C’est un pas supplémentaire vers l’adoption d’un nouvel accord transatlantique sur les données qui a été franchi le 30 juin dernier. Les agences de renseignement américain ont adopté de nouvelles « politiques et procédures » en matière de traitement des données des Européens, conformément au décret présidentiel pris en octobre dernier. Ce dernier texte était censé présenter les nouvelles garanties apportées sur le traitement de nos data, une fois arrivées sur le sol américain.
Et pour la secrétaire américaine au Commerce Gina Rimondo, les États-Unis ont bien « rempli leurs engagements », explique-t-elle dans un communiqué publié le 3 juillet dernier. La balle est désormais dans le camp des États-membres et de l’Union européenne, qui doivent aller au bout de l’adoption du nouvel accord transatlantique, est-il dit en filigrane. Cette étape intervient sept mois après la publication, par la Commission européenne, d’une version provisoire de la décision d’adéquation du nouveau « Privacy Shield », qui s’appelle désormais le « Data Privacy Framework » ou DPF.
La législation américaine est censée être aussi protectrice pour nos données que le RGPD
Depuis des années, le sujet des transferts de données entre le Nouveau et le Vieux continent fait l’objet de litiges et de discussions, toujours non résolus. D’un côté, les données personnelles des Européens sont protégées en Europe par le Règlement européen sur les données personnelles (le RGPD), un texte qui prévoit un certain nombre de garde-fous et qui est l’une des législations les plus strictes au monde en la matière. Avant qu’une plateforme collecte des données sur votre navigation sur le Web ou vos centres d’intérêt, elle doit, par exemple, recueillir votre consentement. L’accès à ces données par des agences de renseignement doit se faire sous le contrôle d’un juge, avec des recours possibles.
Mais, de l’autre, la majorité des plateformes étant américaines, il se trouve que nos données, une fois collectées, traversent l’Atlantique pour être traitées aux États-Unis. Pour que ce transfert soit possible, l’Union européenne doit normalement analyser la législation du pays qui reçoit les données. Si elle estime que les lois locales protègent aussi bien nos données que le RGPD, elle donne son aval et les transferts peuvent avoir lieu – ce qui se traduit pour les États-Unis par une décision d’adéquation de la Commission européenne et un accord transatlantique.
Un espionnage massif des étrangers
Ce qui pose problème aux États-Unis, c’est qu’il n’y a pas de RGPD ou de loi équivalente qui s’appliquerait à nos données personnelles. Il existe bien des garanties pour les data provenant de citoyens américains, mais elles ne s’appliquent pas aux Européens. Pire, la section 702 de la FISA (pour « Foreign Intelligence Surveillance Act ») autorise, elle, l’espionnage massif des individus non américains localisés à l’étranger – dont nous faisons partie. Cette loi américaine permet aux agences fédérales d’accéder aux e-mails et aux appels téléphoniques des individus résidant à l’étranger.
Et c’est justement cet espionnage massif potentiel qui avait poussé la Cour de Justice de l’Union européenne à annuler les précédents accords transatlantiques – une première fois avec la décision Schrems 1 en 2015 – qui a annulé l’accord dit de « Safe Harbor » – et une seconde fois avec la décision Schrems 2, en 2020, avec l’annulation du « Privacy Shield ». Concrètement, les juges européens demandaient aux Américains de changer les règles du jeu, et d’apporter plus de garanties aux Européens.
Des garanties toujours insuffisantes, selon les Cnils et le Parlement européens
En octobre dernier, la Maison blanche avait alors émis un nouveau décret présidentiel, où était apporté un peu plus de garde-fous aux Européens. On pouvait y lire, par exemple, que l’accès, par les agences de renseignement américaines, à des données recueillies en Europe et transférées ou hébergées outre-Atlantique, devait désormais être limité à ce qui est « nécessaire » et « proportionné » vis-à-vis de la sécurité nationale américaine : ces deux critères n’existaient pas jusqu’alors. « Ils ont mis de l’eau dans leur vin, il y a eu des compromis », estime Maître Claude-Etienne Armingaud, partenaire au sein de K&L Gates LLP.
Le spécialiste ajoute, citant un ancien de la CIA, que « les nouveaux mécanismes mis en place pour les Européens n’ont jamais été vus en droit américain, en termes de protection de personnes qui ne sont pas sur la juridiction américaine, c’est-à-dire qu’il ne s’agit ni de citoyens américains ni d’individus qui résident aux États-Unis ».
Pourtant, ce « jamais vu » n’a pas été jugé suffisant, ni pour les Cnils européennes, ni pour le Parlement européen qui ont ensuite publié des avis plus que mitigés. Concrètement, il existe toujours des cas de figures où la collecte des données se fait en masse par le Renseignement américain. Il n’y a pas non plus de recours possible digne de ce nom pour les particuliers européens. Interviewé par 01net, Max Schrems, le juriste autrichien à l’origine des actions en justice contre les précédents accords, expliquait la semaine dernière que la Commission européenne allait, quoi qu’il arrive, adopter le nouvel accord, malgré les réticences de ces deux institutions – dont les avis sont purement consultatifs – et malgré les réticences de la société civile.
En partie parce que Washington et Bruxelles ont déjà scellé un accord politique en mars 2022, lors d’une rencontre entre Ursula von der Leyen, la présidente de la Commission européenne, et Joe Biden, le président des États-Unis. Et ce bien avant que la Maison Blanche publie le décret présidentiel, apportant davantage de garanties aux Européens, déplorait Max Schrems – texte qui sera finalement publié seulement sept mois plus tard, en octobre 2022.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
« Une guerre de conception entre les États-Unis et l’Europe »
Quelles sont les prochaines étapes ? Pour l’instant, le commissaire européen à la Justice Didier Reynders s’est contenté de se féliciter sur Twitter, lundi 3 juillet, de « cette étape importante dans la mise en place du cadre UE-États-Unis pour la protection de la vie privée ».
I welcome this important step to set up the EU-US Data Privacy Framework.
This is the result of a significant 🇪🇺🇺🇸collaboration and reflects our shared commitment to facilitating data flows between our respective jurisdictions while protecting individual rights & personal data. https://t.co/hvj3UQt3dv
— Didier Reynders (@dreynders) July 3, 2023
Si le DPF est adopté, il sera contesté devant la Cour de justice de l’UE, comme l’ont été précédemment les deux autres textes, a rappelé Max Schrems, fondateur de NOYB. Ce conflit pourra-t-il un jour trouver une porte de sortie ? Rien n’est moins sûr car « en Europe, la protection de la vie privée et la protection des données à caractère personnel sont des libertés fondamentales », rappelle Maître Armingaud.
« Il s’agit de quelque chose d’intrinsèque aux individus. Mes données, ce sont les données qui se rapportent à ma personne. Aux États-Unis, il s’agit à l’inverse d’une commodité, de quelque chose qui a de la valeur pécuniaire, de la valeur en termes d’intelligence et d’espionnage, librement échangeable. La conception de liberté publique ? Elle entre vraiment en second plan là-bas », poursuit-il. Entre « guerre de conception entre les États-Unis et l’Europe », selon Maître Armingaud, et dialogue de sourd, la saga sur le transfert de données personnelles transatlantique n’est pas près de se clôturer.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Communiqué de la secrétaire du Commerce du 3 juillet 2023