Ce vendredi 25 mars, l’UE et les États-Unis concluaient un accord sur le gaz à l’occasion du Sommet européen à Bruxelles, mais plus discrètement, Ursula von der Leyen et Joe Biden ont aussi annoncé un accord de principe sur les transferts internationaux de données personnelles. Beaucoup s’inquiètent de voir cette problématique tomber entre les mains de la Commission (à juste titre) mais cette déclaration n’est accompagnée d’aucun texte concret – et elle est à prendre avec des pincettes, au vu de l’historique des précédentes tentatives ratées en la matière.
Une donnée personnelle est considérée comme toute information relative à une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement – le business de la donnée personnelle est, avant tout, incroyablement lucratif et les mentalités commencent à se réveiller face à l’ampleur de ce problème éthique.
Un nouvel accord « de principe », sous l’impulsion de la Chine ?
C’est la troisième fois que l’UE et les Etats-Unis tentent de se mettre d’accord en matière de transfert de données personnelles.
Pour la présidente de la Commission, cette fois c’est la bonne : « Nous avons réussi à trouver un équilibre entre la sécurité et le droit à la vie privée et à la protection des données. Nous avons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques. Cela permettra des flux de données prévisibles et dignes de confiance entre l’UE et les États-Unis, tout en préservant la vie privée et les libertés civiles. »
Il pourrait être quelque peu déroutant de voir les USA profiter du conflit en Ukraine pour imposer cette question à l’ordre du jour du calendrier européen, mais il faut bien comprendre que les mentalités sont en train d’évoluer en matière de protection des données personnelles.
De plus en plus d’Etats américains adoptent des lois nationales sur la protection de la vie privée, et plus surprenant, la Chine s’y met aussi (en s’inspirant de la règlementation européenne, au moins sur le papier …)
Ce premier texte récemment entré en vigueur en République populaire de Chine est peut-être un élément qui a poussé le président américain à agir sur le marché européen – mais il ne faut pas négliger non plus l’impact de l’insécurité juridique pesant sur les acteurs économiques recueillant des données personnelles internationales, et ce depuis deux ans.
En cas de non-respect de la législation en question sur le sol de l’UE, le montant de l’amende peut s’élever à 4% du chiffre d’affaires annuel mondial. Bon, menacer d’une amende un géant américain est souvent synonyme de représailles, la situation est donc bloquée, mais elle n’en n’est pas moins inconfortable sur le plan politique et économique.
La Cour de Justice de l’UE ne cède pas
Le 16 juillet 2020, la plus haute juridiction de l’UE avait invalidé l’accord sur le transfert des données personnelles avec les USA . En 2015, le précédent accord « Safe Harbor » avait été également invalidé.
Le Privacy Shield avait pourtant été signé par la Commission en 2016 et avait pour but de protéger les données personnelles européennes qui traversent l’atlantique de la même manière que si elles restaient en Europe. En raison de craintes de tentatives d’ingérence par des programmes de surveillance du gouvernement américain, la Cour avait décidé de botter en touche.
Comment adopter d’une part, un règlement de protection des données personnelles à l’échelle européenne et autoriser, d’autre part, les services de renseignement américain à accéder aux données personnelles de ses ressortissants ?
Oui, il faut dire que les Etats-Unis ont une conception bien propre de la donnée personnelle. En Union Européenne, cette dernière est considérée comme un attribut de la personnalité, mais aux USA, si une entreprise capte une donnée, elle devient automatiquement un de ses actifs (tout est arme économique au pays de l’oncle Sam).
Alors que sur le territoire du vieux continent, le règlement RGPD est un des textes les plus protecteurs au monde s’agissant du traitement des données personnelles. Le citoyen européen a le droit de savoir où ses données sont localisées, à quoi elles servent, et il peut demander à les effacer à tout moment.
Effectivement, on ne voit pas très bien comment ces deux points de vue peuvent être réconciliables.
La question centrale est celle de savoir si les lois américaines sur la surveillance ont évolué depuis l’invalidation du Privacy Shield et si Washington est prêt à empêcher ses services de renseignement d’accéder aux données des résidants européens …
Le Cloud Act n’inspire pas la confiance
Le Cloud Act, loi fédérale adoptée en 2018 , illustre parfaitement la problématique de la posture américaine en la matière.
Pour rappel des faits qui ont conduit à la promulgation de cette loi, le Department Of Justice (le ministère de la justice américain), ordonne à Microsoft de lui donner accès aux informations de l’un de ses clients, résidant en Irlande, dans le cadre d’une enquête pour trafic de drogue. En 2016, la Cour d’appel des États-Unis décide que les autorités américaines n’avaient pas le droit de rechercher de telles informations personnelles sur un territoire étranger.
Qu’à cela ne tienne, on fait adopter une loi donnant aux autorités américaines le pouvoir d’exiger d’un fournisseur de services – basé aux Etats-Unis, mais aussi pour ses filiales à l’étranger – de lui transmettre des données dans le cadre de procédures pénales (on parle souvent de la mise en œuvre du Cloud Act à des fins de terrorisme, mais en réalité une « simple » mise en cause pénale suffit).
Jusqu’à présent nos dirigeants n’ont pas vraiment montré l’exemple, à l’instar d’Olivier Véran (grosse surprise) qui avait fait le choix d’héberger Health Data Hub – projet de centralisation de données médicales – chez Microsoft …
Ces procédures de rétention sont très violentes de notre point de vue d’européens, elles ne sont ni notifiées à l’entreprise ni à l’Etat où se trouve cette entreprise.
A notre connaissance cette loi est toujours en vigueur, et le célèbre avocat Autrichien Max Schrems – celui à qui l’on doit toutes les avancées sur la protection des données ici en Europe – veille déjà au grain.
https://twitter.com/maxschrems/status/1507297541351694341?s=27&t=5IOBukwfSpDaDm62WP0hIQ
Le Cloud Act laisse la possibilité à un accord bilatéral de venir atténuer ces atteintes, et selon Ursula cette fois c’est la bonne … Wait and see …
Comme précisé, aucun texte n’accompagne cet effet d’annonce. Il faut attendre de voir le contenu de l’accord et observer les concessions américaines (s’il y en a). La Cour de Justice de l’UE s’est quant à elle montrée intraitable sur le sujet, en tout cas jusqu’ici.
En Europe nous avons bien le RGPD, mais je ne suis pas certain que les gouvernements le respectent bien. Dois-je rappeler l’histoire du QRcode pour les pass sanitaires et vaccinaux? Cela respecte le RGPD? J’en doute lourdement.