Fuites de données en cascade, attaques de plus en plus discrètes et industrialisation du cybercrime : la France apparaît comme l’un des pays les plus exposés au monde. Derrière la multiplication des incidents touchant l’État comme les entreprises, se dessine une menace durable, à la fois criminelle et géopolitique, à laquelle les pouvoirs publics tentent d’apporter une réponse. L’incident de sécurité chez France Titres, l’Agence nationale des titres sécurisés (ANTS), survenu le 15 mars dernier, avec lequel 11,7 millions de comptes se sont trouvés exposés, est-il l’incident de trop ? En tout cas, il intervient après de nombreuses intrusions et fuites de données concernant des services publics dont on aurait pu penser qu’ils étaient beaucoup mieux protégés que les bases de données d’entreprises privées. Ce nouvel épisode montre en tout cas combien la France est une cible de choix pour les cyberpirates de tout poil. Car l’ANTS s’inscrit dans une série d’incidents réce...
Suite à l’invalidation du régime du « Safe Harbor » par la Cour de Justice de l'Union Européenne en octobre dernier, des responsables européens et américains ont annoncé la nuit dernière la conclusion d’un nouvel accord encadrant les transferts de données personnelles, baptisé le « EU-US Privacy Shield ».
Si le texte de cet accord « bouclier » n’a pas encore été publié, ses principaux aspects ont été révélés :
· Les Etats-Unis ont donné à l’Europe des garanties écrites assurant que l’accès des pouvoirs publics aux données personnelles pour raison de sécurité nationale sera soumis à des limitations claires, ainsi qu’à des mesures de sécurité et des mécanismes de contrôle ;
· Un médiateur rattaché au Ministère des Affaires Etrangères (State Department) des Etats-Unis sera nommé pour traiter les plaintes des citoyens européens visant la surveillance exercée par les Etats-Unis et pour répondre aux questions relatives à l’accès aux données personnelles pour raison de sécurité nationale, sur requête du Groupe de travail « Article 29 » sur la protection des données (G29) ;
· La Commission Européenne et le Département du Commerce américain procèderont à une révision annuelle conjointe de l’accord et vérifieront que, conformément aux assurances écrites données par les services de renseignement américains (Office of the Director of National Intelligence), la surveillance des citoyens européens reste limitée et proportionnée au but recherché ;
· Le régime du « Safe Harbor » sera renforcé : garantie des droits individuels, publication des engagements, contrôle par le Département du Commerce, mise en application par la Federal Trade Commission, et obligation pour les entreprises qui traitent les données RH européennes de respecter les décisions du G29 ;
· L’accord prévoit différents niveaux de recours pour traiter les plaintes des citoyens européens, notamment la possibilité pour ces derniers de recourir à des méthodes alternatives gratuites de règlement des litiges (ADR), ainsi qu’un « mécanisme de dernier recours » sur lequel aucune précision n’a été donnée.
Ce régime reste soumis à l’accord des pouvoirs publics de chaque côté de l’Atlantique. Côté européen, un projet de « décision d’adéquation » sera préparé dans les prochaines semaines, sur lequel le Collège des Commissaires devra se prononcer après avis du G29 et consultation d’un comité de représentants des Etats Membres. Selon la Commissaire Jourova, cette procédure pourrait prendre jusqu’à trois mois. Côté américain, beaucoup d’aménagements seront nécessaires, parmi lesquels, vraisemblablement, l’adoption par le Congrès du Judicial Redress Act actuellement en cours d’examen.
A l’évidence, cette annonce est une bonne nouvelle pour les entreprises qui transfèrent des données personnelles européennes vers les Etats-Unis. Mais il faudra toutefois attendre l’analyse de l’accord pour en tirer des conclusions définitives.