La protection des données personnelles entre les Etats-Unis et l’Europe est-elle bradée?
Du 18 au 20 octobre, à Bruxelles, des représentants des autorités américaines et de la Commission européenne font le bilan des données transférées de l’Union européenne vers les Etats-Unis : sont-elles bien protégées, conformément au « Privacy Shield », accord conclu en 2016 ? Cinq ans après les révélations d’Edward Snowden et quelques mois après le scandale Cambridge Analytica, les doutes sont légion.
Le scandale Cambridge Analytica, révélé début de cette année, a marqué les esprits. Les données personnelles d’environ 2,7 millions d’européens avaient été vendues, à leur insu, par Facebook à Cambridge Analytica à des fins d’influence électorale, notamment lors du référendum britannique ayant mené au Brexit, en juin 2016. « Il est crucial de savoir quelles mesures ont été prises ensuite, lance Estelle Masse, de l’ONG Access now, qui milite pour la protection des données personnelles. Si des entreprises n’appliquent pas les règles en vigueur, comment savoir si d’autres n’ont pas recours aux mêmes pratiques ? »
Les règles dont parle Estelle Masse sont celles qui régissent le transfert de données entre les Etats-Unis et l’Union européenne. Elles répondent au nom de « Privacy Shield » (ou bouclier de la vie privée) ; accord signé le 12 juillet 2016. Le but est de permettre le transfert de données personnelles entre l’Union européenne et les Etats-Unis, dans un cadre sécurisé et respectueux des droits fondamentaux des européens (notamment du droit à la vie privée, du droit à s’opposer, du droit à un recours).
Chaque année, Commission européenne et représentants des autorités américaines se réunissent pour faire le point sur le respect du Privacy Shield. Cette année, c’est à Bruxelles qu’a lieu la rencontre, du 18 au 20 octobre. A l’issue de cette « revue annuelle », la Commission européenne peut décider une mesure radicale : suspendre unilatéralement l’accord, si elle estime que les données personnelles des européens ne sont pas suffisamment protégées.
Stop ou encore
Les attentes autour de cette revue sont énormes. Car il en va des relations transatlantiques. Les économies européennes et américaines sont très liées et huilées par le transfert de données. En 2016, l’ensemble des échanges commerciaux entre les Etats-Unis et l’Europe représentait environ 1 100 milliards de dollars, dont une grande partie repose sur le transfert de données ; 3 790 entreprises ont adhéré au système d’auto-certification du Privacy Shield (les entreprises s’engagent à respecter les règles et sont soumises, en théorie, au contrôle du département du commerce américain). « La Commission va devoir chercher un équilibre entre considérations techniques (respect des règles), économiques et politiques. Elle ne risque pas de sortir la grosse artillerie », regrette une source européenne.
Entreprises et administrations américaines interviennent auprès des européens pour les dissuader de « débrancher » la prise du commerce US-UE (NDLR : Même si des échanges de données se poursuivraient via d’autres canaux en cas de suspension). « C’est vrai que nous recevons de nombreuses manifestations d’intérêt, explique un haut-fonctionnaire européen. Et que les Etats-Unis peuvent tenter l’intimidation dans leur approche. Mais nous avons l’habitude et notre réponse est la même en retour. Nous prenons nos décisions en tout indépendance en consultant de multiples sources. »
En Europe, de nombreux acteurs pensent que la Commission manque de courage face aux américains. Ils tentent de la pousser à suspendre cet accord. Le 5 juillet, le Parlement européen votait une résolution en ce sens. « L’actuel bouclier de protection des données n’offre pas le niveau de protection adéquat requis par le droit de l’Union », pouvait-on lire dans le texte. Sophie In’t Veld, eurodéputée libérale néerlandaise, en rajoute une couche : « Le Privacy Shield, c’est un arrangement avec les Etats-Unis mais qui comporte d’importantes lacunes. Les Etats-Unis se moquent de nous depuis deux ans et la Commission reste dans une attitude de soumission. Comme un petit enfant qui a peur du plus grand. »
Transfert de données : une saga à rebondissements
La saga du transfert de données entre les Etats-Unis et l’Union européenne empoisonne les relations transatlantiques depuis plus de vingt ans. En 1995, l’Union européenne est à l’avant-garde. Elle se dote d’une directive de protection des données. Une telle législation n’a jamais vu le jour aux Etats-Unis.
Le droit européen impose pourtant que le transfert des données soit organisé en fonction d’une équivalence entre systèmes de protection. « Comme il n’en existe pas aux Etats-Unis, on a dû créer un espace ad’hoc permettant ce transfert supposément protégé », estime une source européenne.
En 2000, alors que le « big data » n’en est qu’à ses balbutiements, un accord est trouvé – l’ancêtre du Privacy Shield – nommé le « Safe Harbor ». L’accord tient bon, pendant plusieurs années, malgré des critiques récurrentes. Puis un certain Max Shrems débarque. Ce jeune étudiant autrichien découvre que Facebook conserve une quantité incroyable de données le concernant, y compris des informations qu’il croyait avoir effacées. Max Shrems est un activiste pur jus. Il n’en reste pas là et porte l’affaire jusqu’à la Cour européenne de justice. Cette dernière invalide le Safe Harbor en 2015 car il n’offre pas un niveau de protection adéquat. Les temps ont changé. Edward Snowden est passé par là : grâce à ses révélations, en 2013, le monde découvre l’ampleur de la surveillance des services de renseignement américains sur les télécommunications mondiale. Une collecte de données indiscriminée est organisée à grande échelle. Le Safe Harbor n’a rien empêché.
Des lettres comme base de l’accord
Etats-Unis et Union européenne se remettent à négocier jusqu’à la signature du Privacy Shield. Ce nouvel accord est en grande partie basé sur des lettres de hauts fonctionnaires américains qui s’engagent à respecter certains principes (par exemple à davantage contrôler les entreprises qui s’inscrivent au registre du Privacy Shield).
Des doutes s’expriment quant à la valeur légale de ces missives. « Les Etats-Unis n’adoptent toujours pas de loi sur la protection des données, s’agace Sophie In’t Veld. L’accord est basé sur des promesses. Mais ont-elles une valeur contraignante ? » Au sein des institutions, une source proche du dossier se veut rassurante : « Enfin, il ne s’agit pas non plus de lettres de ma tante ! Il s’agit d’engagements écrits par des représentants de hautes autorités. »
Même le Parlement européen le reconnaît : sur le papier, le Privacy Shield offre davantage de garanties que son prédécesseur, notamment, dans le domaine commercial. Mais dans la réalité ? « Il existe toujours des points importants qui n’ont pas été résolus, se plaint David Martin, du Bureau européen des unions de consommateurs. Quelle action est menée réguler la collecte automatique organisée pour profiler des consommateurs ? Comment contester ces collectes automatiques ? Les autorités vérifient-elles suffisamment que les entreprises se conforment à leurs engagements ? »
La surveillance : trou noir du Privacy Shield
Le différend profond entre Union européenne et Etats-Unis concerne surtout le renseignement. Deux bases légales permettent de surveiller largement les citoyens américains mais, encore plus facilement, les non-américains. Il s’agit de l’ordre exécutif 12333 (une directive présidentielle en date de 1981) et de la loi FISA (Foreign Intelligence Surveillance Act) dont la section 702 a permis de vastes programmes de collecte de données ou de métadonnées comme « prism » ou « upstream ». Ces actes législatifs ont été balisés, à la marge, par la directive présidentielle 228 promulguée par Barack Obama.
Aujourd’hui, les Etats-Unis se veulent rassurants : pas de collecte indiscriminée et massive de données au programme. Les agences de renseignement appliqueraient des « sélecteurs », des mots-clefs pour resserrer leurs recherches dans nos télécommunications. « Il peut s’agir par exemple de tous les emails avec le mot Afghanistan, détaille un expert d’une institution européenne. C’est un volume très important de données. En Europe, la collecte massive doit correspondre au strict nécessaire. Les différences d’interprétation sont considérables des deux côtés de l’atlantique. » En 2017, le groupe des autorités nationales européennes de protection des données (WP29) insistait sur ce point et regrettait « le manque d’assurances concrètes sur l’absence de collecte massive et indifférenciée des données à caractère personnel ». Dans le passé les Etats-Unis n’ont pas vraiment joué franc-jeu en ce domaine. Et pour l’instant, la Commission européenne a plutôt adhéré aux interprétations américaines…
Le médiateur absent
Le Privacy Shield devait aboutir à la création ou au renforcement des contrôles, à la création de mécanismes de recours pour des individus qui s’estimeraient lésés. Pour l’instant, ces mécanismes ne sont pas pris au sérieux. L’exemple le plus frappant est celui du médiateur. Celui-ci doit permettre un contrôle du respect du Privacy Shield. Il doit devenir une voie de recours pour des Européens. Mais il n’est toujours pas nommé par l’administration Trump. « On se demande pourquoi ça traîne, dit notre haut-fonctionnaire. Car c’est un point très important qui symbolisera l’engagement américain à respecter les règles. »
Un point important… mais probablement pas un point de non-retour. « Suspendre le Shield fait partie de nos options, glisse cette source. Bien sûr. Mais nous n’en voyons pas l’utilité dans l’immédiat, car ça aboutirait à une moindre protection pour les Européen. Et puis les mentalités changent aux Etats-Unis sur ces questions, c’est positif. » Et en effet… elles changent. Le Congrès américain procède à des auditions en vue d’une législation sur la protection des données. Le temps que cette idée fasse son bonhomme de chemin, la Cour de justice européenne aura peut-être invalidé le Privacy Shield. Un arrêt est attendu sous peu. Il faudra tout refaire. Peut-être en mieux.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici