Est-il temps d'appeler le bluff sur la confidentialité des données aux États-Unis ?

Le jury ne sait pas si le décret signé par le président Biden le 7 octobre peut résoudre les problèmes juridiques mis en évidence dans l'affaire Schrems II et restaurer « la confiance et la stabilité » dans les flux de données transatlantiques, écrit Dick Roche, ancien ministre irlandais des affaires européennes qui a joué un rôle central dans le référendum irlandais qui a ratifié le traité de Lisbonne qui a reconnu la protection des données personnelles comme un droit fondamental.

Les lois de l'UE sur la protection des données sont largement reconnues comme la référence en matière de réglementation des données et de protection des droits à la vie privée des citoyens.

Lorsque l'Internet en était à ses balbutiements, l'UE a innové en 1995 en établissant des règles régissant le mouvement et le traitement des données personnelles dans la directive européenne sur la protection des données.

En vertu du traité de Lisbonne de 2007, la protection des données personnelles est devenue un droit fondamental. Le traité sur le fonctionnement de l'Union européenne et la Charte des droits fondamentaux de l'UE, entrée en vigueur en 2009, protègent ce droit.

En 2012, la Commission européenne a proposé le règlement général sur la protection des données (RGPD) définissant un ensemble complet de réformes visant à stimuler l'économie numérique européenne et à renforcer la sécurité en ligne des citoyens.

En mars 2014, le Parlement européen a enregistré un soutien écrasant pour le RGPD lorsque 621 députés européens de tous les horizons politiques ont voté en faveur des propositions. Seuls 10 députés ont voté contre et 22 se sont abstenus. 

Le RGPD est devenu le modèle mondial de législation sur la protection des données.  

Publicité

Les législateurs américains n'ont pas suivi le même chemin que l'Europe. Aux États-Unis, les droits de protection des données dans le secteur de l'application de la loi sont limités : la tendance est de privilégier les intérêts de l'application de la loi et de la sécurité nationale.

Deux tentatives visant à combler le fossé entre les approches de l'UE et des États-Unis et à créer un mécanisme pour les flux de données ont échoué lorsque les dispositions plutôt fantaisistes de Safe Harbor et de Privacy Shield ont été jugées insuffisantes par la Cour de justice de l'UE.  

La question se pose de savoir si les nouvelles dispositions du cadre de confidentialité des données UE-États-Unis énoncées dans le décret exécutif « Renforcer les garanties pour les activités de renseignement sur les transmissions aux États-Unis » signé par le président Biden le 7^th Octobre réussira là où Safe Harbor et Privacy Shield ont échoué. Il y a de nombreuses raisons de douter qu'ils le feront.

Schrems II place la barre haute

En juillet 2020, dans l'affaire Schrems II, la CJE a jugé que le droit américain ne satisfaisait pas aux exigences en matière d'accès et d'utilisation des données personnelles prévues par le droit de l'UE.

La Cour a fait part d'une préoccupation persistante quant au fait que l'utilisation et l'accès aux données de l'UE par les agences américaines n'étaient pas limités par le principe de proportionnalité. Elle a estimé qu'il était "impossible de conclure" que l'accord EU-US Privacy Shield était suffisant pour assurer un niveau de protection des citoyens de l'UE équivalent à celui garanti par le GDPR et a jugé que le mécanisme de médiation créé dans le cadre du Privacy Shield était insuffisante et que son indépendance ne pouvait être garantie.  

Les propositions du président Biden et l'approbation de la Commission européenne

Sur 7^th Octobre Le président Biden a signé un décret exécutif (EO) «Renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis».

En plus de mettre à jour un décret exécutif de l'ère Obama sur la manière dont la protection des données fonctionne aux États-Unis, le décret définit un nouveau cadre de confidentialité des données UE-États-Unis.

Le briefing de la Maison Blanche sur l'OE caractérise le cadre comme rétablissant «la confiance et la stabilité» des flux de données transatlantiques qu'il décrit comme «essentiels pour permettre la relation économique UE-États-Unis de 7.1 billions de dollars» - une affirmation plutôt exagérée.

Le briefing décrit les nouvelles dispositions comme renforçant "l'éventail déjà rigoureux de garanties en matière de confidentialité et de libertés civiles pour les activités de renseignement électromagnétique des États-Unis".

Il soutient que les nouvelles dispositions garantiront que les activités de renseignement américaines ne seront menées que dans la poursuite d'objectifs de sécurité nationale américains définis et seront limitées à ce qui est "nécessaire et proportionné" - une génuflexion à l'arrêt Schrems II.  

Le briefing définit également «un mécanisme à plusieurs niveaux» qui permettra aux personnes lésées par les activités de renseignement américaines «d'obtenir (un) examen et réparation indépendants et contraignants des réclamations».

La Commission européenne a approuvé l'ordonnance du président Biden, la décrivant avec enthousiasme comme fournissant aux Européens dont les données personnelles sont transférées aux États-Unis des "garanties contraignantes qui limitent l'accès aux données par les autorités de renseignement américaines à ce qui est nécessaire et proportionné pour protéger la sécurité nationale". Sans analyse à l'appui, il caractérise les dispositions de réparation de l'ordonnance et la Cour comme des mécanismes "indépendants et impartiaux" "pour enquêter et résoudre les plaintes concernant l'accès aux données (des Européens) par les autorités de sécurité nationales américaines".

Quelques questions sérieuses

Il y a beaucoup à remettre en question dans les présentations de la Maison Blanche et de la Commission.

Beaucoup remettraient en question l'idée que les agences de renseignement américaines sont soumises à un "éventail rigoureux de respect de la vie privée et des libertés civiles". 

Un problème majeur se pose concernant l'instrument juridique utilisé par les États-Unis pour introduire les changements. Les décrets exécutifs sont des instruments exécutifs flexibles qui peuvent être modifiés à tout moment par un président américain en exercice. Un changement à la Maison Blanche pourrait voir les arrangements qui ont été convenus jetés à la poubelle, comme cela s'est produit lorsque le président Trump s'est retiré de l'accord minutieusement négocié pour restreindre le programme nucléaire de l'Iran en échange d'un allégement des sanctions.

Des questions se posent également quant à la façon dont les mots "nécessaire" et "proportionné» qui figurent dans les déclarations de la Maison Blanche et de la Commission sont à définir. L'interprétation de ces mots clés peut différer considérablement de part et d'autre de l'Atlantique. 

Le Centre européen pour les droits numériques, l'organisation fondée par Max Schrems, fait le point tandis que l'administration américaine et la Commission européenne ont copié les mots "nécessaire" et "proportionné" de l'arrêt Schrems II, ils ne sont pas ad idem quant à leur signification juridique. Pour que les deux parties soient sur la même longueur d'onde, les États-Unis devraient fondamentalement limiter leurs systèmes de surveillance de masse pour s'aligner sur la compréhension de l'UE de la surveillance "proportionnée" et que n'arrivera pas : la surveillance massive par les agences de renseignement américaines se poursuivra dans le cadre des nouvelles dispositions.

Des préoccupations particulièrement sérieuses se posent au sujet du mécanisme de recours. Le mécanisme créé par l'OE du président Biden est complexe, contraint et loin d'être indépendant.

Les accords de recours exigent que les plaintes soient d'abord déposées auprès des agents de protection des libertés civiles nommés par les agences de renseignement américaines pour garantir le respect par l'agence de la vie privée et des droits fondamentaux - un braconnier devenu garde-chasse.  

Les décisions de ces agents peuvent faire l'objet d'un recours auprès d'un tribunal de révision de la protection des données (DPRC) nouvellement créé. Cette « Cour » sera « composée de membres choisis en dehors du gouvernement américain ».

L'utilisation du mot « tribunal » pour décrire cet organe est discutable. Le Centre européen pour les droits numériques rejette l'idée que l'organisme relève du sens normal de l'article 47 de la Charte des droits fondamentaux de l'UE.

Ses « juges », qui doivent avoir « l'autorisation de sécurité (américaine) requise », seront nommés par le procureur général des États-Unis en consultation avec le secrétaire américain au commerce.

Loin d'être « en dehors du gouvernement américain », une fois nommés, les membres de la Cour deviennent partie intégrante de l'appareil gouvernemental américain.

Lorsqu'un appel est interjeté devant la Cour par un plaignant ou par « un élément de la communauté du renseignement », un panel de trois juges se réunira pour examiner la demande. Ce panel sélectionne à nouveau un avocat spécial avec « l'habilitation de sécurité requise » des États-Unis pour représenter « les intérêts du plaignant dans l'affaire ».

En ce qui concerne l'accès, les plaignants de l'UE doivent porter leur cas devant une agence compétente de l'UE. Cette agence transfère la plainte aux États-Unis. Une fois l'affaire examinée, le plaignant est informé "par l'intermédiaire de l'organisme approprié de l'État éligible" du résultat "sans confirmer ni nier que le plaignant a fait l'objet d'activités de signalisation aux États-Unis". Les plaignants seront seulement informés que "l'examen n'a identifié aucune violation couverte" ou qu'"une décision nécessitant une réparation appropriée" a été émise. Il est difficile de voir comment ces dispositions satisfont au test d'indépendance auquel les propositions du Médiateur dans Privacy Shield ont échoué. 

Dans l'ensemble, les arrangements de la Cour de révision de la protection des données ont plus qu'un relent de la très détestée Cour FISA des États-Unis, qui est largement considérée comme un peu plus qu'un tampon en caoutchouc pour les services de renseignement américains.

Que faire ensuite?

Avec l'adoption du décret présidentiel américain, l'action revient à la Commission européenne qui proposera un projet de décision d'adéquation et lancera les procédures d'adoption.

La procédure d'adoption exige que la Commission obtienne un avis, qui n'est pas contraignant, de la Commission européenne de protection des données. La Commission doit également recevoir l'approbation d'un comité composé de représentants des États membres de l'UE.

Le Parlement européen et le Conseil ont le droit de demander à la Commission européenne de modifier ou de retirer la décision d'adéquation au motif que son contenu excède les compétences d'exécution prévues dans le règlement GDPR de 2016.

En tant qu'organe représentant directement les citoyens d'Europe et organe qui a adopté à une écrasante majorité les principes énoncés dans le RGPD, le Parlement européen a la responsabilité d'examiner longuement et attentivement ce qui est sur la table et d'avoir une vision lucide de la mesure dans laquelle les propositions sont compatibles avec les principes établis dans le RGPD avec les attentes des Européens quant au respect de leurs droits à la vie privée.

Il est très peu probable que les différences fondamentales entre l'UE et les États-Unis sur la protection des droits à la vie privée des citoyens individuels soient stoppées par le décret exécutif du président Biden : la controverse a encore du chemin à parcourir.

Partagez cet article: