Autoblog de la La quadrature du net

Paris, le 7 avril 2016 — Le Privacy Shield, qui encadrera les transferts de données personnelles vers les entreprises établies aux États-Unis, est en cours de négociation. Cet accord fait suite à l'annulation du Safe Harbor par la Cour de justice de l'Union européenne (CJUE), qui a jugé qu'il ne permettait pas une protection substantiellement équivalente des données personnelles des personnes protégées par le droit européen et qui a proposé des garanties pour y remédier. Ces garanties n'étant pour l'instant pas prévues par le projet de Privacy Shield, l'accord qui en résultera nivellera par le bas les droits fondamentaux des Européens.

Communiqué commun de l'Observatoire des Libertés et du Numérique (OLN)1

Madame la Présidente,
Monsieur le Président,
Mesdames et Messieurs les membres de la commission LIBE,

Depuis sa signature par la Commission européenne en 2000, le Safe Harbor2 était censé certifier le respect par les entreprises outre-Atlantique de standards d'effet similaires aux standards européens de protection des données, et ce malgré les réserves formulées à l'époque par le G29 notamment en matière de lois dérogatoires américaines. Les révélations d'Edward Snowden en 20133 ont dévoilé au monde l'étendue de la surveillance des États-Unis sur les données traitées et conservées sur leur sol - ou à l'étranger - par les entreprises internationales, en application du Patriot Act.

En conséquence, la CJUE a invalidé le Safe Harbor le 6 octobre 2015, par sa décision Schrems4. Cette décision a posé les bases d'un nouvel accord, en énonçant des critères minimaux que la Commission devrait suivre.

Malheureusement, le nouveau projet d'accord, dit Privacy Shield5, n'intègre pas toutes les garanties jugées nécessaires par la CJUE. S'il était signé en l'état, ce projet saborderait la protection des droits fondamentaux à la protection des données et à la vie privée exigée par la Cour de justice.

Plus précisément, la CJUE avait souligné :

• la nécessité qu'un tel accord prévoie une « possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données »6. Cette possibilité ne se retrouve pas dans le projet d'accord, qui se borne à déplorer la fragilité des recours disponibles7, ou qui se contente de rappeler que certains textes américains permettent de demander des informations aux agences fédérales, sans pouvoir les rectifier8. Pour pallier cette faiblesse, le projet d'accord doit a minima prévoir concrètement les modalités de suppression des transferts par les autorités nationales de protection des données9 ;
• que cette possibilité doit s'accompagner « de l’existence d’une protection juridique efficace contre des ingérences de cette nature »10. Or dans les faits le projet de Privacy Shield prévoit la mise en place aux États-Unis d'un médiateur traitant les demandes des autorités européennes chargé d'enquêter sur les allégations de surveillance, mais son indépendance a ouvertement été remise en cause11 par le médiateur européen12. De plus, la compétence de ce médiateur ne devrait pas se cantonner aux questions de surveillance ;
• son opposition de principe à la surveillance de masse. La Cour a ainsi posé l'exigence que le futur accord ne permette ni « aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques »13, ni la conservation, « de manière généralisée [...] de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis »14. Pourtant, les engagements américains citent six15 finalités leur permettant toujours de procéder à une collecte indiscriminée des données des utilisateurs de services tels que ceux proposés par Google ou Facebook. La Commission souligne explicitement dans le projet d'accord que l'accès aux données collectées serait strictement limité à des finalités spécifiques et légitimes de défense nationale16. Pourtant, aucun texte de loi américain, ni même engagement politique, ne va dans ce sens.

La Cour de justice de l'Union européenne avait annulé le Safe Harbor qui ne protégeait pas les données transférées aux USA depuis l'Europe contre la surveillance de masse américaine, et la Commission européenne est sur le point d'accepter un nouvel accord qui ne protège pas mieux les données des personnes concernées. De même, la Commission européenne refuse aujourd'hui d'investiguer les politiques de sécurité nationale des États membres en matière de collecte massive des données, allant ainsi à l'encontre de toutes les décisions de la CJUE17.

Enfin, la valeur juridique de ce texte n'est que très relative, relevant largement de promesses politiques que les élections présidentielles à venir pourraient balayer18, comme l'ont rappelé les eurodéputés lors de l'audition d'experts au Parlement européen le 17 mars. Cet accord, non ratifié par le Congrès américain, ne donne par conséquent aucune garantie sérieuse aux personnes dont les données sont transférées aux États-Unis.

L'Observatoire des Libertés et du Numérique (OLN) soutient les réserves apportées par le G29 et le Parlement européen et appelle à maintenir la pression sur la Commission européenne afin de l'inciter à publier une analyse juridique de la compatibilité du projet avec les autres instruments européens de protection des données19. Sur cette base, l'OLN milite pour une reprise des négociations avec les autorités américaines afin notamment que la conformité des transferts actuels soit réellement examinée.

Ce projet d'accord est dangereux et ne répond pas aux critères de protection des droits fondamentaux en Europe. En tant que tel, nul doute qu'il sera de nouveau attaqué et annulé par la CJUE, causant une instabilité juridique nuisible à la confiance nécessaire au bon fonctionnement de l'économie numérique. Une renégociation est donc incontournable pour la défense de nos droits fondamentaux !

• 1. L'Observatoire des Libertés et du Numérique regroupe le Syndicat de la magistrature, le Syndicat des Avocats de France, la Ligue des droits de l'Homme, La Quadrature du Net, le Cecil et le Creis-Terminal.
• 2. La décision du 20 juillet 2000 de la Commission européenne : http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32000D0520&from=EN
• 3. Article du Monde sur les révélations Snowden : https://www.laquadrature.net/en/node/8925
• 4. Pour voir la décision : http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=293038
• 5. Une version du projet d'accord est disponible sur cette page : http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
• 6. Paragraphe 95 de la décision Schrems citée plus haut.
• 7. Paragraphes 98 et 99 du projet précité de Privacy Shield.
• 8. Paragraphes 96 à 104 du projet de Privacy Shield.
• 9. Prévu au point 44 du projet d'accord.
• 10. Paragraphe 89 de la décision Schrems précitée.
• 11. http://www.ombudsman.europa.eu/en/resources/otherdocument.faces/en/64157/html.bookmark
• 12. En effet, l'annexe III du Privacy Shield, qui prévoit les missions du médiateur, ne prévoit pas qu'il informe l'autorité européenne de l'existence d'une surveillance de l'individu à l'origine de la plainte s'il a été surveillé, ni le moyen par lequel il a été mis fin à la violation, le cas échéant.
• 13. Paragraphe 94 de la décision Schrems précitée.
• 14. Paragraphe 93 de la décision Schrems précitée.
• 15. Paragraphe 61 du projet de Privacy Shield précité.
• 16. Paragraphe 63 du projet de Privacy Shield précité.
• 17. Arrêt Digital Rights (http://curia.europa.eu/juris/document/document.jsf?text=&docid=150642&pa... ) et arrêt Schrems (http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pa... ).
• 18. Vidéo de D. Trump sur ses premières décisions s'il venait à être élu président des États-Unis : https://www.youtube.com/watch?v=8HmLxrbIrjc&t=0m9s
• 19. Une telle étude devrait analyser le projet à la lumière de la décision « Safe Harbor », déjà citée, de la directive de 1995 sur la protection des données, du futur règlement général sur la protection des données et de la Charte des droits fondamentaux de l'UE.