Dans un contexte mettant en exergue les points d’achoppement entre les concepts d’intérêt public que sont d’une part le respect des droits fondamentaux des citoyens et d’autre part l’assurance de leur sécurité, les négociations entre Bruxelles et Washington relevant du ‘transfert de données personnelles’ du TAFTA (Trans-Atlantic Free Trade Agreement) prennent toute leur ampleur.
LE TAFTA, ?
800 millions de consommateurs, 25% du Produit Intérieur Brut mondial mais un marché en partie protégé : l’objectif du Traité transatlantique est d’instaurer une zone de libre échange et de marché commun entre les Etats-Unis et l’Union européenne. Cela nécessite d’une part une diminution, voire la suppression, des barrières douanières, pour celles qui subsistent encore, et d’autre part et essentiellement une harmonisation des normes en cours au sein des deux parties. C’est ce dernier point qui se révèle le plus ambitieux et complexe : la possibilité matérielle de réaliser l’harmonisation des normes constitue en effet la cause principale du retard accumulé durant les négociations.
Les défenseurs du TAFTA mettent en avant une augmentation des exportations ainsi qu’une entrée de 100 milliards d’euro dans les caisses des deux parties. Dans cette optique, l’enjeu principal reste le commerce, comme le montre la proportion de négociateurs faisant partie du secteur privé, très nettement supérieure aux représentants de la société civile (avec un ratio de 90 pour 10% environ).
Les premières négociations ont débuté en 2011. Régulièrement dénoncées pour leur opacité, et malgré les mises à jour régulières du Parlement européen sur l’avancée des négociations via son site internet, le manque de transparence reste bien réel. En outre, une partie des documents est consultable, mais uniquement dans quelques salles sécurisées où tout emprunt ou prise de notes est formellement interdit.
Le volet ‘protection de données’ a émergé notamment suite aux révélations en 2013 d’Edward Snowden qui ont mis en lumière les méthodes employées par les agences intergouvernementales américaines, en l’occurrence la NSA (National Security Agency). L’utilisation des données personnelles et l’intrusion dans la sphère privée des citoyens américains mais aussi européens justifiées par l’impératif de défense nationale pose la question du respect d’un droit civil fondamental consacré par l’Union européenne, celui du respect de la vie privée. Or, le transfert de données vers des firmes américaines pose ainsi très clairement la question de leur protection.
Depuis mars 2016, certains élus du Parlement européen demandent à ce qu’un vote ait lieu au sujet du volet ‘protection des données personnelles’ contenu dans le TAFTA approuvé début février par la Commission. Cette volonté (exprimée par une partie des députés européens de placer la protection des données transférées vers les firmes américaines à l‘ordre du jour du Parlement) peut à première vue sembler étonnante, et même démontrer la faiblesse de cet organe européen par rapport à son pendant ‘exécutif’ qu’est la Commission. En effet, si ce vote se tient, il n’aura en tout et pour tout aucune valeur juridique contraignante : dès lors, quelle serait donc son utilité ?
A l’initiative des parlementaires libéraux et socialistes, l’inscription à l’ordre du jour du Parlement du Privacy Shield (Bouclier de confidentialité) vise à mettre en avant les lacunes d’un chapitre du TAFTA qui met à mal la protection de la vie privée des citoyens européens.
Cette problématique faisait déjà l’objet d’un accord antérieur aux négociations du Traité transatlantique et était alors régie par le Safe Harbor qui devait fournir un niveau de protection des données personnelles au moins équivalent à celui assuré par l’Union européenne avant de permettre le transfert de ces données vers les Etats-Unis. Fixés par la directive 95/46/CE du 24 octobre 1995, quatre principes devaient être respectés : la sécurité des données, le consentement clair et informé pour le partage d’informations personnelles ainsi qu’un droit d’accès, de rectification et de suppression, l’information des personnes concernées et enfin, pouvoir s’opposer au transfert et/ou à l’utilisation de ses données pour d’autres finalités. Suite à une saisine de la Cour de Justice de l’Union européenne (CJUE) par la Haute Cour de Justice irlandaise, les autorités européennes ont jugé que la protection offerte par le Safe Harbor se révélait finalement insuffisante au regard des principes fixés par l’Union, notamment de par la facilité avec laquelle les agences gouvernementales américaines pouvaient avoir accès à ces données ; le Patriot Act se montre en effet très souple dès lors que l’impératif de défense nationale est brandi (CJUE, 06 octobre 2015, affaire C362/14).
Ainsi invalidé, c’est dans le cadre du TAFTA que son successeur, le Privacy Shield, est actuellement négocié alors que l’usage du Safe Harbor est devenu illégal : Facebook s’est ainsi vu rappelé à l’ordre pour avoir continué de s’y référer et doit, sous un délai de trois mois, se conformer à la décision de la CJUE sous peine d’une sanction financière.
