné la fragmentation du marché du numérique, le manque d’interopérabilité et l’augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l’économie numérique ». Le règlement européen se veut remédier à certaines lacunes de la directive 1999/93/CE en imposant une même base légale à tous les États membres. Cependant le règlement n’a pas été pour le moment assorti des actes d’exécution nécessaires à une transposition technique unique au sein de l’Europe. Chaque État membre doit donc décider de la façon dont il l’appliquera et ainsi fixer ses propres règles. Ceci correspond finalement au schéma d’implémentation que nous connaissons actuellement avec la directive 1999/93/CE. En cela le règlement n’a pas encore complètement rempli ses promesses.

Didier Lefèvre : Néanmoins, une des vertus d’eIDAS est qu’il vise à établir une référence sur l’ensemble de la chaine de confiance. Ceci est une amélioration par rapport à la directive 1999/93/CE qui n’adressait qu’un spectre réduit, à savoir la signature électronique.

Pourquoi vous lancez-vous aujourd’hui dans cette mise en conformité eIDAS ?

YT : Nous sommes dans l’obligation de nous mettre en conformité dans la mesure où la signature des notaires est une signature qualifiée.

Quelles sont les opportunités que représente ce règlement pour vous ?

YT : Nous y voyons un intérêt pour le développement de la signature dans le Cloud. L’utilisation de la carte à puce pour signer des actes notariés est un premier pas vers la dématérialisation, mais celle-ci reste encore très contraignante. Or aujourd’hui, l’usage informatique ne se limite plus à un ordinateur, mais il inclut les smartphones, les tablettes, etc. Le notaire est de plus en plus mobile, et il doit être capable de signer via ces dispositifs afin de se démarquer et répondre aux besoins de ses clients. Le règlement eIDAS est une formidable opportunité d’offrir d’autres moyens de signature qualifiée.

Quelles sont la/les principale(s) difficulté(s) que vous avez rencontrée(s) ?

YT : Le planning. Nous avons opté pour une anticipation maximale de cette mise en conformité, car le changement est un processus fastidieux et très long : il faut compulser de nombreux documents, définir de nouveaux processus, mettre en œuvre parfois de nouveaux produits et faire concorder le tout dans un planning qui respecte les jalons fixés dans le règlement lui-même. D’autant plus qu’en tant que professionnel du droit, nous nous devons d’être prêts au bon moment.

Quels conseils donneriez-vous à ceux qui souhaiteraient se lancer dans un projet de conformité similaire ?

YT : Il y a principalement deux points sur lesquels il faut être vigilant. D’une part, il est nécessaire de faire preuve d’agilité face à un nouveau règlement, soumis à de potentielles évolutions. Le corpus documentaire technique français par exemple n’est pas encore figé. D’autre part il faut se mettre en ordre de marche assez rapidement afin de préparer l’audit de certification dans de bonnes conditions.

Comment voyez-vous le futur concernant ce règlement européen ?

YT : L’implémentation technique du règlement eIDAS est sujette à l’interprétation de la part des organes de contrôle nationaux. Cela pourrait impacter son déploiement. Il pourrait donc il y avoir une phase 2 au règlement afin d’en clarifier l’implémentation et rendre ainsi son déploiement homogène au sein de l’Europe.

Et pour la suite ?

YT : Nous espérons obtenir notre qualification eIDAS dans les temps. Rendez-vous le 1er juillet 2017 !

Cet article Nouveau règlement eIDAS : retour sur un projet de mise en conformité est apparu en premier sur RiskInsight.

VERS UN CADRE COMMUN

Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de la directive qu’il abroge, il y apporte cependant quelques modifications, et de nouvelles dispositions, renforçant ainsi cette reconnaissance européenne des services de confiance. Le règlement détermine notamment :

• Les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre ;
• Les règles applicables aux services de confiance, en particulier pour les transactions électroniques ;
• Le cadre juridique pour les services de signatures électroniques, de cachets électroniques, d’horodatages électroniques, de documents électroniques, d’envoi recommandé électronique et les services de certificats pour l’authentification de site internet.

