 Je ne pense vraiment pas que je dois vous présenter Max, d'accord ? Mais je vais essayer. Je suis heureux pour tout. Mon ami Austrian, Max, le gars qui est essayant d'attendre Facebook, oui, j'ai pris un petit peu. Pardonne-moi, mon frère. Ok. Comment nous avons été arrivés maintenant ? Ok, est-ce qu'il faut vraiment présenter Max Schremms, mon ami Austrian, l'homme qui veut battre Facebook ? Ça fait combien de temps ? 7 ans, 7 ans. Wow, ça fait longtemps. Ouais, ça fait un moment. Vous savez tout ce que ça veut dire ? Non, quelqu'un ici ne sait pas ce que ça veut dire ? Wow, impressionnant. Ou peut-être qu'il veut juste pas lever la main. Mais on a eu à trois procédures légales, première pendant trois ans en Irlande, qu'on a annulé puisque l'autorité de production des données voulait pas vraiment faire ça. Ensuite, il y a eu le cas du safe harbor, dont je vais parler aujourd'hui, qui a commencé en 2013. Donc ça, c'est un procès qui est toujours devant le tribunal. C'est aller jusqu'à la cour européenne de Jutty. C'est revenu ensuite en barreau à Lixembourg. Et maintenant, c'est à nouveau dans la cour européenne de Jutty, donc c'est un vrai ping-pong. Et en même temps, on a une class action, donc ça, on attend une décision de la cour européenne de Jutty pour voir si on peut avoir des cas de vie privée par des classes action. Donc, on fait pas mal de choses, pas mal d'actions différentes et on verra ce qui marche. Est-ce que c'est pas génial quand il y a des amis qui font le boulot pour vous ? Alors, un tonnerre d'applaudissement pour Max Schrems qui vous apporte le privacy shield, un cache misère. Ok, merci beaucoup pour cette invitation. Désolé pour les traducteurs, parce que je parle très vite. Donc peut-être que ça sera un petit peu dur de comprendre. Les gens n'ont pas du tout de ralentir, mais bon, on n'a que quelques minutes. Du coup, il y a beaucoup de choses à couvrir. Donc, on est parti. Donc, on va demander de parler de privacy shield. Donc moi, j'appelle ça un cache misère, parce que c'est la même chose que l'accord Safe Harbor. Donc, en repartant un peu en arrière et voyons ça. Qu'est-ce que c'était Safe Harbor et c'est quoi l'histoire d'ailleurs, ça ? Donc, on a eu les slides que Snowden a publié, surtout des systèmes de surveillance, qui ont révélé qu'il y a des grandes entreprises informatiques qui font partie d'un programme qu'on appelle Prism, qui est un système de surveillance américain. Et ce qui est intéressant, c'est que d'un point de vue légal, il y a un gros problème là-dedans. Parce que, bon, tout pendant tout un moment, on pensait que ça, c'était des théories du complot. Et c'était très dur à prouver devant un tribunal. Et il faut vraiment prouver les choses de façon très solide. Et du coup, on n'avait pas vraiment moyen de faire une action. C'était peut-être, on pense que... Du coup, ça ne marchait pas. Ce qui était très bien avec les fuites de Snowden, c'est que nous, ça nous a apporté des vraies preuves des vraies choses qu'on pouvait montrer à un tribunal. Et c'est l'unique raison pour laquelle toutes ces affaires ont été éclatées. C'est grâce à Snowden. Merci Snowden. Et ça, c'était le côté un peu factuel. On savait que ces entreprises transmettaient données au gouvernement américain. Et ce qui était intéressant d'un point de vue légal, c'est comment est-ce que ça fonctionne aux États-Unis, légalement parlant. Donc, il y a bien sûr tout un tas de lois aux États-Unis. Donc, je vais... C'est un point de vue légal. Donc, il y a bien sûr tout un tas de lois aux États-Unis. Donc, je vais résumer ça de façon très rapide. C'est pas 100% précis. Mais ça donnera une vue d'ensemble. Donc, ce que ça dit, c'est qu'on doit avoir un fournisseur de services de communication électronique. Donc, ça, c'est Google, Facebook, etc. Ce qui est intéressant, c'est que les lois de surveillance ne s'appliquent pas aux entreprises normales. Par exemple, une compagnie aérienne ou un boutique. Ça s'applique qu'au fournisseur de services de communication électronique. Ça s'applique s'il possède à ce qu'on appelle de l'intelligence... de l'information d'intelligence étrangère. Ça signifie ça sera assez large. Mais c'est tout ce dont les États-Unis se préoccupent pour des raisons diplomatiques ou militaires ou autres. Donc, tout ce qui est au rapport avec de l'espionnage, ce genre de choses. Et tout ce dont vous avez besoin, selon la loi FISA, en plus de... Tout