Données exportées hors d'Europe :  à vous de juger et de jauger l'état policier qui y règne...

 |  | 953 mots
Lecture 5 min.
Jean-Jacques Quisquater et Charles Cuvelliez.
Jean-Jacques Quisquater et Charles Cuvelliez. (Crédits : DR)
OPINION. Un des éléments qui a fâché la Cour Européenne de Justice quand elle a annulé pour la deuxième fois les transferts de données EU-US (l'arrêt Schrems II), c'est le programme de surveillance et de renseignement opaque qu'ont mis en place les autorités américaines. (*) Par Charles Cuvelliez, université de Bruxelles, Ecole Polytechnique de Bruxelles et Jean-Jacques Quisquater, université de Louvain, Ecole Polytechnique de Louvain et MIT

L'EDPB qui regroupe les CNIL européennes avait déjà proposé des lignes directrices, lors de la première annulation des transferts EU-US (arrêt Schrems I), les European Essential Guidelines (EEG). Elles  permettent de juger si un pays a mis en place un programme de surveillance, que ce soit via les autorités judiciaires ou des services de renseignement, qui interfère raisonnablement et de manière justifiée avec les droits fondamentaux de protection des données et de respect de la vie privée. Ces recommandations prennent un certain sel aujourd'hui avec la contestation de la loi sécurité....

Cette analyse avec les EEG, ce n'est toutefois qu'une partie de l'équation dit l'EDPB pour garantir que le pays tiers est éligible à une décision d'adéquation de la Commission Européenne. Cette dernière est prévue est prévue par l'Article 45 du RGPD. Il n'y a que peu de pays reconnus ainsi mais cela n'empêche pas une entreprise d'exporter des données dans un autre pays. C'est à elle alors de s'assurer que ce pays est respectueux de la vie privée via l'article 46 du RGPD et d'en assumer la responsabilité. C'est à l'entreprise alors de s'emparer des EEG pour juger, rien de moins, les vertus de ce pays dans la surveillance de ses citoyens et des données personnelles sur son territoire.

La Cour ne donne pas de lignes directrices après avoir critiqué le programme de surveillance US. L'EDPB a donc remis à jour les siennes via les EEG pour l'aspect surveillance.

Les quatre European Essential Guidelines

Il y a 4 EEG. La première exige des règles claires en cas de surveillance pour avoir une base à contester en justice. Ce que l'EDPB appelle interférence avec le droit à la vie privée et la protection des données doit être prédictible pour prévenir des abus. Le côté prédictible ne doit pas amener la cible à prévoir ou se douter qu'il sera sous écoute. Les lois du pays doivent être suffisamment claires pour donner au citoyen la clarté sur les circonstances et les conditions dans lesquelles il pourrait être surveillé.

La deuxième EEG concerne le principe de proportionnalité et de nécessité. Un pays tiers qui n'indiquerait pas clairement les limitations au pouvoir qu'il donne à ses programmes de surveillance ne satisfera pas au principe de proportionnalité, d'après l'EDPB. Quant au principe de nécessité, dans son arrêt Schrems II, la Cour insiste sur le cas, négatif, des législations qui autorisent sur base généralisée le stockage des données personnelles de toutes les personnes transférées, sans limitation, différenciation, limitation au regard de l'objectif poursuivi et sans critère préétabli avec lequel des autorités pourraient accéder aux données. Cela rappelle évidemment l'annulation de la directive Data Retention, prise dans la foulée des attentats de Madrid, par la même cour de justice. Elle obligeait les opérateurs de stocker une grande quantité d'information sur le comportement des utilisateurs sur le Net.

La troisième EEG impose l'existence d'un mécanisme indépendant de supervision. Si programme de surveillance, il y a, il doit être supervisé et supervisable par une autorité indépendante dirigée par un juge ou un organisme indépendant. Ce n'est pas  tout de disposer d'une autorisation légale ou judiciaire, il faut vérifier que son exécution ne donne pas lieu à des abus. C'est ce que vise cet EEG. Pour la collecte en temps réel de données ou les données de localisation, cette supervision contrôlera ses limites au strict nécessaire. Seul des cas d'urgence peuvent s'en passer. La Cour Européenne des Droits de l'Homme a exprimé sa préférence pour avoir un juge qui dirige cette supervision mais elle n'exclut pas d'autres organismes pour autant qu'une indépendance soit assurée.  La manière de nommer ses membres fait la différence. Ils peuvent  l'être par un ministre s'ils sont aptes à occuper une fonction judiciaire, une manière d'esquiver le conflit d'intérêt avec un exécutif (qui est souvent le commanditaire des programmes de surveillance). La supervision doit être transparente pour le public qui doit pouvoir savoir.

Dernier EEG, le droit de recours: tout individu doit pouvoir en bénéficier. Evidemment ce droit de recours ne peut s'exercer que si le citoyen se sait être sur écoute et surveillé. Cette notification ne peut mettre en péril l'objet même de la surveillance, dit l'EDPB. Une fois la surveillance finie, la notification au citoyen peut avoir lieu (souvent lorsqu'il est poursuivi) et le recours peut s'effectuer mais que faire s'il n'y a pas ou jamais de notification car l'individu n'est pas inquiété ? L'essentiel est qu'il existe une un organisme devant laquelle on peut exercer un droit de recours.

Ces EEG forment la base pour s'assurer que le niveau d'interférence avec les droits fondamentaux reste acceptable  Ces EEG, issue de l'observation de ce qui se passe en Europe, autorisent un certain degré d'interprétation car tout ne ressemble pas à la législation européenne. En fait,  ces EEG devraient être la norme qui s'applique à tous les pays du monde dit l'EDPB. Il n'empêche : pour une entreprise, juger sur base de ces EEG si le pays est suffisamment « démocratique » est une gageure d'autant qu'il doit le faire avec le partenaire dans le pays qui recevra les données. C'est sans doute ce dernier qui se chargera de la besogne, en toute objectivité et sans pression ?

______

Pour en savoir plus : Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, Adopted on 10 November 2020, EDPB

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 27/11/2020 à 15:56 :
J'ai discuté il y a quelques jours avec une amie qui me disait qu'elle s'était faite pirater sa carte bleue par un groupe mafieu résidant en Thailande, de Thaîlande, ils avaient piraté la caméra de surveillance du distributeur de billets située dans son trou perdu, une toute petite ville, afin de lui dérober son code, ils ont fait pour pas chère une fausse carte et de Thaîlande ont retiré plusieurs milliers d'euros en liquide.

Est-ce que c'est encore la faute aux GAFA là ou aux américains dans l'ensemble tant qu'à faire maintenant ? Ne sommes nous pas en train de nous disperser sur eux tandis que le problème vient visiblement et même clairement d'ailleurs, d'avant notamment ?

Et franchement sans rire vous croyez que ce sont des lois qui vont empêcher cela sachant qu'il n'y aura jamais de sécurité sur internet étant un réseau "peer to peer" et donc entièrement interdépendant des autres ? Non l'Europe est encore une fois à la ramasse analysant un problème du 21 ème siècle avec des outils du 19 ème.
Réponse de le 30/11/2020 à 13:39 :
difficile de à parer ça, sauf à limiter le maxi de sa carte et interdire tout débordement, et utiliser d'autres moyens de paiement pour le reste.
Rien ne vaut les espèces, on ne risque pas de perdre plus que ce qu'on a.
Réponse de le 01/12/2020 à 19:51 :
Enfin la banque a une grosse responsabilité quand même et ce qui est cocasse ce sont ces caméras dites de sécurité qui se font les complices des voleurs, un véritable symbole.

Pour la petite histoire quand même c'est la banque qui lui a téléphoné pour vérifier certains achats après qu'elle soit tombé dans le rouge, trouvant bizarre qu'elle arrivait à faire des achats dans le 24 et quelques heures après en Thaïlande puis quelques heures après de nouveau dans le 24...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :