Par Christine Tréguier - 8 octobre 2015
La CJUE condamne le Safe Harbor
La Cour de justice de l’Union européenne (CJUE) vient de taper un grand coup sur les doigts de la Commission européenne en invalidant l’accord Safe Harbor, également connu comme l’accord sur la « sphère de sécurité ». Cette décision, adoptée en 2000 par la Commission, permet aux entreprises américaines, et en particulier aux géants du net, de transférer les données personnelles de leurs utilisateurs européens vers des serveurs situés aux Etats Unis. Il leur suffit pour cela de souscrire au Safe Harbor et de certifier qu’ils se conforment à un certain nombre de « principes de protection adéquats ». L’engagement est purement déclaratif et les signataires ne sont soumis à aucun contrôle. Ce petit arrangement a permis durant quinze ans de satisfaire aux besoins des entreprises sans enfreindre explicitement la directive de 1995 sur la protection des données personnelles qui exige un niveau de protection adéquat en cas de transfert vers des pays tiers.
Pour la CJUE « la Commission était tenue de constater que les États-Unis assurent effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte. La Cour relève que la Commission n’a pas opéré un tel constat, mais qu’elle s’est bornée à examiner le régime de la sphère de sécurité. »
Quel que soit le niveau de protection de cet accord, relève encore la Cour, les autorités publiques des États-Unis n’y sont pas soumises. Pire, « les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences. »
C’est cette préséance des intérêts supérieurs de l’état sur toute notion de vie privée qui a poussé Max Schrems à intenter la procédure sur laquelle la CJUE vient de statuer. Ce jeune avocat autrichien s’était fait connaître en 2010 par son action contre Facebook. Il avait alors réclamé au réseau social une copie de l’intégralité de ses données personnelles. Celui-ci lui avait adressé un CD Rom contenant plus de 1200 pages dans lesquelles figuraient quantité de données qu’il avait effacées. Suite à la révélation en 2013 par Edward Snowden de l’existence du programme Prism grâce auquel la NSA (National Security Agency) accède aux données détenues par certains grands acteurs du net comme Google, Apple, Facebook, YouTube, AOL ou Yahoo !, Schrems avait porté plainte contre Facebook auprès de l’autorité de protection de la vie privée irlandaise (son siège européen est situé en Irlande). Son argument principal est que les données personnelles transférées sur les serveurs américains de la société ne bénéficient pas d’une protection suffisante contre la surveillance des autorités publiques. La plainte avait été rejetée par l’autorité irlandaise qui s’était retranchée derrière le Safe Harbor et son « niveau de protection adéquat ». Schrems avait alors saisi la Haute Cour de justice laquelle s’était tournée vers la CJUE afin de savoir si l’accord excluait qu’une autorité nationale de contrôle enquête auprès de l’entreprise américaine et suspende éventuellement le transfert de données contesté.
L’avocat peut aujourd’hui se féliciter de son action. La CJUE a non seulement constaté que la supposée protection de la vie privée garantie par le Safe Harbor n’est pas équivalente à celle en vigueur en Europe, mais également que les justiciables ne disposent d’aucune voie de recours pour accéder ou modifier leurs données et que, de fait, l’accord prive les autorités de contrôle de tout pouvoir. Autant de raisons valables pour invalider la décision de la Commission qui lui avait donné naissance et ordonner à l’autorité irlandaise de traiter au plus vite la plainte de Max Schrems.
Le jour même, le Groupe 29 (Groupe des autorités de protection des données européennes) a publié un communiqué soulignant l’importance de ce jugement dans un contexte où la surveillance de masse existe et où « de sérieuses questions concernant la continuité du niveau de protection des données se posent lorsque celles-ci sont transférées aux Etats Unis ». Il convoque dans la foulée une première réunion d’experts afin d’examiner les conséquences de cet arrêt pour tous les acteurs impliqués dans les négociations du futur règlement européen sur la protection des données et dans les discussions en cours pour la renégotiation du Safe Harbor demandée par le Parlement depuis avril 2014.
Il est clair que les milliers d’entreprises qui ont souscrit au Safe Harbor ne vont pas cesser pour autant de transférer des données et que des biais juridiques seront trouvés pour qu’elles puissent poursuivre leurs activités. Mais en invalidant cet accord la CJUE pointe du doigt la politique américaine en matière de surveillance et attise encore une fois la méfiance vis à vis des principaux acteurs américains de la données que sont les réseaux sociaux, les moteurs de recherche ou encore les prestataires de cloud.
P.-S.
Sur le Web
8 octobre 2015
France : La direction d’une école collaborait avec la police pour surveiller une bibliothèque anarchiste
A la fin du mois de septembre, des participants à la bibliothèque anarchiste ’La Discordia’ à Paris sont rentré dans l’école Montessori car ils se doutaient qu’un dispositif y était placé pour espionner la bibliothèque. Après avoir du exiger un rendez-vous avec la directrice de l’établissement qui finit par reconnaître la présence de l’engin. Après la sortie des classes, ils parviennent à négocier l’accès au cagibi où se trouvait le dispositif, avant de devoir s’en emparer par la force, se rendant compte que ’tout le monde’ dans le personnel est au courant de son existence et qu’il était placé là depuis -au moins- la seconde semaine du mois de juillet.
Une fois le boitier récupéré, il est démonté et photographié pour pouvoir récolter plus d’informations à son sujet et partager cette découverte. Les photos peuvent être récupérées dans deux fichiers zip disponibles ici et ici. Le boitier renfermait un grand nombre de matériaux sophistiqués : une caméra dont le zoom était contrôlable à distance, des antennes, du matériel réseau destiné à pouvoir regarder et interagir avec le matériel à distance et en direct.
Les participants de la Bibliothèque Discordia rappelle qu’il est important de partager ce genre d’informations lorsqu’elles se révèlent plutôt que de les cacher.
Des données privées trouvables sur 57 % des mobiles d'occasion
Les smartphones d'occasion constituent une piste valable pour obtenir un smartphone récent sans dépenser des sommes astronomiques. Mais une étude souligne que des données personnelles peuvent encore figurer sur ces mobiles .
C'est un fait : les smartphones coûtent cher. Certains modèles du segment très haut de gamme atteignent même des sommets, avec des prix qui franchissent la barre des 1000 euros. Bien sûr, il existe aussi des mobiles dont le tarif ne dépasse pas les 100 ou les 200 euros. Mais cela n'est pas sans conséquence : à ce prix, les performances et les fonctionnalités seront plus modestes.
Il existe toutefois une troisième voie qui s'intercale entre l'achat d'un smartphone ultramoderne mais hors de prix et l'acquisition d'un téléphone bon marché mais qui est susceptible de rapidement montrer ses limites : il s'agit de l'achat d'un mobile d'occasion. Cette solution est, selon une étude datée de 2013, est envisagée par une part importante des Français interrogés sur le sujet.
Mais encore faut-il que les téléphones vendus d'occasion soient correctement effacés, afin de ne plus laisser la moindre trace d'une utilisation antérieure. Dans l'enquête menée il y a deux ans, les sondés indiquaient que le principal obstacle pour sauter le pas était la crainte de laisser des données par inadvertance dans le mobile qui pourraient ensuite être consultées par le nouveau propriétaire.
Cette crainte n'est pas infondée, même s'il existe dans les smartphones actuels des outils pour restaurer un mobile dans son état "d'usine" (avec Android par exemple, un réglage dans les paramètres permet de rétablir la configuration de base en effaçant toutes les données de l'appareil). En effet, une analyse menée par Blancco Technology Group et Kroll Ontrack montre que des traces résiduelles peuvent subsister.
Que dit l'étude ? Après avoir examiné un échantillon de 122 appareils (dont des disques durs et des disques SSD) qui ont été achetés sur des plateformes de e-commerce comme Amazon et eBay, il a été constaté, en ce qui concerne les mobiles, que "des milliers de messages électroniques, journaux d’appels, SMS, messages instantanés, photos et vidéos ont été récupérés sur 35 % des appareils mobiles"
Quant aux solutions d'effacement, elles ne paraissent pas être d'une efficacité à toute épreuve : "un examen plus approfondi démontre qu'une tentative de suppression a été effectuée sur 57 % des appareils mobiles qui contenaient des données résiduelles. Ces tentatives de suppression ont échoué à cause des méthodes courantes mais peu fiables utilisées, laissant des informations sensibles exposées et potentiellement accessibles".
Blancco et Kroll précisent que même les mobiles qui avaient bénéficié d'une restauration d'usine présentaient encore des traces. Ils notent que cette méthode de suppression, jugée plus performante que d'autres, est toutefois insuffisante pour vraiment tout nettoyer. Ce qui tombe à pic pour ces deux sociétés. En effet, chacune vend des outils d'effacement de données.