ce qui est au-dessus de cette ligne, c'est public. Tout ce qui est en dessous, c'est secret. Dans la loi FISA, il y a une certification qui est valide pour un an. Ce qu'on dit dans la loi, c'est qu'il y a un tribunal qui est impliqué. Donc voilà, c'est certifié. En réalité, ce qui se passe, c'est que ce tribunal, le tribunal de la FISA, certifie le programme entièrement pendant un an. Et il ne regarde pas en détail chaque cas ou chaque individu qui va être surveillé. Il certifie le programme entier pour un an. Donc, il y a toute une idée qui est la minimisation ou le ciblage qui sert à filtrer les personnes américaines. Donc les citoyens ont résident aux Américains. Par contre, si vous êtes européen, ou si vous vivez ailleurs qu'aux États-Unis, vous n'êtes pas une personne américaine et du coup, vous n'êtes pas exclu de ça. La raison pour ça, c'est parce que le quatrième moment de la Constitution américaine dit que les personnes américaines ne veulent pas être ciblées par ça. Ce serait anti-constitutionnel de cibler les citoyens américains avec ce genre de procédures. Mais comme ici, il ne cible que des étrangers, c'est OK, c'est légal. Comme vous êtes étrangers, vous n'avez pas de protection sur la Constitution américaine. Ensuite, il y a ce qu'on appelle les directives pour les fournisseurs de services. La loi ne dit pas explicitement ce que ça est et comment ça marche, mais ce que ça dit en gros, c'est que les fournisseurs de services doivent avoir une interface technique qui permet de récupérer les données. Ça ne s'est pas fait par le tribunal, c'est fait par le gouvernement américain, la branchée exécutive, et le tribunal se contente de certifier le programme une fois par an. Donc si moi je suis le petit smiley ici et je suis un utilisateur Facebook, j'ai un contrat avec Facebook Island. Mais mes données vont directement sur le serveur de Facebook Inc, la maison mère américaine, et il y a deux façons qu'on connaît par lesquelles les données sont utilisées par le gouvernement américain. C'est pour ça qu'il faut qu'on s'occupe les données sur le service offre, et la deuxième c'est avec la coopération des fournisseurs de services. Donc par exemple ici, si les données sont chiffrées sur le réseau, les données peuvent être récupérées depuis les serveurs. Les deux options fonctionnent selon FISA, et récupérer des données sur le câble ça peut se venir de la directive 12.333, qui est une directive sur les écoutes. Mais voilà ça c'est le cadre légal dans lequel ces surveillance se font. On a une paire de choses qui sont un petit peu en débat ou qu'on ne sait pas exactement. L'implémentation technique, comment est-ce que ça marche, le volume de données qui est récupérée, et quel mécanisme existe pour contrôler tout ça. Il y a beaucoup de rumeurs, il y a beaucoup d'indices, mais on n'a rien de très solide. Donc ça c'est globalement ce que Snowden a révélé, et moi ce qui m'a intéressé c'est les réactions qu'on a eues à ça. On a eu des manifestations, on a eu des résolutions du Parlement européen, la Commission européenne a fait une revue complète, c'était très élarvé à propos de son téléphone. Voilà, ça c'est la réaction qu'on a eues. Et nous on a eu ça, on s'est dit c'est pas ça qui va aller très loin. Comment est-ce qu'on peut en faire un cas légal de ça. Donc le premier cas qu'on a eues c'était la première action justice qu'on a eues c'était le Safe Overcase. Et ça on a eu une approche qui était stratégiquement assez intéressante. Si vous voulez apporter un cas comme ça devant les tribunaux, il faut être stratégique. Vous devez trouver un endroit où vous pouvez entrer, sans avoir des centaines d'avocats qui vont vous crier dessus. Donc il fallait qu'on trouve le point précis où vous pouvez faire pression. Ce qui était intéressant c'est qu'on avait une situation ici, un cas où c'était des partenariats de surveillance entre le public et le privé. Les acteurs privés récupèrent les données et les pouvoirs publics les récupèrent. Donc ça c'était quelque chose d'intéressant. L'autre chose intéressante c'est que Facebook dans notre cas était sujet à la loi américaine et aussi en Irlande. 84% de leurs utilisateurs sont sujets à l'agrément avec Facebook Irlande. Donc on peut dire que c'est 84% d'entreprises européennes. Mais en même temps c'est une reprise américaine. Donc c'est aussi sujet à la loi américaine. Et le troisième point c'est que la loi européenne régule comment les données peuvent être transférées hors de l'Europe. Il y a un contrôle de l'export des données personnelles. Ça régule qu'est-ce qu'on peut transmettre à l'étranger. Et enfin, la loi européenne doit être interprétée au jour de la convention européenne des droits de l'homme. Et en mettant toutes ces choses-là ensemble ce cas peut être présuré devant les tribunaux. On a un cas solide. Ce qui est intéressant c'est que la définition dans la loi européenne sont très larges. Par exemple on dit des choses comme traiter des données. Et simplement mettre des données disponibles d'une forme de traitement des données. Donc moi dans ce procès, on n'a pas dit qu'il n'y avait pas de question de est-ce que j'étais surveillé par la NSA. Il fallait juste dire que Facebook renda ces données disponibles pour la NSA aux États-Unis. Ce qui était selon la propagation contraire la loi européenne. Parce que on n'a pas besoin du coup d'avoir à prouver est-ce que la NSA surveillait les données d'un individu en particulier. On a juste besoin de dire que comme la loi européenne est très large on a besoin de prouver uniquement que les données sont mises à disposition. Ça c'est la différence par rapport à la loi américaine dans laquelle il faut prouver que les données ont été utilisées et n'ont pas simplement mises à disposition. Donc cette définition plus large en Europe nous a permis d'amener cette affaire devant les tribunaux. Donc ce qu'on a dû plus faire ici c'est comparer le programme Prism du stockage de la rétention de données. Forcément vu que la rétention de données si elle était illégale en Europe forcément Prism était au moins aussi illégale et ensuite on a d'autres comparaisons qui intéressaient la cour de justice que j'ai listée ici. Une chose très importante à comprendre ici quand on parle de ces transferts de données c'est qu'on a à un niveau très très méta on a un conflit entre les lois ici. La loi européenne dit il faut de la vie privée sur les serveurs Facebook je simplifie beaucoup et la loi je simplifie encore dit on doit avoir de la surveillance sur ces données et ça c'est un conflit fondamental dans toutes ces affaires on a un conflit de juridiction il y a un pays qui dit à Facebook il faut qu'on puisse surveiller les données et il y a un autre pays qui dit à Facebook non tu ne peux pas faire ça et du coup on a ici forcément un conflit qui est difficile à résoudre ça c'est très différent de ce qu'on a dans le secteur privé dans le secteur privé il n'y a pas vraiment de loi protection des données aux Etats-Unis et puisqu'il n'y a pas de processus pour ça les entreprises aux Etats-Unis pouvaient se certifier elles-mêmes à préparer le côté privé ça on peut le résoudre facilement et le côté public qui est beaucoup plus dur à résoudre puisque ça c'est vraiment les lois américaines qui l'imposent donc à quoi ressemble l'agrément légal ici si moi je me donne mes données à Facebook les données ne peuvent quitter l'Europe que si il y a une protection adéquate dans le pays tiers donc pour moi c'était assez facile puisque tout ce que j'avais à dire c'était l'administration de masse n'est pas une protection adéquate point alors au niveau de la procédure comment ça s'est passé avec Safe Harbor on pouvait aller voir un service d'arbitration privé qui s'appelle trustee et on pouvait déposer une plainte auprès d'eux alors c'était un peu pratique parce qu'on ne pouvait écrire que 250 caractères pour se plaindre tout ce que je vais dire c'était arrêter Facebook et le bord avec Prism donc trustee m'a répondu qu'il n'avait pas d'autorité pour ça puisqu'il bien sûr en tant qu'entreprise privée il ne peut pas dire à la NSA à quoi faire donc la prochaine fois que j'ai fait l'approcheuse que j'ai faite c'est aller voir l'autorité de protection de la vie privée en Irlande donc ça c'est mon site préféré, ça c'est une vraie photo de leur bureau alors red chaussée on peut voir il y a un supermarché et il y a quelques fenêtres au-dessus ça c'est l'autorité de protection de la vie privée en Irlande à l'époque ça c'était leur bureau donc à l'époque Billy Rocks qui était leur directeur lui il allait sur des shows à la radio et il disait je pense pas que ce sera une vraie surprise pour les gens d'entendre que les autorités américaines peuvent accéder à des données stockées par l'entreprise américaine alors moi ça me choquait énormément parce que effectivement c'est quelque chose d'évident mais il