Journal Safe Harbor est mort, vive Safe Harbor !

Posté par  . Licence CC By‑SA.
36
12
juil.
2016

Sommaire

Bonjour nal,

Un journal bookmark pour te parler d'un sujet qui tient hacker de pas mal de monde ici : la vie privée.

Le contexte

Comme tu le sais, l'accord Safe Harbor a été invalidé par la Cour de justice de l'Union Européenne en octobre 2015. La raison était simple mais quelque peu humiliante pour les rédacteurs de l'accord : l'accord offrait aux citoyens européens un niveau de protection inférieur à celui prévu par la directive régissant la protection des données personnelles. Cette directive interdisait en effet le transfert de données depuis l'Union Européenne vers des états non membres de l'UE offrant un niveau de protection moindre que le niveau européen. Comme le niveau de protection européen est très élevé, peu d'états offrent ce niveau de protection, et encore moins d'états concentrent protection élevée et concentration en personnes compétentes pour exploiter ces données. C'était la raison d'être de Safe Harbor : permettre le transfert de données entre l'UE et les USA dans le respect de la directive 95/46/CE. Concrètement, ça prenait la forme d'un traité entre l'UE et les USA où les américains s'engageaient sur un certain nombre de points de la protection des données personnelles des européens. Les entreprises devaient passer, tous les ans, un processus de certification de ces points. Les traités internationaux ayant force de loi, les USA pouvaient être vus comme aussi protecteurs que l'UE, ce qui permettait le transfert des données personnelles sans violer la directive 95/46/CE.

Le point de vue américain sur la question des données personnelles

À ce niveau, cher journal, il est bon que je te rappelle le point de vue américain sur la question. En droit américain, les données sont vues comme à peu près un bien marchand et appartiennent donc, comme tout bien marchand, à l'entreprise qui les produit. La marge d'intervention de la personne concernée par les données est donc extrêmement limitée puisqu'une fois la donnée produite, on n'a légalement plus la main dessus.

De plus, les entreprises américaines sont soumises au Patriot Act, qui leur impose de partager leurs données avec la NSA sur simple requête tout en leur interdisant d'informer quiconque de cette transmission de données. Edward Snowden a démontré que, non seulement la NSA faisait usage de ce dispositif, mais qu'elle en avait industrialisé l'usage au point d'avoir des accords de coopération avec plusieurs très grosses boîtes américaines.

La fin du Safe Harbor

Max Schrems est un activiste autrichien qui s'était déjà fait connaître pour son combat contre Facebook concernant la protection de la vie privée. Une de ses plaintes, déposée en Irlande, est remontée au niveau de la Cour de justice de l'Union Européenne. La Cour constate que Facebook respecte bien le Safe Harbor, pas de problème de ce point de vue. Ce qui est beaucoup plus problématique, c'est que le Safe Harbor est plus permissif que la directive qu'il est censé faire appliquer. La conclusion est alors évidente : le traité violant la loi qu'il est censé faire appliquer, il est lui-même caduc. Fin du Safe Harbor. commence alors une période d'incertitude juridique pour les entreprises américaines : même si la directive 95/46/CE était respectée en pratique après transfert des données, elle interdirait toujours le transfert des données vers les USA.

L'accord "Privacy Shield"

Le but du Privacy Shield, validé par la Commission Européenne le 12 juillet, est donc de fournir à nouveau un cadre juridique permettant le transfert de données personnelles vers les USA.

Problème : ce Privacy Shield n'est pas beaucoup plus protecteur que le défunt Safe Harbor. Par exemple, il prévoit un droit d'accès et de rectification des données personnelles erronées pour la personne concernée. Problème : ce que prévoit la directive 95/46/CE, c'est un droit d'accès, de rectification et de suppression. De même, la directive 95/46/CE, qui date de 1995, est très protectrice concernant les accès aux données par les états et les services de renseignement. Elle interdit notamment l'accès généralisé aux données (précisément la raison d'être de la NSA). Que prévoit le Privacy Shield ? Que l'on peut accéder aux données, si c'est pour la sécurité des états européens. On sent que le 13 novembre 2015 est passé par là. La Quadrature du Net ne s'y est d'ailleurs pas trompée, dans un communiqué publié dès le mois de mars.

Conclusion

En conclusion, j'ai bien peur qu'on ait remplacé Safe Harbor par quelque chose de pas vraiment plus protecteur. Il y avait pourtant des choses à faire, comme le droit au pseudonymat (n'est-ce pas Facebook), la protection contre la surveillance généralisée… J'ai bien peur que ce nouvel accord soit cassé tout comme l'ancien.
Je laisse le mot de la fin à la Cour de Justice de l'Union Européenne, la citation étant extraite de l'arrêt du 6 octobre 2015 :

La Commission était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union. La Cour relève que la Commission n’a pas opéré un tel constat.

  • # Journal bookmark ?

    Posté par  . Évalué à 10. Dernière modification le 12 juillet 2016 à 16:13.

    Tu viens de donner aux journaux bookmarks leurs lettres de noblesse.

    • [^] # Pendant ce temps la en Russie...

      Posté par  . Évalué à 10.

      Les russes ont obligés les acteurs du "cloud" à héberger leur données sur le sol russe si les utilisateurs sont russe. Apple avec iCloud s'y est par exemple plié l'année dernière, je pense qu'on pourrait s'inspirer de ça aussi en Europe, ça éviterai que la majeur partie du trafic européen passe par les USA et donc compliquerai les écoutes passive de la NSA et ça remplirai nos data-center plutôt que ceux des USA.
      Mais bon le protectionnisme parait que c'est pas cool pour l'économie donc l’Europe fera jamais ça.

      • [^] # Re: Pendant ce temps la en Russie...

        Posté par  . Évalué à 4. Dernière modification le 12 juillet 2016 à 22:20.

        D'un autre côté la NSA est vaguement moins censée défoncer les infrastructures sur son sol (en théorie) alors qu'elle n'a aucune limite en terre étrangère. Bref, dans tous les cas on est dans la merde.

        • [^] # Re: Pendant ce temps la en Russie...

          Posté par  . Évalué à 2.

          Ce n'est pas tout à fait vrai. La CIA n'a pas le droit d'opérer sur le sol US : c'est une agence de renseignement dont le mandat est de détecter les menaces externes. La NSA a parfaitement le droit d'opérer sur le sol US, pour détecter les menaces internes.

    • [^] # Re: Journal bookmark ?

      Posté par  . Évalué à 5.

      En fait, à la base le but était d'envoyer les gens lire l'article du monde.fr, et puis au final, j'ai voulu ajouter un peu de contexte… Et puis voilà. Bon, à la base c'était un journal bookmark avec 2 liens.

      Ça, ce sont les sources. Le mouton que tu veux est dedans.

  • # Mauvaise expression dans le titre

    Posté par  (site web personnel) . Évalué à 0. Dernière modification le 12 juillet 2016 à 16:36.

    Comme d'habitude, l'expression "le roi est mort, vive le roi" est mal interprétée en pareilles circonstances.

    En effet, le "vive le roi" fait référence au nouveau roi qui succède immédiatement après le décès de son prédécesseur pour garantir la continuité à la tête du royaume.

    Du coup, Safe Harbor est mort, vive Privacy Shield !

    • [^] # Re: Mauvaise expression dans le titre

      Posté par  . Évalué à 10.

      Ah non mais j'ai parfaitement compris l'expression, la thèse du journal est justement que Privacy Shield est trop peu différent de Safe Harbor pour justifier une appellation différente.

      Ça, ce sont les sources. Le mouton que tu veux est dedans.

      • [^] # Re: Mauvaise expression dans le titre

        Posté par  . Évalué à 8.

        Si ça peut te rassurer, j’avais compris ça comme tu as voulu l’écrire.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # 2 typos et une clarification

    Posté par  . Évalué à 3.

    2 typos :
    - Titre de section "Le Contexte" : pas de majuscule en milieu de titres en typographie française
    - Titre de section "La fin du Safe Harbor #" : Le # est bien entendu une erreur de Markdown de ma part

    Une clarification :

    Le but du Privacy Shield est donc de fournir à nouveau un cadre juridique permettant le transfert de données personnelles vers les USA.

    (première phrase du paragraphe sur l'accord Privacy Shield)

    Dit comme ça, on ne comprend pas en quoi c'est nouveau (or c'est l'intérêt du journal). La clarificatiion serait donc :
    Le but du Privacy Shield, validé par la Commission Européenne le 12 juillet, est donc de fournir à nouveau un cadre juridique permettant le transfert de données personnelles vers les USA.

    Si un modérateur passe dans le coin et prend le temps de faire les corrections, qu'il en soit remercié :)

    Ça, ce sont les sources. Le mouton que tu veux est dedans.

    • [^] # Re: 2 typos et une clarification

      Posté par  . Évalué à 4.

      C'est fait, j'ai aussi corrigé un interdiasit.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.