Nouvelle étape pour le futur « Privacy Shield », le nouvel accord transatlantique sur l’échange des données entre les États-Unis et l’Europe. Le 28 février dernier était publié l’avis du Comité européen à la protection des données (CEPD). Cet organisme, qui réunit les CNIL européennes, se demandait si les États-Unis – qui ont changé leur législation quelques mois plus tôt – protégeaient suffisamment les données personnelles des Européens. Étaient visées notamment la collecte et l’utilisation par les services de renseignement américains de ces datas. Concrètement, ce comité devait répondre à la question suivante : le droit américain offre-t-il des niveaux de protection de la vie privée équivalents à ceux en vigueur au sein de l’Union européenne ? Si le CEPD se félicite que de nouvelles garanties aient été ajoutées du côté américain, des inquiétudes demeurent. Autrement dit : c’est mieux qu’avant, mais ce n’est pas suffisant.
Cet avis est un pas de plus dans ce processus commencé il y a plus de deux ans, qui concerne près de 5 000 entreprises. En juillet 2020, la Cour de justice de l’UE (CJUE) invalidait le « Privacy Shield », le texte qui autorisait le transfert de données de citoyens européens vers les États-Unis. Les juges estimaient que ce cadre juridique ne protégeait pas des « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». Dans leur viseur : les pratiques de surveillance de masse du renseignement américain au nom de leur sécurité nationale.
Les données personnelles, un prolongement numérique de la vie privée
« Les données personnelles ont toujours été un bien particulier », rappelle Bastien Le Querrec, membre de La Quadrature du Net. D’un côté, « ces informations (qui permettent d’identifier une personne, de près ou de loin) constituent un droit fondamental et doivent être protégées » – comme un prolongement numérique de notre vie privée. De l’autre, « elles ont une dimension économique » et doivent pouvoir transiter d’un pays à un autre pour y être hébergées, voire traitées.
Au sein de l’UE, la directive de 1995, puis le Règlement général sur la protection des données (RGPD) à partir de 2018, protègent très strictement ces données. Et pour permettre leur transfert du Vieux continent vers d’autres pays comme les États-Unis, le législateur a imaginé un mécanisme : on étudie le droit de l’État dans lequel les données vont être envoyées. Et si la protection des datas présente un niveau équivalent au nôtre, on autorise le transfert.
Premier round : Le Safe Harbor adopté en 2000 est invalidé en 2015 par l’arrêt Schrems 1
La première autorisation a lieu en 2000, lorsque l’exécutif européen adopte le « Safe Harbor » qui acte le partage de données personnelles vers les États-Unis. On considère alors que le droit américain présente des garanties suffisantes pour la protection de la vie privée.
Et tout se passe globalement bien jusqu’en 2013, date des révélations d’Edward Snowden, où l’on découvre les programmes de surveillance de masse de la NSA. Le « Safe Harbor » se retrouve très vite sur le banc de la justice européenne, après une plainte de Max Schrems. Cet Autrichien estimait que les données personnelles des Européens n’étaient pas, dans les faits, protégées, lorsqu’elles étaient stockées aux États-Unis. Et la CJUE lui donne raison, en invalidant une première fois ce texte en 2015, avec l’arrêt Schrems 1.
À lire aussi : Vie privée : nous avons rencontré Max Schrems, l’homme qui fait trembler les géants du Net
Deuxième round : le « Privacy Shield » invalidé par à l’arrêt Schrems 2 en 2020
Résultat, en 2016, la Commission européenne et le département du Commerce américain concluent un nouvel accord, le « Privacy Shield ». Mais Max Schrems – encore lui – estime toujours que nos données, une fois exportées aux États-Unis, ne sont pas protégées. Notamment parce que le gouvernement ou certaines agences de renseignement américains y ont encore accès sans suffisamment de garde-fous. Et là aussi, la justice européenne est du même avis : elle invalide à nouveau le « Privacy Shield » en 2020 avec l’arrêt Schrems 2. L’accès aux données des Européens par les autorités et services de renseignement américains est jugé disproportionné et insuffisamment encadré.
Pourquoi ces deux invalidations ? La faute au droit américain
« La Cour de justice invalide le “Privacy Shield“, non pas à cause du “Privacy Shield“, mais à cause du contexte juridique dans lequel il s’inscrivait aux États-Unis », explique Emmanuel Ronco, avocat spécialiste de ces questions, associé chez Eversheds Sutherland. Comprenez : le problème vient du droit américain. Aux États-Unis, les Américains et leurs données sont protégés par le cinquième amendement de la Constitution : on ne peut pas obtenir leurs datas sans ordonnance d’un tribunal, donc sans l’intervention d’un juge. Mais cette protection ne s’applique pas constitutionnellement aux étrangers.