Contrairement à la directive 1999/93/CE, eIDAS est un règlement, il n’y a donc pas de transposition nationale, le texte est applicable pour l’ensemble des États membres.

VERS UNE HARMONISATION EUROPÉENNE : LES POINTS CLÉS

Le règlement introduit un certain nombre de nouvelles notions, parmi lesquelles on peut noter :

• L’acceptation du document électronique en tant que preuve devant la justice;
• La création d’un label de confiance pour un marché plus transparent ;
• L’encadrement des méthodes de validation de signatures qualifiées par le biais de prestataires de services de confiance ;
• Le service de conservation qualifié des signatures électroniques qualifiées pour garantir la fiabilité des signatures et donc leur valeur dans le temps ;
• L’horodatage au niveau européen permettant une reconnaissance de la datation et de l’intégrité de données numérique et donc de la validité juridique du document dans toute l’UE ;
• L’obligation pour les États membres de maintenir des listes de confiance des services et prestataires qualifiés et labélisés à disposition du grand public ;
• L’assouplissement de la signature sécurisée : reconnaissance de la signature créée à distance par un tiers de confiance au nom du signataire pour faciliter les usages en mobilité.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande. Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra otamment le développement de nouvelles offres (en SaaS), objectif clairement affiché de ce nouveau règlement.

eIDAS définit ainsi une graduation en 3 niveaux de signature de personne physique, synthétisé dans le tableau ci-dessous, contre 2 niveaux anciennement pour la directive.

3 niveaux de signature physique

L’Europe s’intéresse à l’adoption de ces technologies dans les pays membres

Les autorités européennes, en particulier la direction générale de l’informatique (DG DIGIT) en charge des 4 piliers fondamentaux que sont l’eInvoicing, l’eDelivery, l’eSignature et l’eID, ont souhaité évaluer concrètement les forces en présence dans chaque pays. À ce titre, ils ont fait réaliser par Wavestone Luxembourg un sondage et organisé des groupes de travail à l’échelle européenne pour identifier les acteurs présents sur le marché et leurs besoins. Les différentes solutions pour stimuler l’adoption de chacun de ces piliers fondamentaux ont été analysées et discutées avec l’ensemble des acteurs. Résultats à venir !

Cet article Nouveau règlement eIDAS : en route vers une Europe de la confiance numérique est apparu en premier sur RiskInsight.

Cette réflexion avait notamment été initiée par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe).  Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de cette directive auxquelles sont apportées quelques modifications, de nouvelles dispositions y sont décrites et viennent renforcer et développer l’acquis qu’elle représente.

Création d’un cadre transnational et intersectoriel

Le principal problème recensé est notamment cité au point (9) du règlement : « Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification électronique pour s’authentifier dans un autre État membre parce que les systèmes nationaux d’identification électronique de leur pays ne sont pas reconnus dans d’autres États membres ». Cette non-reconnaissance est due à l’interprétation et à la mise en œuvre technique par chaque État membre de la directive, ce qui amène ainsi  des problèmes d’interopérabilité et des divergences  lors des contrôles effectués. Concernant les services de confiance tels que l’horodatage ou encore le cachet, les divergences pouvaient émaner de l’absence de cadre juridique clair au niveau européen.

C’est pourquoi, l’objectif du règlement eIDAS (electronic IDentification And trust Services) est d’«instaurer un climat de confiance dans l’environnement en ligne » en fournissant un cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées entre citoyens. Ce climat de confiance couvre donc l’identification et l’authentification électroniques, mais également d’autres services de confiance tels que l’horodatage ou encore le recommandé électronique. La mise en place d’un tel cadre permettra d’effectuer des démarches administratives dans tous les pays membres de l’Union et imposera la reconnaissance mutuelle.

Cependant, il est nécessaire de souligner que le règlement reste ouvert puisqu’il laisse la liberté aux pays membres de définir d’autres types de services de confiance à des fins de reconnaissance au niveau national comme des services de confiance qualifiés.

Concrètement, qu’est-ce que eIDAS va changer ?

Un des premiers points notables concerne la mise en conformité en vue d’une qualification eIDAS pour les Prestataires de Services de Confiance (PSCO). Afin d’intégrer la liste des PSCO qualifiés (qui devra être publiée régulièrement) et donc reconnus par les États membres, ils devront respecter un ensemble d’exigences de sécurité (mesures techniques, organisationnelles, etc.). Pour cela, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, processus de délivrance en face à face, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, etc. L’interopérabilité technique des systèmes passe donc par la revue des référentiels nationaux, comme le Référentiel Général de Sécurité (RGS) ; et la coopération des pays membres.

Cependant, la qualification reste une démarche volontaire, et un label de confiance UE sera créé pour identifier les PSCO qualifiés. Pour obtenir ce label, les prestataires de services de confiance devront se soumettre à des audits qui attesteront du respect des mesures définies dans les standards adossés au règlement. Il est donc fort probable que dans les mois qui viennent, les PSCO recherchant la qualification eIDAS lancent des projets globaux de mise en conformité comprenant la mise à jour documentaire (PC, DPC, PH, DPH, CGU, etc.), la revue de leur architecture d’Infrastructures de Gestion de Clés (IGC), de leurs gabarits de certificats, etc. À noter que les prestataires qualifiés dans le cadre de la Directive restent qualifiés au sens du règlement jusqu’au renouvellement de leur qualification mais devront passer un audit avant le 1er Juillet 2017 pour renouveler leur qualification.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande.

Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra notamment le développement de nouvelles offres (en SaaS) ; objectif clairement recherché du règlement eIDAS.

Cet article Confiance numérique: que doit-on attendre du règlement eIDAS ? est apparu en premier sur RiskInsight.

Les révélations de Snowden sur la NSA derrière l’invalidation du Safe Habor

En principe, le transfert de données personnelles hors de l’Union européenne est autorisé à condition que le pays destinataire offre un niveau de protection des données au moins égal à celui garanti au sein de l’UE. Pour transférer des données personnelles vers des pays non-adéquats, les entreprises doivent s’engager à respecter des accords particuliers permettant de garantir un niveau de protection suffisant au regard du droit européen.

Adopté en 2000, le Safe Harbor est un accord de ce type, autorisant donc le transfert des données personnelles des citoyens européens vers les États-Unis. Plusieurs milliers d’entreprises américaines étaient jusqu’à présent concernées par cet accord, des géants du numérique aux petites et moyennes entreprises. Mais en octobre 2015, la Cour de justice de l’Union européenne (CJUE) – considérant les révélations faites par Edward Snowden sur les pratiques américaines en matière de surveillance – a invalidé le Safe Harbor . En effet, compte tenu de la primauté de la législation américaine liée à la sécurité nationale sur l’accord Safe Harbor, la CJUE a estimé qu’il existe des risques « d’ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ». La CJUE a également motivé sa décision par le fait qu’il n’existait « aucune possibilité pour le justiciable d’exercer des voies de droit » lui permettant d’accéder à ses données ou d’en obtenir la rectification ou la suppression, ce qui est contraire au droit européen.

En considérant que le Safe Harbor ne garantissait pas une protection adéquate des données personnelles, la CJUE a rendu de fait illégale des centaines de milliers de transferts de données. Pour autant, ces transferts transatlantiques ne pouvaient évidemment pas être arrêtés brutalement en raison des forts enjeux économiques inhérents. Conséquence directe de cette invalidation donc, trois mois de latence ont été accordés aux diplomates américains et européens pour négocier et définir un nouvel accord permettant de satisfaire les exigences de la CJUE. Par ailleurs, poursuivant le raisonnement de la CJUE, les CNIL européennes ont demandé que les solutions proposées par les parties s’appuient sur des « mécanismes clairs et contraignants » et comportent « au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits et des personnes ».

