La plus haute cour de l'Union européenne a clairement indiqué aujourd'hui – une fois de plus – que les programmes de surveillance de masse du gouvernement américain sont incompatibles avec le droit à la vie privée des citoyens de l'UE. Le jugement a été rendu dans la dernière affaire impliquant le défenseur autrichien de la vie privée et gagnant du prix Pioneer EFF Max Schrems . Il a invalidé le «Privacy Shield», l'accord de protection des données qui sécurisait le flux de données transatlantique, et restreint la capacité des entreprises à transférer des données en utilisant des accords individuels ( clauses contractuelles types ou CCS).
Malgré les nombreuses déclarations «nous sommes déçues» de la Commission européenne, des représentants du gouvernement américain et des entreprises , cela ne devrait pas surprendre, car cela suit le raisonnement de la Cour dans l'affaire précédente de Schrems, en 2015 .
À l'époque, la Cour de justice de l'UE (CJUE) avait noté que les citoyens européens n'avaient pas de véritable recours en droit américain si leurs données étaient balayées dans les programmes de surveillance des gouvernements américains. Une telle violation de leurs droits fondamentaux à la vie privée signifiait que les entreprises américaines ne pouvaient pas fournir un «niveau adéquat de protection [des données]», comme l'exige la législation européenne et promis par le régime d'autorégulation UE / États-Unis «Privacy Safe Harbor». En conséquence, la sphère de sécurité a été jugée inadéquate et les transferts de données par des entreprises entre l'UE et les États-Unis ont été interdits.
Depuis cette décision initiale, les entreprises multinationales, le gouvernement américain et la Commission européenne ont cherché à masquer les écarts énormes entre les pratiques d'espionnage américaines et les valeurs fondamentales de l'UE. Le gouvernement américain a clairement indiqué qu'il n'avait pas l'intention de modifier ses pratiques de surveillance, ni de faire pression pour des correctifs législatifs au Congrès. Au lieu de cela, toutes les parties ont convenu de simplement contourner les pratiques transatlantiques en matière de données, réinventant le précédent accord Safe Harbor, qui régissait faiblement le traitement par les entreprises des données personnelles des citoyens de l'UE, sous un nouveau nom: le bouclier de protection des données UE-États-Unis.
L'EFF, avec le reste de la société civile des deux côtés de l'Atlantique, a souligné qu'il ne s'agissait que de remuer les chaises sur le Titanic . La Cour a cité des programmes gouvernementaux comme PRISM et Upstream comme sa principale raison pour mettre fin aux flux de données entre l'Europe et les États-Unis, et non les pratiques de confidentialité (certes déplorables) des entreprises elles-mêmes. Cela signifiait qu'il appartenait entièrement au gouvernement et au Congrès américain de décider si les entreprises technologiques américaines étaient autorisées à traiter les données personnelles européennes. Le message adressé au gouvernement américain est simple: corriger la surveillance de masse américaine ou saper l'une des principales industries des États-Unis.
Cinq ans après l'iceberg original de Schrems 1, Schrems 2 a poussé le Titanic complètement sous les vagues. Le nouvel arrêt souligne explicitement les faiblesses de la législation américaine en matière de protection des personnes non américaines contre la surveillance arbitraire, soulignant que:
L'article 702 de la FISA n'indique aucune limitation du pouvoir qu'il confère de mettre en œuvre des programmes de surveillance à des fins de renseignement étranger ou l'existence de garanties pour les personnes non américaines potentiellement visées par ces programmes.
et
… ni l'article 702 de la FISA, ni l'OE 12333, lu conjointement avec la PPD ‑ 28, n'est corrélé aux garanties minimales résultant, en vertu du droit de l'Union, du principe de proportionnalité, de sorte que les programmes de surveillance fondés sur ces dispositions ne peut être considéré comme limité à ce qui est strictement nécessaire.
La CJUE ne saurait être plus directe dans ses déclarations: mais on ne sait toujours pas comment réagiront les différents acteurs susceptibles de résoudre ce problème. Les autorités de protection des données de l'UE vont-elles intensifier leurs activités d'application et invalider les SCC qui autorisent les flux de données vers les États-Unis pour ne pas avoir protégé les citoyens de l'UE des programmes de surveillance de masse américains? Et si les entreprises américaines ne peuvent pas compter en toute confiance sur les CSC ou sur le défunt Privacy Shield, feront-elles plus de pression pour obtenir de véritables changements législatifs américains afin de protéger les droits à la vie privée des Européens aux États-Unis – ou trouveront-elles simplement une autre solution provisoire pour forcer une nouvelle décision de la CJUE? Et la Commission européenne passera-t-elle de la défense du statu quo et des pratiques actuelles des entreprises à une véritable action au nom de ses citoyens?
Quelle que soit la réaction initiale des régulateurs européens, des entreprises et de la Commission, la vraie solution réside, comme toujours, avec le Congrès américain. La décision d'aujourd'hui est un autre indicateur significatif que les pratiques de surveillance du renseignement étranger du gouvernement américain ont besoin d'une refonte massive. Le Congrès a entamé sans enthousiasme le processus d'amélioration de certaines parties de la FISA au début de cette année – un processus qui semble maintenant avoir été abandonné. Mais cette décision montre, une fois de plus, que les États-Unis ont besoin d'une réforme beaucoup plus large et protectrice de la vie privée, et que l'inaction du Congrès nous rend tous moins en sécurité, où que nous soyons.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/07/eu-court-again-rules-nsa-spying-makes-us-companies-inadequate-privacy le Thu, 16 Jul 2020 22:37:44 +0000.