Le 14 Juin, EU-logos vous faisait part de la colère des eurodéputés en plénière, nourrie par le programme américain PRISM. Le 19 Juin, les membres de Commission LIBE ont réaffirmé cette indignation lors d’un échange-débat avec la Commissaire de la Justice Vivianne Reding.
La Commissaire se rendait au Parlement pour résumer les avancements sur ses dossiers et redéfinir de nouvelles priorités dans l’agenda des Affaires Judiciaires. Un exposé d’un ton assez serein, cachant pourtant un conflit bien prévisible avec des parlementaires particulièrement indignés. Une semaine auparavant Vivianne Reding avait dialoguée avec son homologue américain Eric Holder à Dublin sur le programme PRISM, il était donc sûr que les membres de la Commission LIBE rebondiraient sur cette affaire. Rappelons que ce programme qui a défrayé la chronique a été lancé par la National Security Agency américaine, et accumule depuis 2007 des données sur des citoyens non-américains via une collaboration secrète avec huit entreprises concentrant la majorité des services internet (Facebook, Google, Youtube, Microsoft, Yahoo !, AOL et Apple). Découvert par le Guardian et le Washington Post le 6 Juin 2013 grâce à la divulgation d’Edward Snowden, expert qui avait auparavant travaillé à la NSA, PRISM repose sur une base légale, le « Protect America Act » de 2007, qui l’autorise à collecter des données européennes sans même demander l’avis d’un tribunal européen ou américain.
Malgré une lettre adressée à Eric Holder d’un ton très ferme envers les actions du gouvernement américain, les parlementaires ont critiqué un certain manque de sévérité dans le discours de la Commissaire à Dublin le 14 Juin. « Les américains sont en faute, nous devons le leur dire avec fermeté » a même déclaré Véronique Mathieu (PPE-FR) en prenant la parole au nom du Parti Populaire Européen. Ils ont également adressé de vives critiques envers les Etats-Unis, qui « traitent leurs alliés comme des suspects » (Sophia In’t Veld –ALDE-NL) et qui n’imposent pas un climat de confiance propice à la coopération avec eux (Birgit Sippel –S&D-DE). Une coopération pourtant vitale à l’heure ou l’Union Européenne entre dans une série de round de négociations avec son partenaire américain pour mettre sur pied le Grand Marché Transatlantique.
Les remontrances de certains députés ont été bien plus loin en accusant la Commission de feindre la surprise sur l’affaire PRISM. Mais comment être surpris du scandale que constitue PRISM quand des membres du Parlement signalent depuis au moins un an avoir déjà eu vent de tentatives d’espionnages venant des Etats-Unis, (sans remonter aux affaires plus anciennes tel que Echelon) et adressent un bon nombre de questions à la Commission depuis un mois sans jamais recevoir de réponses précises en échange ? EU-Logos a, à de nombreuses reprises, fait part des avertissements de Sophia In’t Veld sur le sujet (voir article Affaire PRISM : une Vague d’indignation se soulève au Parlement Européen.). A entendre le discours de Marie-Christine Vergiat (GUE-FR) à la dernière plénière et le discours de Birgit Sippel le 19 Juin, beaucoup à la Commission LIBE tirent la sonnette d’alarme depuis quelques années sans être entendus… ou du moins écoutés.
Selon la Commissaire en charge de la Justice, l’adoption de la proposition de règlement et de directive sur la protection des données personnelles est appelée à être la solution majeure au scandale PRISM, puisque ces deux projets doivent garantir plus de transparence dans la gestion des données numériques et plus de droits de regard des individus sur l’utilisation de leurs données (cf. l’article d’EU-logos « Données personnelles : un règlement, une directive, des amendements et du lobbying. Etats des lieux expliqués aux journalistes par le Parlement européen. »). Profitant de la présence de Vivianne Reding au sein de l’hémicycle, certains ont au contraire avancé que des absences dans le paquet protection des données sont plutôt des preuves de la permissivité de la Commission. Pour la députée britannique Sarah Ludford (ALDE-UK) par exemple, ces deux textes en l’état actuel ne donnent aucune garantie qu’une affaire comme PRISM ne puisse ressurgir à nouveau, et sont donc « en l’état actuel, un échec ».