Privacy Shield : un tour de force diplomatique qui ne fait pas l’unanimité

Et c’est finalement le 2 février dernier – deux jours après la fin du délai accordé par les CNIL européennes – qu’un accord politique entre les parties européennes et américaines a été trouvé, remplaçant le Safe Harbor par le Privacy Shield . Ce mécanisme devrait permettre aux citoyens européens d’attaquer en justice les entreprises américaines si celles-ci divulguent leurs données personnelles à un tiers sans leur accord ou si elles refusent de fournir un accès aux données collectées les concernant. Une commission bipartite devrait également être créée pour contrôler l’application de l’accord, et un système d’arbitrage spécial via un médiateur sera mis en place en tant qu’instance de dernier recours. Par ailleurs les États-Unis ont fourni une garantie écrite assurant que l’accès aux données des citoyens européens par les services de renseignement sera limitée et contrôlé.
Mais le Privacy Shield fait déjà grincé des dents, puisqu’il est, pour l’instant, seulement un accord politique et donc non-contraignant juridiquement. Côté européen, une transposition dans le droit communautaire est le préalable pour qu’il puisse produire des effets juridiques.

Au-delà de l’accord de principe et du soulagement immédiat à la hauteur du défi diplomatique que représentait la conclusion d’un tel accord dans des temps aussi courts, il s’agira de constater, dans les mois et années à venir, sa traduction en règles juridiquement contraignantes et effectivement respectées. Dans le cas contraire, ce nouvel accord sera de toute évidence, à son tour, contesté devant la CJUE qui est la seule autorité compétente pour déclarer l’invalidité d’un acte de l’Union.

Sceptiques, les CNIL européennes se prononceront en mars

Une entrée en vigueur de l’accord « EU-US Privacy Shield » est prévue d’ici trois mois et sera pilotée durant les prochaines semaines par la Commission européenne. Par ailleurs cette dernière sera attentive à l’avis des vingt-neuf CNIL européennes, autrement appelées G29. Réuni le 3 février, et dirigé actuellement par la Présidente de la CNIL française Isabelle Falque-Pierrotin, le G29 s’est montré réservé sur le Privacy Act, avec cette formule : « We can’t just accept words. (…) The legal format of the arrangement is still unclear for us ». Les CNIL européennes attendent en effet la réception de l’ensemble des documents composant le Privacy Shield, d’ici la fin du mois de février, pour se prononcer sur le fond de l’accord à la fin du mois de mars .

Ce même jour le G29 était justement réuni pour présenter son interprétation de la jurisprudence européenne, fondée sur la décision de la CJUE, en matière de transfert des données personnelles. Pour les autorités européennes, quatre garanties doivent donc être respectées, et seront donc considérées dans les semaines à venir lors de l’étude du Privacy Act :

1. Le traitement des données doit être fait selon des règles claires, précises et accessibles
2. L’accès aux données doit être nécessaire et proportionnel à la fin poursuivie
3. Un mécanisme indépendant de surveillance doit pouvoir vérifier l’accès aux données
4. Des recours effectifs doivent exister pour les citoyens

En attendant d’en savoir plus sur le Privacy Shield, le G29 est resté pragmatique au sujet des transferts actuels de données personnelles en les autorisant, jusqu’à nouvel ordre . Enfin, Isabelle Falque-Pierrotin, réélue à la tête du G29 le 3 février, a partagé son inquiétude sur les probables répercussions de l’élection présidentielle américaine à venir sur l’accord.

Cet article Transfert des données UE-USA : le Safe Harbor remplacé par le Privacy Shield est apparu en premier sur RiskInsight.