La mise au point d’un nouveau protocole apparait donc comme étant particulièrement urgente. Le Privacy Shield a ainsi été négocié jusqu’au 02 février 2016 mais aucun texte n’a pour le moment était rendu public car, comme pour le reste des thématiques et domaines touchés par le TAFTA, la transparence des négociations est quasi-nulle et seules quelques lettres d’intentions sans valeur juridique ont été communiquées. Les négociateurs justifient cette opacité par le caractère sensible des compromis à négocier du fait du fossé tant en termes de culture que de réglementation commerciale qui sépare l’Europe et les Etats-Unis.
Le G29, le groupe des CNIL (Commissions nationales de l’informatique et des libertés) européennes, a ainsi formulé une demande de complément d’informations dans la mesure où, en plus des principes tirés de la directive de 1995, il met en avant deux éléments qui doivent, selon lui, être inclus dans cet outil de protection afin de garantir la vie privée et de légaliser par ce biais le transfert de données personnelles vers les Etats-Unis : d’une part, les citoyens européens doivent pouvoir bénéficier d’une protection juridique efficace via la création d’un médiateur indépendant, et d’autre part le principe de surveillance de masse doit être étroitement encadré. Or, le G29 tout comme les parlementaires demandant un vote symbolique sur la question du transfert des données personnelles émettent de sérieuses réserves sur le respect de ces deux derniers points. L’indépendance du médiateur pose en effet problème puisque les négociateurs proposent la mise en place de tribunaux arbitraux (qui existent déjà dans le cadre d’autres accords). Cette forme de justice à sens unique – puisque seules les entreprises peuvent attaquer les Etats et que l’inverse n’est pas possible – est surtout problématique dans le sens où la neutralité des arbitres peut sérieusement être mise en question, certains étant en parallèle lobbyistes ou encore avocats d’affaires. D’un autre côté, un certain scepticisme est également de mise concernant les limites à apporter à la surveillance de masse face à l’enjeu de la défense nationale, d’autant qu’aucune mesure américaine n’a été édictée en ce sens, le Patriot Act, bien que très intrusif, demeurant le cadre en vigueur depuis octobre 2001.
Or, sans ces restrictions, le Privacy Shield ne survivra pas à une nouvelle décision de la CJUE, laissant ainsi l’économie numérique pourtant en plein essor dans un flou juridique instable préjudiciable à une production de richesses qui pourrait venir renforcer une croissance essoufflée – outre bien sûr le vide dans la protection de la vie privée des citoyens européens. D’autant que cette évolution pose une autre question : si les données les plus personnelles des Européens ne peuvent bénéficier d’un minimum de protection, qu’en est-il des autres ?
Aujourd’hui toutefois, la suite des négociations sur le Privacy Shield a pris du retard : initialement attendu en janvier 2016, l’accord a finalement été repoussé à juin. L’inscription à l’ordre du jour du Parlement européen du Bouclier de confidentialité est actuellement attendu pour le 25 ou le 26 mai.
L’essoufflement des négociations sur le TAFTA est cependant de plus en plus marqué et le volet de protection des données personnelles en pâtit. L’un des coups de frein les plus récents s’explique en partie par les révélations apportées par Greenpeace : les documents rendus publics montrent en effet des négociateurs américains butés sur leurs positions et peu enclins au compromis. Ces ‘fuites’ viennent apporter de l’eau au moulin des opposants au Traité, d’autant que certains pays européens, notamment la France, l’Autriche et l’Allemagne, se montrent de plus en plus réticents à ce sujet. Les échéances électorales à venir dans ces Etats peuvent expliquer ce repli, d’autant que du côté des Etats-Unis, outre le changement de chef d’Etat également prévu pour 2017, le concept de libre échange est de plus en plus pointé du doigt. Si les autorités européennes se montrent rassurantes et malgré le calendrier officiel qui prévoit une rencontre entre les négociateurs à Washington du 16 au 18 mai au sujet du Privacy Shield, le contexte international tendu renforce les clivages idéologiques sur de multiples points, y compris sur la question du transfert des données personnelles et leur traitement.
Par ce vote, les parlementaires européens viennent cependant rappeler à la Commission toute l’importance de ce volet et du cadre législatif européen qui doit être respecté.
Les nouvelles technologies demandent une mise à jour de la législation dans un contexte où la tension entre sécurité et liberté est de plus en plus tangente et par ce biais, le Parlement vient ainsi jouer son rôle de lanceur d’alerte en tant que représentant des citoyens de l’Union européenne auprès de la Commission, d’autant qu’au sein-même de l’Union, certaines politiques nationales ont été jugées trop intrusives et mettent à mal la balance respect des droits fondamentaux / sécurité publique.
Et en Europe, on en est où en matière de protection des données personnelles ?
Depuis le début de l’année 2012, les autorités européennes travaillent conjointement dans l’optique d’élaborer une politique numérique européenne commune, politique votée durant le mois d’avril 2016 par le Parlement qui avalise ainsi une protection global pour les 28 Etats membres qui profitera tant aux citoyens qu’aux entreprises européennes.