Dans les faits, quand les données viennent d’Europe, les autorités américaines peuvent s’en saisir sans ordonnance. « La CJUE a aussi expliqué que certaines lois américaines permettaient un accès aux données en provenance de l’UE en masse, sans information préalable et sans moyen de recours des citoyens européens », souligne Maître Ronco. Autre objet de litige : un décret « permettait aussi l’interception en masse par la NSA des données qui traversaient l’Atlantique par le biais d’un câble sous-marin », rapporte-t-il.
En filigrane, on demandait donc aux États-Unis de changer leurs règles et d’adopter des mesures plus protectrices pour les Européens. Pendant plusieurs mois, le département du commerce américain et la Commission européenne négocient, sans succès, jusqu’à il y a près d’un an. En mars 2022, un premier accord de principe est conclu. Suivi en octobre 2022 d’un nouveau décret américain qui est venu apporter des garanties supplémentaires aux citoyens européens. Enfin, le 13 décembre 2022, une première version de la Commission européenne, non définitive, du nouveau « Privacy Shield » – qui s’intitule cette fois « Data Privacy Framework » ou DPF – est publiée.
Les points à améliorer : des autorités de renseignement sans contrôle, et une absence de recours
C’est à ce moment-là que le CEPD entre en scène. Il est chargé de donner son avis – non contraignant, mais souvent suivi – sur ce type de décision, et donc sur le DPF. Il se félicite d’abord que l’accès, par les agences de renseignement américaines, à des données recueillies en Europe et transférées ou hébergées outre-Atlantique, doive désormais être limité à ce qui est « nécessaire » et « proportionné » vis-à-vis de la sécurité nationale américaine : deux critères qui n’existaient pas jusqu’alors.
« Mais on voit qu’il y a toujours quelques cas de figure où ces collectes de données “in bulk”, en masse, peuvent continuer et c’est notamment là-dessus qu’on peut progresser, selon le CEPD », analyse Maître Ronco. Autre problème soulevé par cet organisme : l’absence d’autorité de surveillance de la CIA et d’autres services de renseignements qui pourrait contrôler l’accès aux données des Européens. Car si le décret américain a bien créé une cour – appelée la Foreign Intelligence Surveillance Court (FISC) – censée chapeauter la CIA et ses homologues, quel pouvoir a-t-elle réellement sur ces autorités de renseignements ? La question doit être posée, estime le CEPD.
Et point encore plus problématique, le mécanisme à deux niveaux créé par le décret « ne permettrait pas aux personnes physiques d’avoir une véritable voie de recours effectif devant une autorité juridictionnelle dans le sens où on l’entend habituellement dans l’Union Européenne – par exemple, il n’y a pas d’appel », souligne Maître Ronco.
Les prochaines étapes : vers un troisième round ?
La Commission européenne a maintenant cet avis du CEPD. Elle devrait, sauf surprise, modifier le DPF en prenant en compte les points soulevés. Il faudra ensuite que ce texte passe devant le Parlement qui a un droit de regard. C’est seulement une fois toutes ces étapes passées qu’il y aura une décision définitive de la Commission européenne. Et très certainement un Schrems 3 : un passage par la case Cour de Justice puisque l’association de Max Schrems – eh oui, encore et toujours lui – a d’ores et déjà expliqué qu’elle considérait que les nouvelles garanties apportées par le nouveau décret américain n’étaient pas suffisantes.
Un avis partagé par La Quadrature du Net : « On a quand même eu un faisceau d’indices qui montre qu’il y a une incompatibilité systémique entre le droit américain et le droit de l’Union européenne » estime Bastien Le Querrec de la Quadrature du Net. Ces éléments « montrent qu’aujourd’hui, le droit américain n’est pas interprété comme étant suffisamment protecteur par rapport aux critères d’exigence du droit européen », ajoute-t-il.
Le déblocage de la situation – par une version définitive du DPF, ou un changement plus prononcé de la loi aux États-Unis en faveur des Européens – demeure en tous les cas très attendu. Car aujourd’hui, le système post Schrems 2 reste compliqué pour les entreprises européennes qui veulent exporter des données. Pour continuer lesdits transits, elles doivent passer par des mesures supplémentaires – et assez onéreuses, comme de chiffrements des datas. Problème : cette situation devrait continuer, au minimum, pendant plusieurs mois.