Tous s’accordent à dire que le principal problème qui sous-tend l’affaire PRISM est bien la différence de protection entre la loi américaine et la loi européenne, puis le manque de mécanisme de contrôle du transfert de données vers des états-tiers. La loi américaine est moins contraignante dans l’utilisation des données personnelles que la loi européenne, et si en théorie les entreprises ayant des activités en Europe doivent se plier à ce droit européen, rien n’existe pour réellement les obliger à respecter ces normes. Les européens qui voient leurs données traitées par une entreprise ou une agence ayant ses serveurs aux Etats-Unis sont donc moins protégés que si cette entreprise était sur le sol européen. Selon les parlementaires de la Commission LIBE, aucun mécanisme empêche l’extraction de données européennes vers des pays ou la protection garantie sera moindre ou pourrait permettre de gommer la différence entre le droit national du pays tiers et le droit européen.
Le groupe libéral ALDE reproche au nouveau règlement de ne changer que peu cette situation. S’agit-il alors d’un oubli de la Commission ? En suivant la logique de Sarah Ludford, si oubli il y a, celui-ci est volontaire. Elle a souligné en effet qu’il existait bel et bien au moins deux manières de compenser le droit américain et de protéger les données européennes que la Commission a elle-même étudié puis abandonnées .
Un article 42 était tout d’abord prévu dans la toute première proposition de règlement de la Commission. Il stipulait selon l’eurodéputée libérale qu’ « aucun jugement d’un tribunal issu d’un pays tiers réclamant des données ne doit être reconnu ou exécutable de quelque façon que ce soit ». Un article de cette sorte existait en effet, et allait beaucoup plus loin que cela : l’article 42 garantissait des conditions strictes au transfert de données des européens vers des pays-tiers. Ces conditions étaient principalement de nature juridique : il fallait soit une clause explicitant que cette collecte dans un domaine très précis était légale selon la Commission dans le règlement, soit une clause explicite de la même sorte soulignant qu’une agence de protection des données d’un pays ou le contrôleur des données personnelles d’une entreprise considérait le même fait comme légal, soit enfin que l’entreprise souhaitant collecter des données d’une autre entreprise soit liée avec elle par un BCR, un Binding Corporate Rules, qui autorisent les deux entreprises à s’échanger leurs données comme si elle faisait partie de la même corporation. Ce texte a disparu par la suite, suscitant l’interrogation de Sophie In’t Velt : qui a réussi à exercer une pression suffisante pour que soit « biffér l’article de la proposition ». « Les américains ont-ils barré au stylo rouge ce texte ? A-t-elle demandé, et si ce n’est pas le gouvernement américain, alors qui est à l’origine de cette suppression et pourquoi ? ». Vivianne Reding a eu beau dire que cet article est retrouvable dans le règlement relatif à la protection des données sous le « considérant 90 », les députés se sont montrés peu soulagés d’apprendre la nouvelle. Il faut dire que ce considérant, qui oblige les institutions européennes à étudier les demandes de tribunaux des états-tiers en matière de données européennes, n’offre pas la même protection que l’article 42, et ne répond que peu au scandale PRISM où aucun tribunal américain n’a été justement sollicité. De nombreux parlementaires de tous bords ont demandé la remise en place de l’article 42 dans la proposition de la Commission. Parmi eux, citons Sarah Ludford elle-même, Sophie In’t Veld (ALDE-NL), Jan Philip Albrecht (Green-DE), Alexander Voss (PPE-DE), Sean Kelly (PPE-IE), Marielle Gallo (PPE-FR) et Lara Comi (PPE-IT).
Un « second manquement » de la Commission sur ce sujet a été explicité par une question de Sophie In’t Velt vis-à-vis des négociations sur l’accord Safe Harbour. Si Safe Harbour existe en théorie, la députée a douté de sa pertinence et de sa réalité dans les faits.
Pour une bonne partie de la commission LIBE ces deux manquements font de la Commission un coupable au même titre que les Etats-Unis dans l’affaire PRISM : après tout, comme l’affirmait Sophie In ’t Veld, les états tiers ne font qu’agir dans le vide juridique et politique que leur laisse l’Union Européenne. Un tableau qui rappelle tristement l’affaire ECHELON, un vaste réseau d’écoutes téléphoniques des européens par les agences de surveillance américaines, qui avait donné lieu au même débat entre le Parlement et la Commission, il y a plus de dix ans. Le député vert Jan Philip Albrecht (Green-DE) a appelé l’Union Européenne à se doter de moyens de définir une politique commune sur les thèmes des services de renseignement, qui est pour l’instant un domaine de compétence exclusif des états-membres.
Silence du côté de la Commissaire, qui n’a répondu à aucune question concernant les acteurs derrière la disparition de l’Article 42 et les accords Safe Harbour. Elle a toutefois tenté de rassurer les parlementaires sur l’affaire PRISM en insistant sur l’envoi d’une seconde lettre destiné à Eric Holder, co-signé par Cécilia Malstrom, Commissaire aux Affaires Intérieures. Elle y demande entre autre des explications précises sur de nombreux points techniques concernant les activités de la NSA, parmi lesquels des interrogations sur la quantité de données accumulées, la taille et la portée du programme, ou encore sur les recours possibles pour les européens face à la NSA. La Commissaire en charge de la Justice et des Droits Fondamentaux a affirmé que lors du dernier sommet de Dublin, le 14 Juin, Eric Holder et elle ont décidé de la création d’une commission d’experts américains et européens sur les transferts de données en général entre les deux rives de l’Atlantique. Si les parlementaires de la Commission LIBE se sont en général félicités de la création de cette commission qui devrait opérer au sein des accords plus larges sur le marché transatlantique, leur question finale a été bien plus concrète : combien de temps encore ce programme, véritable outrage aux données européennes, va-t-il durer? Là encore, la Commissaire n’a pas formulé de réponse.
PRISM a remis de l’huile sur le feu de l’affaire du paquet « protection des données personnelles », un paquet de négociations sur lequel s’affrontent sur un fond technique complexe les intérêts des citoyens et ceux de certains grands lobbys. Les scandales concernant les données personnelles se multiplient depuis quelques années, et servent à chaque fois d’électrochoc à la demande des citoyens pour plus de protection. La Commissaire Vivanne Reding a conclu de ces appels de la société civile qu’il est grand temps d’accélérer les compromis sur ce texte (qui aurait déjà dû être voté en commission en fin mai) pour garantir aux citoyens une base de protection concrète dans les plus brefs délais. Ce n’est pas l’avis du groupe social-démocrate selon sa représentante à la LIBE, Birgit Sippel, qui a au contraire appeler à ne pas hâter la procédure et à prendre le temps de repenser à de nouveaux éléments pour ne pas offrir aux citoyens une protection bâclée ou poreuse.
Yoann Fontaine
Pour en savoir plus:
– Proposition de directive de la Commission
(FR) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:FR:HTML
(EN) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:EN:HTML
– Proposition de Règlement de la Commission
(FR) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pd
f(EN) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf
– Projet de rapport de Jan Philip Albrecht
(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd
(EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd
– Projet de rapport de Dimitrios Droutsas
(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf
(EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/923/923072/923072en.pdf
– Enregistrement de la réunion
http://www.europarl.europa.eu/ep-live/fr/committees/video?event=20130619-1500-COMMITTEE-LIBE
– Dossier de Nea say sur la protection des données personnelles
http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=129&lang=fra&lst=0&arch=0&nea=129&idssth=204
– Données personnelles : un règlement, une directive, des amendements et du lobbying. Etats des lieux expliqués aux journalistes par le Parlement européen.
– Affaire PRISM : une Vague d’indignation se soulève au Parlement Européen.
– Protection des données personnelles et lobbys : nos droits en danger ?
– Discours de Vivianne Reding lors de la conférence interministériel EU-US de Dublin le 14 Juin (en anglais) http://www.youtube.com/watch?v=BCKSXlqlNhE