était lui en train de dire publiquement on sait que toutes ces choses sont vraies en tant que autorité en tant que président de l'autorité de régulation de la vie privée en Irlande en Allemagne on y a eu un cas similaire mais bon là-bas il s'était plus de réserve alors que lui il a été assez stupide pour dire oui on sait qu'il y a ce problème et en plus légalement on pense pas que ce soit un souci donc nous on allait à la plus haute autorité de justice en Irlande on a amené notre affaire là-bas et ce qui s'est passé c'est qu'en Irlande ils ont dit ouais c'est ok on approuve et ils ont passé le dossier à la cour européenne de justice ça c'est la cour la plus haute dans l'Union européenne et puis parce que c'était un accord européen c'est hyper il fallait que ça aille au niveau européen à la cour européenne de justice donc le déroulement de l'affaire devant le tribunal c'était quelque chose de très intéressant puisque nous ce qui était intéressant c'était de voir quel était le niveau de détail des juges qui devaient juger cette affaire c'est forcément une connaissance très pointue du sujet mais dans ce cas précis on était vraiment très très heureux de voir à quel point le juge connaissait le sujet un petit anecdote qui est amusante la veille du procès il y avait des gens qui m'enfallaient des textos de plusieurs pays et qui disaient devine qui vient de m'appeler moi je sais pas et eux me disaient ah c'est quelqu'un du gouvernement américain qui vient de m'appeler et qui m'a dit qu'on devrait changer notre point de vue parce que les états membres donnent leur avis sur ces affaires et les États-Unis faisaient pression sur ces états membres pour qu'ils changent leurs opinions mais bon c'était déjà trop tard c'était la veille les opinions étaient déjà enregistrées donc et moi pareil quelqu'un m'a approché, m'a demandé c'est moi qui apporte l'affaire dans le tribunal ravi de vous rencontrer et c'était j'ai pu lui lui dire est-ce que vous avez vraiment besoin d'avoir des numéros de téléphone de gens appelés pour pouvoir leur dire quoi dire devant le tribunal donc ce qui est amusant c'est que moi je pouvais le faire en tant que étudiant parce que j'avais pas grand chose à perdre et sa réponse c'était bah on avait quand même besoin d'être sûr que notre point de vue serait entendu mais qu'eux n'avaient entendu parler de cette affaire que le vendredi et que c'était le week-end et ensuite il y avait le lundi et que l'affaire sous-vraie devant le tribunal le mardi donc eux ils étaient juste, ils avaient pas le temps ce qui est amusant c'est quand même que ça fait des semaines que cette affaire avait été publiée sur la page de la cour européenne de justice et malgré tout leur surviance ils pouvaient pas trouver quand est-ce que des affaires s'ouvraient devant le tribunal donc ça c'était rigolo et quelque chose de très amusant qui s'est passé dans la cour européenne de justice c'est que sa prive seulement deux semaines après que la vie de la vocation générale des stations unies a été publiée il y a eu le jugement qui a été rendu alors ce qui est intéressant c'est que nous on avait entendu dire qu'il y aurait un jugement qui serait le 6 octobre et non c'était mais c'est fou c'est pas possible la vocation générale dans sa vie et c'est que deux semaines après donc c'est beaucoup trop court et la rumeur disait que l'ancien président de la cour de justice qui allait prendre sa retraite le 7 octobre donc un jour après voulait absolument que le jugement soit rendu avant sa retraite comme son cadeau d'adieu ce qui est intéressant pour nous c'est de voir les juges s'attachent beaucoup à certaines affaires et des affaires qui peuvent durer très longtemps donc c'était intéressant pour nous de voir ça alors qu'est ce que la cour européenne de justice a dit déjà que déjà c'était un jugement très très important il y avait deux choses dedans la première c'était que la surveillance de masse sa viol l'essence du 7e article de la constitution européenne et que le manque de de moyens de sortir de ça il y a un test de proportionnalité pour vous c'est peut-être pas grand chose mais pour moi c'est très intéressant parce que moi je suis avocat et dans la loi européenne il y a un test de proportionnalité c'est-à-dire qu'on regarde est-ce que la mesure est proportionnelle aux besoins donc si on a par exemple de la rétention de données ce sera peut-être pas très proportionnelle mais on peut avoir ce qu'on appelle des violations de l'essence même et ça ça veut dire qu'il n'y a aucun Montréal qu'on puisse justifier une mesure comme ça si on a une personne de la mort avec ça ce n'est pas acceptable de même parler de faire des mesures comme ça et nous ce qu'on a vu c'est que la surveillance de ce genre c'était la violation de l'essence même des droits fondamentaux à la vie privée et donc c'était quelque chose d'extrêmement fort donc pour moi c'était évident mais de voir ça venir de la cour européenne de justice tout le monde tout le monde lit ça et quelque part il y a un avocat qui va dire wouah on a eu l'essence même et alors là c'était l'éruption de joie forcément pour nous parce que c'était quelque chose d'extrêmement impressionnant je sais que pour vous c'est pas grand chose mais pour moi en tant qu'un avocat c'est incroyable bon ce qui t'a dit c'était que le pays tiers dans lequel cette situation devait avoir une protection globalement équivalente ce qui est intéressant c'est que la loi dit uniquement une protection adéquate et pas une protection équivalente et adéquat c'est pas quelque chose qui a beaucoup de sens tout et n'importe quoi peut être considéré comme adéquat donc dans la loi avant à la base ça devait, ça disait équivalent et ensuite dans les années 90 les lobbies en force que sont remplacées par adéquat et ce que la cour a dit c'est que ok on va reprendre un terme qui a du sens et ils sont remis ça à équivalent par la jurisprudence ils ont aussi dit qu'il fallait qu'il y ait des mécanismes de détection et de supervision qui marchent et il fallait qu'il y ait un droit un droit au recours comme dans l'article 47 donc ce qui est intéressant c'est qu'il n'y ait aucun des pays qui fait de la surveillance dans l'Union Européenne à des protections comme celle-ci donc c'est allé très très loin par exemple si je suis historien autrichien et je suis surveillé par les services allemands il n'y a rien en Allemagne il n'y a aucune cour à laquelle je peux faire un recours donc comment ça marche les pays européens ont un droit d'exception là-dedans pour la sécurité nationale donc si c'est au nom de la sécurité nationale ces choses-là ne s'appliquent pas donc les états membres ne sont pas sujets à ça mais la cour européenne de justice elle peut quand même prendre des décisions quant à la sécurité nationale d'autres pays puisque eux n'ont pas cette exception mais pas des états membres donc c'est une situation qui est complètement absurde mais c'est quand même pour ça que voilà la France, l'Allemagne eux peuvent faire tout ça sans avoir de problèmes je vais y revenir et Brexit résout ce problème-là pour le Royaume-Uni puisque bien sûr maintenant ce sera un pays tiers donc on pourra apporter ce genre de procès aussi à propos du Royaume-Uni ça c'était tout le cadre que je veux dire on doit quand même dire les côtés positives de Brexit donc voilà maintenant je vais parler de ce que j'appelle Safe Airborne 2.0 privacy shield mais j'appelle Safe Airborne 2.0 parce que c'est essentiellement le même texte donc ce qui s'est passé quand Safe Airborne a été annulé d'abord c'est qu'il y avait les entreprises qui avaient le statut privilégié qui permettait à transférer des données ont perdu ce statut alors il y avait quand même des possibilités pour transférer des données il y avait le moyen, le consentement des américains des personnes ou l'exécution d'un contrat tout ça ça rendait possible de faire ce genre de choses donc il y avait quand même des mécanismes différents Facebook a parlé aux autorités de protection des données et on a un cas maintenant où l'autorité de protection de la vie privée a fait un procès à Facebook et à moi à propos de des clauses dans les contrats on a eu 45 000 pages de documents on a eu 20 avocats ou 20 solliciteurs qui ont fait partie de ça parce que le coût de cette bataille juridique c'est l'agence de l'autorité de protection de la vie privée en Irlande tout ce coût on l'estime à 5 à 10 millions et en plus tout ça ça va forcément devoir aller à la Cour européenne de justice c'est la deuxième fois que ça va y aller je peux pas beaucoup en parler pardon c'est Facebook qui a lancé cette affaire mais ils se sont bien plantés ils avaient tous ces experts il suffisait de regarder ce qu'il y avait en pied de page et vous dites tel truc est dans le pied de page mais ça n'y est pas vous avez juste inventé ça et ce qui est incroyable c'est qu'ils avaient des avocats extrêmement bien payés qui n'ont rien vérifié du tout donc ils sont tellement un but de même qu'ils pensent qu'ils peuvent faire tout et n'importe quoi mais bien sûr le juge n'a pas laissé passer ça donc la Cour a dit que ce jugement qu'on a eu la première fois c'est réglé dont je peux en parler mais ça a dit qu'il y a eu du traitement des données indiscriminées de masse par le gouvernement américain et qu'on dit que c'est de masse ou que c'est ciblé c'est un traitement de masse donc voilà ça c'était un petit apparté je reviens à privacy shield comment est-ce que ça marche ça il faut regarder d'abord l'histoire de privacy shield pour voir pourquoi c'est complètement n'importe quoi le 31 janvier 2016 petit compte de fait il était une fois il y avait une échéance par les autorités de protection de la vie privée européenne et à cet moment-là il y a eu des rapports qui disaient que les Etats-Unis et l'Europe n'arrivaient pas à se mettre d'accord moi j'ai parlé du coup aux journalistes qui disaient ça lui me disait qu'il avait de très bonnes sources et le 31 décembre il s'est élevé de la table on ne peut pas se mettre d'accord il n'y a pas d'agrément possible 48 heures plus tard il y a eu a priori un coup de téléphone entre la Commission européenne et le gouvernement américain et quelqu'un a dit il faut que le président de la Commission européenne fasse qu'il y ait quelque chose et donc ce même rapporteur 48 heures plus tard dit ça y est on a un accord et 24 heures plus tard il y avait ce logo et on appelait ça le privacy shield et donc moi je parlais au négociateur et je disais mais comment est-ce que vous trouvez ce nom de merde et il me disait je connaissais pas le nom jusqu'à ce qu'il y ait cette conférence de presse parce que cet accord n'existait pas à ce moment-là c'était uniquement un logo et un nom et il n'y avait pas de vrai accord ça on le sait parce que une semaine plus tard l'ONG sur la vie privée américaine a demandé d'avoir le texte intégré de cet accord puisque c'est la loi qui permet de faire ça et ils ont eu cette réponse qui disait que c'était pas possible d'avoir ce texte puisque les données n'existait pas alors un mois plus tard on avait le texte et ce texte globalement c'est safe and bro c'est une copie presque identique si on faisait une comparaison exacte il y aurait peut-être 5% de textes qui a changé ils ont mis un nouveau nom là-dessus et ils ont emplé ça c'est pour ça que moi j'ai appelé ça un cache misère c'est quoi le problème avec privacy shield déjà si ça retourne devant la cour européenne de justice pour moi le cache misère devant le tribunal comment est-ce que ça va se passer alors d'après le jugement qui existe il y avait deux problèmes le premier problème c'est cette notion d'équivalence qui s'applique dans le secteur privé c'est-à-dire ça doit obéir à la Charte des droits fondamentaux et il a été dit que la surveillance de masse ne marche pas n'obéit pas à ces restrictions donc il y a deux choses ici dans le secteur privé il y a ce qu'on appelle notice and choice on donne notice à la personne et la personne choisit si elle veut oui ou non de façon très simple à gauche on a tous ces traitements de données qui sont couverts par la loi européenne la création à la suppression à l'effacement des données tout ce qu'on fait avec les données est couvert par la loi dans privacy shield on a besoin uniquement d'avoir un moyen de dire non je ne veux pas uniquement pour la publication des données à quelqu'un d'autre ou si on change le but de la manipulation des données si on regarde ces deux choses on peut voir que c'est absolument pas équivalent c'est absolument minimal au coût américain par rapport à la loi européenne donc si on collecte des données si on les utilise, si on les stock privacy shield n'a aucune restriction là-dessus vous pouvez faire tout ça comme vous voulez uniquement à partir du moment où vous publiez ces données à un 3rd parti où vous changez la raison pour laquelle vous avez ces données là il faut que vous ayez une boîte et c'est quelque chose où il faut activement que l'utilisateur aille dire non je ne veux pas par défaut vous pouvez assumer que l'utilisateur est d'accord donc on peut utiliser pour éviter d'avoir changé le but on peut simplement dire on va l'utiliser pour tout ce qu'on veut et si on a une clause dans le contrat qui dit qu'on peut transmettre ça à des parties tiers ça ça vous donne automatiquement de façon légale sous premier sigil le droit de faire tout ce que vous voulez avec les données il n'y a aucune restriction ça c'est quelque chose qui est impensable sous la loi européenne l'autre chose qui manque dans le secteur privé c'est le droit de recours et ça c'est facile de voir comment ça va pas marcher en pratique parce que imaginez que je veux avoir mes données depuis facebook pour la 24ème fois donc moi j'écris Facebook je leur demande toutes mes données et moi ils m'envoient une jolie lettre pour dire va te faire foutre c'est ce qu'ils font d'habitude donc ensuite moi je vais voir trustee l'entreprise d'arbitration eux ils sont payés par facebook pour prendre ces décisions mais officiellement ils sont indépendants donc moi je peux me plaindre auprès d'eux et si eux me disent à me faire foutre pour le forcer si trustee dit à facebook qu'il doit faire les choses tout ce qu'il faut c'est qu'il faut avoir un email à facebook arrête de refuser les demandes mais facebook n'a rien à faire de ça il n'y a aucune obligation si facebook ne me dit pas aussi ce qu'il y a sur le serveur je peux pas me plaindre si je suis pas content je peux aller voir les agents de protection de la vie privée en Europe et eux vont se plaindre auprès du département de commerce aux états unis qui n'a pas de pouvoir d'investigation donc eux ne peuvent pas vérifier si facebook a bien donné les données qu'ils avaient sur moi puisque aucune de ces entités ne peut forcer facebook à montrer ce qu'ils ont comme données sur moi si c'est l'autorité irlandaise faut d'abord que je leur fasse un procès pour les forcer a faire leur boulot et toutes ces entités peuvent aussi voir la federal commission l'autorité de commerce aux états unis qui n'a pas non plus de pouvoir d'investigation mais un peu plus quand même que ça ils ne le feront pas si ils aiment pas ce que je demande et jusqu'à présent ils aiment pas ce que je demande donc tout ça ça ne m'aide pas du tout parce que ça ne va nulle part et en plus de tout ça il faut que je fasse toutes ces choses là avant de pouvoir faire un appel après ce qu'on appelle le panel de privacy shield ça va être 10-15 avocats et eux je peux les appeler sur skype en videoconférence et je peux leur parler pour dire ce qui m'inquiète c'est ça et leur décision n'oblige même pas Facebook de façon légale et tout ça pour que ça oblige Facebook il faut que leur décision soit utilisée comme pour informer une décision de justice aux états unis et ça enfin ça obligera Facebook à donner mes données donc tout ce système va en plus être impossible puisque privacy shield est tellement large que Facebook ne viole pas privacy shield selon ces termes un autre aspect il y a la question de libre compétition ça c'est quelque chose qui n'est pas vraiment suivi d'après les règles européennes et ça c'est quelque chose que toute notre entreprise ici en Europe doit suivre mais que l'entreprise américaine n'a pas à suivre la chose la plus importante ici c'est toute la question de la surveillance la Commission européenne a fait une analyse très intéressante ils ont fait une conférence de presse dans laquelle ils ont dit nous avons assuré qu'il n'y a pas de surveillance indiscriminée ou de masse par les autorités les autorités américaines donc nous on sait qu'on est tranquilles c'est bon, ceci dit si on regarde dans privacy shield, dans l'annex 6 page 4 il y a cet extrait qui dit qu'il est possible de faire de la surveillance de masse pour 6 raisons possibles donc dans la le conférence de presse ils ont dit qu'il n'y avait aucune raison de le faire mais dans l'annex 6 page 4 de l'accord en lui-même il est dit que c'est possible pour 6 raisons différentes et c'est 6 raisons qui sont très larges par exemple la dernière c'est pour combattre les crimes internationaux donc il suffit qu'il y ait et même les menaces de crimes internationaux donc il suffit qu'il y ait la menace d'un mexicain qui va peut-être jeter des drogues par-dessus la frontière américaine c'est une menace de crimes international et ça ça suffit pour surveiller toutes les données qu'on veut donc c'est quelque chose d'extrêmement large alors voici les règles pour la surveillance de masse et le mot de masse il y a une petite marque en bas de page donc les avocats adorent ça donc on suit cette marque en bas de page et ça ça dit que ces limitations n'ont court que si les données ne sont pas acquises temporairement pour ensuite faciliter le ciblage pour de la surveillance donc ça c'est pour dire si je récupère absolument toutes les données en gros d'abord et ensuite j'utilise ces données pour décider qui je vais surveiller ce n'est pas de la surveillance de masse donc ça c'est intéressant parce que la définition américaine est différente au CELUS il y a cette idée que si vous avez votre navigateur et que vous tapez juste une adresse dedans vous n'avez de toutes les finances accès qu'à une page à la fois votre navigateur ne nous n'a pas accès à internet en gros mais uniquement à une page à la fois et donc ce n'est pas de la collection en gros c'est d'une page à la fois ça c'est l'argument qu'ils ont fait qui n'a aucun sens mais pour eux ça leur permet de sortir entièrement de tout ça donc il est bien sûr impossible que les États-Unis et l'Union européenne disent ça publiquement donc ce qui s'est passé c'est que les États-Unis ont envoyé une lettre qui était ajoutée à la décision et ça ça veut dire que les autorités européennes ont demandé d'y créer une lettre pour dire oui c'est très très bien et ils ont attaché ça imaginez si on faisait ça avec la Chine si on demandait pour l'Union européenne de dire si nous n'avons pas demandé à la Chine de dire que vraiment leur protection des droits de l'homme sont géniales et qu'on disait c'est ok les productions des droits de l'homme sont géniales en Chine parce que la Chine a dit que c'était le cas c'est vraiment comme ça qu'ils ont essayé de contourner ces problèmes donc un autre problème dont je veux parler c'est que on ne peut pas se plaindre à une personne de contact au ministère de l'affaire étrangère étrangère américain et ça on ne peut pas il n'y a de l'empli par le directement ça passe à travers les agences de position de la vie privée et ça c'est l'unique moyen de recours qu'il y a dans Privacy Shield qui est décrit dans Privacy Shield et on ne peut recevoir qu'une seule réponse quel que soit le cas la première c'est que d'abord ça a été investigé et qu'ils vous diront que soit l'entreprise respecte la loi soit ils changeront leur comportement ils ne vous disent pas si c'est l'un ou l'autre ils ne vous disent pas s'ils respectent la loi ou s'ils vont changer leur gouvernement et ça vous dit aussi qu'il n'y aura aucune confirmation ou déni qu'il y avait la surveillance et ça c'est la seule chose que vous pouvez obtenir de cet unique recours qui existe dans Privacy Shield je vais passer ça, ce n'était pas du tout content à propos de ça, vous pouvez lire sur Twitter vous-même la dernière chose dont je veux parler c'est comment on peut tuer Privacy Shield parce que si quelqu'un dans cette pièce veut tuer Privacy Shield c'est assez facile et j'encourage tout le monde ici à la faire, ce que vous pouvez faire c'est lancer une injonction contre votre faut une histoire de service auprès d'une cour européenne locale en disant que Privacy Shield est un valide et vous pouvez demander une référence la cour locale va devoir avoir une référence pour envoyer ça à la cour européenne de justice je recommande de vous intéresser aux questions commerciales c'est plus facile que les questions et ensuite vous avez rien à faire vous pouvez juste vous asseoir et attendre si vous voulez faire ça, moi je vous assise sans problème je serai ravi de le faire et donc je vais passer à la toute dernière partie parce que bon là on va parler de la surveillance européenne mais j'en ai déjà parlé il y a probablement un moyen pour que ces cours disent qu'il n'y a pas de juridiction pour la surveillance de masse par la cour de justice au Luxembourg mais c'est possible probablement d'apporter ces mêmes affaires on a déjà eu un cas comme ça dans lequel on a commencé à décider donc pour la surveillance européenne ce même genre de processus peut marcher il faudra qu'on aille devant un tribunal différent dernière, enfin je dois quand même faire une pub on a commencé une nouvelle ONG pour promouvoir la vie privée on essaie en ce moment d'obtenir des moyens parce que pour pouvoir mener ces affaires on a besoin d'avoir une équipe au niveau européen qui fait des trucs comme ça on travaille avec le secteur commercial on travaille avec les ONG, c'est déjà mais notre but à nous c'est de faire des choses vraiment au niveau européen là je suis à cours de temps donc quelque chose, j'ai fait ça très vite et pour des questions, désolé, je n'ai plus de temps désolé ok merci Max, merci beaucoup