Ce corpus fait suite à la dernière directive européenne qui encadrait ce domaine et qui datait de 1995 ! Le General Data Protection Regulation (GDPR) constitue – comme son nom l’indique – un outil de régulation visant à mettre fin aux nombreuses contradictions que rencontraient notamment les entreprises en matière de politique de protection des données personnelles au sein de l’Union européenne. Jusqu’à aujourd’hui, les entreprises européennes dépendaient du pays où se trouvait leur siège social. La multitude de réglementations en cours pesait alors surtout sur les petites et moyennes entreprises dont la compétitivité était ainsi mise à mal.
L’élaboration du GDPR constitue également un précédent dans les relations entre l’Union européenne et les Etats-Unis dans la mesure où elle a donné lieu aux premières réelles incursions du lobbyisme américain auprès des institutions européennes. D’abord défavorables à ce projet, les Etats-Unis ont ensuite changé d’approche à la suite notamment de l’invalidation du Safe Harbor et des difficultés que rencontraient les négociations portant sur le Privacy Shield, l’absence de réglementation européenne sur ce sujet se révélant finalement source d’instabilité. Une certaine urgence à légiférer sur ce sujet était ainsi bien présente.
C’est sous l’égide de Viviane Reding que les négociations ont débuté vers l’élaboration d’un « Digital single market » offrant une meilleure protection de leur vie privée aux citoyens de l’Union européenne. Alors que plus des trois quarts des Européens n’ont pas confiance en la manière dont leurs données personnelles sont exploitées par les entreprises comme par les gouvernements, le GDPR doit venir poser plusieurs mécanismes et mesures législatives visant à rendre l’Internet plus sûr pour les données personnelles et à favoriser la coopération policière au sein de l’Union puisque les firmes ne respectant pas ce package seront sanctionnées.
La mise en place et la ratification par chaque Etat membre de la nouvelle régulation devrait demander deux années selon Mme Reding qui suggère, outre la mise au point d’une campagne d’information et d’une certaine forme de ‘guide’ à destination des entreprises et des citoyens européens, ainsi que l’implémentation d’une autorité de protection des données qui sera en charge de recueillir les recours dans ce domaine.
La fin des barrières numériques au sein de l’Union européenne marquera donc la naissance d’un marché digital commun, permettant selon les prévisions effectuées de peser favorablement sur la croissance économique mais aussi sur la recherche du point d’équilibre entre le respect du droit à la vie privée et la sécurité tant nationale que régionale et internationale.
Toutefois se pose la question de la compatibilité du GDPR avec les mesures négociées dans le cadre du TAFTA. Or, comme le rappelle Mme Reding, l’invalidation par la CJUE du Safe Harbor tenait à ses lacunes en termes de protection des données personnelles face à l’impératif de défense nationale et de sécurité invoquées par les agences américaines afin d’y avoir un accès quasi-illimité, élément toujours présent au sein du Privacy Shield. Ce dernier court donc le risque d’être invalidé comme son prédécesseur dès sa mise en place : « You can call it by another name and give it fresh colours, but the problem has not been solved. »
Les données personnelles, un vivier d’informations facilement manipulable
Les révélations d’Edward Snowden sur les méthodes employées par la NSA et les logiciels d’interprétation et de traitement de données ont démontré les pouvoirs presque démesurés des agences gouvernementales américaines consacrés par le Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism). Les mesures convenues entre l’Union européenne et les Etats-Unis dans le cadre du Safe Harbour présentant des lacunes, la NSA a mis au point le logiciel PRISM permettant de scanner les communications numériques via les principaux services utilisés par le public. Couplé au programme XKeyscore, l’objectif était de parvenir à croiser les différentes données recueillies. Le résultat a dépassé les espérances de la NSA dans la mesure où les informations ainsi récupérées via les mails, les conversations privées, les dossiers ayant transité sur le net etc… se sont révélées extrêmement précises. Les données ainsi recueillies était pour certaines conservées plusieurs jours par la NSA.
Outre les citoyens américains, d’autres populations étaient ciblées, dont les Européens, y compris les autorités des pays membres et européennes.
Emmanuelle Gris
En savoir plus :
- https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
- https://www.euractiv.fr/section/innovation-entreprises/news/meps-battle-to-get-their-vote-on-privacy-shield/
- https://www.theparliamentmagazine.eu/articles/opinion/viviane-reding-data-protection-regulation-one-more-step-towards-digital-single?utm_medium=email&utm_campaign=Daily%20Parliament%20Magazine%20Round-Up&utm_content=Daily%20Parliament%20Magazine%20Round-Up+CID_26f8052201df0734776adeb9fae73128&utm_source=Email%20newsletters&utm_term=Viviane%20Reding%20Data%20protection%20regulation%20one%20more%20step%20towards%20digital%20single%20market
- http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf