Les enjeux de la protection des données personnelles et de la sécurité numérique des Etats membres de l’Union européenne sont devenus des sujets relevant du débat européen parmi les plus urgents depuis la fin de la première décennie des années 2000. Après la création de l’ENISA (Agence européenne pour la sécurité de l’information et de réseaux) en 2004 et le début des négociations sur le traité transatlantique (ou TAFTA pour Trans-Atlantic Free Trade Agreement) en 2013, les autorités européennes ont à plusieurs reprises démontrer leurs compétences et la valeur ajoutée de l’Union dans le domaine du digital de par sa capacité à dépasser les frontières. C’est ainsi que la réunion de la Commission LIBE (libertés civiles, justice et affaires intérieures) du 11 juillet 2016 s’est en grande partie concentrée sur la question du numérique, et ce au-travers de deux axes : la sécurité des réseaux et de leur contenu d’une part, et d’autre part le pan commercial que peuvent revêtir les données personnelles des citoyens de l’Union dans le cadre du traité transatlantique et de la nécessité de respecter le Droit européen en assurant la protection desdites données et de la vie privée digitale.
Compétences numériques européennes et protection de la vie et des données privées des citoyens européens : les enjeux de la cybersécurité :
Les technologies digitales et les réseaux comportent un aspect sécuritaire central du fait de l’usage qui en est actuellement fait. Le haut niveau de protection des données personnelles est une nécessité qui a été rappelée à plusieurs reprises et avec force par l’Union : ce fut par exemple le cas lors d’une conférence qui s’est tenue en décembre dernier et dont l’une des recommandations-clés était de renforcer les industries numériques et technologiques européennes, ou plus récemment lors du forum organisé par l’Agence des droits fondamentaux de l’Union à Vienne à la fin du mois de juin 2016.
La démarche des autorités européennes se veut dans ce domaine « ambitieuse » selon Guillaume Poupard, directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information de la France qui était auditionné par la commission LIBE. Après un rapide état des lieux de la sécurité des réseaux en France démontrant une augmentation des cas répertoriés de cyber-attaques – il faut ici rappeler que nombreuses sont celles qui ne sont pas détectées -, M Poupard a mis en avant trois menaces pour la sécurité des réseaux français, mais aussi européens.
La première recoupe une multitude d’attaques souvent de faible importance à première vue, relativement aléatoires mais très ennuyeuses pour les victimes. Il s’agit principalement de vols de fonds et d’extorsions via l’usage de logiciels malveillants du type cryptolocker. Ces derniers ont pour objectif de ‘prendre en otage’ les données d’un individu ou d’une entreprise en les chiffrant pour ensuite les rendre aux victimes en échange d’une rançon généralement versée en crypto-monnaie (le bitcoin en est l’exemple le plus connu) sans pour autant avoir la certitude de revoir un jour les informations dérobées. Ce type de cyber-criminalité inquiète surtout par la difficulté à traiter de tels cas du fait notamment des différences de cadres législatifs concernant le numérique, mais aussi de par l’importance des sommes ainsi prélevées lorsqu’elles sont regroupées à échelle mondiale et par la rapidité de l’amélioration de ses attaques : il s’agit selon M Poupard d’un foyer de criminalité numérique important.
La deuxième menace réside dans le développement de groupes spécialisés dans le renseignement en entrant dans les réseaux informatiques, qu’ils soient publics ou privés, afin de dérober des données plus ou moins sensibles faisant la valeur de l’entité piratée. Ce genre d’attaque est largement sous-estimé admet M Poupard dans la mesure où les attaquants ont tout intérêt à rester les plus discrets possibles afin de pouvoir rester dans les réseaux autant que faire se peut : une vingtaine de cas seulement a été traitée par l’ANSSI en 2015 et ils concernaient tous des acteurs majeurs de l’économie française et des données pouvant mettre en péril la sécurité nationale. L’autre grande difficulté de ce type de ‘renseignement’ réside dans la difficulté à trouver des éléments à charge prouvant la culpabilité de tel ou tel groupe mafieux, pays ou encore entreprise concurrente, d’autant que ces acteurs peuvent s’allier et ces ensembles varier.
Le troisième type de menaces est le plus alarmant : il s’agit de la crainte de voir ces personnes ou ces groupes capables de voler des informations sans pour autant modifier le fonctionnement des réseaux et décider de les détruire en tout ou partie. Les cibles pourraient alors être des services critiques bien sûr, mais aussi peu sensibles à première vue – et donc souvent moins bien protégés – mais dont le fonctionnement est central pour l’économie et la sécurité nationale et régionale : de telles attaques contre les réseaux de transports, les raffineries ou encore les centrales nucléaires dont le fonctionnement est actuellement en très grande partie informatique pourraient être dévastatrices. Très peu de cas ont été répertoriés, mais en 2015, une attaque de ce type a marqué les esprits : celle de la chaine d’informations TV5 Monde qui a bien failli voir ses équipements télé-visuels détruits après qu’un attaquant ait pénétré ses réseaux. Encore une fois, déterminer l’identité des coupables est très complexe alors que ce genre de menace préfigure des intrusions et des vols de données plus violents et entrainant des conséquences physiques d’autant plus inquiétantes.
Après avoir rappelé qu’une réactivité forte était essentielle, M Poupard a admis la difficulté de réagir alors que l’avantage reste aujourd’hui à l’attaquant. Il est cependant venu tempérer ces propos quelque peu alarmistes en affirmant que des techniques de protection efficaces avaient été développées mais qu’elles nécessitaient d’y mettre des moyens tant financiers que techniques en favorisant notamment la coopération entre les différents Etats membres de l’Union mais aussi entre leurs services judiciaires et numériques. Il s’agit en effet bien d’un sujet de préoccupation global qui n’est plus l’apanage de quelques experts puisqu’une large partie des citoyens fait aujourd’hui un usage quotidien des technologies digitales.
Le directeur général de l’ANSSI est ensuite venu détailler deux possibilités d’appréhension de ce risque empruntée par l’Etat français pour faire face à ces menaces croissantes.
La première réside dans la création d’une agence nationale dédiée à la cybersécurité. La France a créé l’ANSSI en 2009 et lui avait alors attitré une centaine d’agents – ils sont plus de 500 aujourd’hui – dans le but de séparer les missions d’attaques et de renseignement des missions de défense et de protection dans un souci d’efficacité, tout en assurant entre l’ANSSI et les responsables du premier type de missions une coopération active.
La seconde approche, que M Poupard admet être « très française » mais sait efficace, réside dans la nécessité à réguler le numérique de manière à gagner du temps sur les attaquants. C’est ainsi que dorénavant une loi française votée en décembre 2013 impose aux opérateurs les plus critiques d’assurer de manière obligatoire un certain seuil de sécurité informatique. La mesure est aujourd’hui en cours d’implémentation. Elle a permis à l’ANSSI d’entrer en contact avec ces opérateurs afin de les sensibiliser aux menaces numériques, d’établir avec eux un corpus de règles visant à assurer leur protection et a permis la publication de trois premiers arrêtés début juillet. Pour justifier cette approche, M Poupard est venu affirmer le lien entre ces enjeux et le concept de gouvernance : le rôle des dirigeants politiques mais aussi des directeurs de ces entités est alors central, l’idée étant de réguler efficacement dans un souci de sécurité tout ce qui est fondamental pour le bon fonctionnement de l’Etat et le maintien de l’ordre public.
Ce type d’approche est essentiel à échelle nationale mais aussi européenne selon M Poupard, dans la mesure où les services critiques ne sont pas soumis aux frontières entre les Etats membres : une défaillance d’un partenaire pourrait ainsi entrainer des conséquences dans plusieurs autres pays. La directive NIS (Sécurité des réseaux de l’information) adoptée le 6 juillet dernier par le Parlement est d’ailleurs venue assurer ce travail de cohésion au niveau européen. Elle donne un signal fort aux Etats membres dont une partie n’a pas encore conscience du caractère central de la cybersécurité et permet surtout de mieux coopérer en travaillant en réseau, ce qui est mieux adapté qu’une approche purement nationale du fait de la nature transfrontalière de l’Internet et de la rapidité d’évolution des attaquants tant dans leurs techniques que dans leur manière d’opérer. Cette notion de travail en réseau est ici essentielle et M Poupard le souligne bien, puisque dès lors que des informations nationales sensibles sont mises en cause, les échanges évoluent généralement vers le bilatéral. L’objectif est donc de renforcer la confiance entre les Etats membres avec le concours de l’ENISA afin de pouvoir mieux échanger et de renforcer la cybersécurité au sein de l’Union européenne. En parallèle, la directive vient aussi poser une obligation de sécurité digitale minimale pour les entités pourvoyeuses de services « essentiels ». Le rôle de la loi est dans ce cadre de venir obliger la totalité des acteurs à se sentir concernés, car l’Etat comme les institutions européennes ne peuvent pas à eux seuls lutter sur tous les fronts contre la cyber-criminalité. Il a d’ailleurs été souligné que cette mesure ne constitue qu’une étape et non un aboutissement : dans ce souci de sensibilisation, elle participe à la création d’organes et de nouvelles initiatives dans ce domaine au sein des Etats membres et à échelle européenne, comme ce fut le cas en France avec la loi de programmation militaire et la caractérisation des OIV (opérateurs d’importance vitale) entrée en vigueur le 1er juillet 2016.
Il est cependant central que l’Europe ne se replie pas sur elle-même et continue à travailler avec d’autres acteurs internationaux – il s’agit d’un des points les plus fondamentaux de cette intervention – mais il est nécessaire pour l’Union de maitriser les technologies de protection digitale et de réguler certains domaines afin de ne pas compter exclusivement sur des innovations et des règlementations extra-européennes : la « question de l’autonomie stratégique au niveau européen dans le domaine du numérique en général » est « nécessaire ». Six enjeux sont alors à prendre en compte selon le directeur général de l’ANSSI.
En premier lieu, la nécessité d’assurer par nous-même nos propres réseaux informatiques : la cybersécurité demande une prise en charge à la fois par les Etats membres et par les institutions et agences européennes, dont l’ENISA (Agence européenne de la sécurité des réseaux de l’information). M Poupard appelle à un renforcement de cette dernière afin de lui permettre de devenir le moteur de la prise en charge et du traitement de ces questions au sein de chaque Etat membre, mais son budget reste aujourd’hui « insuffisant » aux vues de son potentiel, des ambitions de cette agence et des risques qu’elle a pour tâche de prévenir.
La nécessité d’une indépendance dans le domaine industriel est tout aussi essentielle. Toutefois, M Poupard est venu de nouveau rappeler l’importance de maintenir une coopération et un travail conjoint avec des industriels non européens. L’objectif est ici de développer l’industrie européenne dans les domaines du numériques et de la cybersécurité.
La certification est une piste qui mérite également d’être explorée afin de renforcer la confiance des consommateurs dans les produits et services numériques pour faire de ce secteur un véritable ‘booster’ économique pour l’Union. Cela nécessite cependant de pouvoir avoir accès au contenu de ces produits et notamment à leur code source, y compris pour des produits non européens. La sécurité nécessite en effet d’avoir confiance en l’écosystème qui entoure les acteurs : la connaissance du contenu des produits est donc requise. Cela comprend donc le code source mais aussi pour les prestataires de services le code computing utilisable, ce qui exige au préalable d’évaluer ce qui est développé et mis en oeuvre par ces prestataires pour assurer la sécurité des données des citoyens qui feront appel à eux. Les données stockées sur le sol européen doivent en effet se voir assurer un haut niveau de protection selon le Droit européen et la certification peut y contribuer efficacement.
Il faut souligner que M Poupard se défend ici de toute volonté protectionniste dans ce dernier cas en invoquant l’impératif de sécurité numérique.
Sur ce point, il précise d’ailleurs que les négociations commerciales ne doivent pas venir créer des obstacles à la régulation dans le domaine de la cybersécurité : « ce ne sont pas des barrières commerciales, du protectionnisme, que de légiférer dans le domaine de la cybersécurité ». Il faut cependant mettre en balance ces deux impératifs afin de trouver un point d’équilibre.
La signature de partenariats publics privés dans le domaine de la cybersécurité le 05 juillet et approuvés par la Commission est également une piste à explorer.
Enfin, le chiffrement doit être encouragé au sein des entreprises et des administrations européennes pour protéger leurs données personnelles ainsi que celles des citoyens. Dans ce cas, M Poupard se positionne clairement en faveur de la protection des données personnelles des individus, ce qui permet de clarifier ses propos sur l’accès au code source des produits numériques : sa priorité est clairement la protection des données et non pas la sécurité nationale ou le commerce et c’est bien là son rôle en tant que directeur général de l’ANSSI.
L’Union est désormais capable en termes techniques de protéger ses informations privées et de penser la protection des données de ses citoyens grâce notamment à l’usage du chiffrement, mais aussi de détecter les attaques de plus en plus rapidement. Toutefois, il existe un certain retard – qui n’est pas qu’européen d’ailleurs – dans l’appréhension des risques liés au numérique. Ce retard est réel et reconnu par M Poupard qui l’explique d’une part par le caractère récent de cette problématique, et d’autre part par la relative naïveté dont ont fait preuve les autorités lors de l’arrivée du digital en n’ayant que très peu conscience des risques que son usage pouvait comporter. La question des sanctions n’a d’ailleurs pas encore été posée alors qu’il s’agit d’un moyen de pression essentiel : une entreprise fournissant des services vitaux va-t-elle se conformer à la directive NIS en investissant de très gros moyens dans le renforcement de la sécurité de ses réseaux – même si cela peut lui servir – surtout dans le contexte économique morose actuel si le bâton ne vient pas de paire avec la carotte ?
Une autre thématique a fait l’objet de l’inquiétude des parlementaires : celle de la relation entre l’Union européenne et l’OTAN (Organisation du Traité Atlantique Nord) sur la cybersécurité. M Poupard a rapidement montré des doutes dans l’expansion de la coopération être ces deux entités sur ce sujet dans la mesure où l’optique otanienne est purement militaire. Il a de nouveau insisté sur la nécessité pour l’Europe de se doter de ses propres systèmes de défense afin de pouvoir faire face aux menaces stratégiques numériques en mobilisant les acteurs du secteur et les citoyens qui sont dans une certaine mesure les premiers concernés, mais aussi des experts ou encore le corps universitaire pour former le personnel nécessaire. Il a par ailleurs suggérer la formation d’une sorte de corps de réserve capable d’agir rapidement en cas d’attaques, ce qui montre la pluridisciplinarité de la cybersécurité qui englobe des problématiques de type respect des droits de l’homme mais aussi sécuritaire dans une acception clairement militaire du terme.
En conclusion de son intervention, M Poupard a tenu à appeler, en dépit de la crise économique et de la difficile situation financière européenne, à ne pas négliger ce pan de la sécurité et de la protection des droits fondamentaux, tout en rappelant l’importance de la hiérarchisation : la directive NIS est une première étape dans la lutte contre la cyber-criminalité, d’où son accent sur les services « essentiels », mais il faut aussi progressivement appréhender les autres services et pans du secteur numérique. Les PME sont par exemple des cibles de choix car généralement peu protégées et la qualification de solutions à échelle européenne constitue une voie tangible pour assurer la protection des gros comme des petits acteurs.
La protection des données ne touche toutefois pas qu’à la cybersécurité : il s’agit d’un droit fondamental au sein de l’Union protégée par plusieurs textes juridiques. C’est ainsi que la Cour de Justice de l’Union européenne (CJUE) est venue le 6 octobre 2015 invalider le Safe Harbor qui réglementait les transferts de données des citoyens européens vers les Etats-Unis en invoquant la trop faible protection que cet accord offrait à ces derniers et le non respect du Droit européen qu’il présentait de ce fait. Face au vide juridique qu’emporte cette invalidation, les autorités américaines et européennes se sont empressées de tenter de conclure un nouvel accord dans le cadre des négociations sur le Traité transatlantique. Ce nouveau compromis fait cependant débat au sein du Parlement européen.
Le Privacy Shield : un accord clivant écartelé entre des enjeux commerciaux, sécuritaires et l’attachement de l’Union à la protection des droits de l’homme :
Les négociations entre les autorités européennes et américaines sur le TAFTA comportent un onglet ‘protection des données personnelles’ transférées vers les firmes américaines, lequel se heurte à la fois à des impératifs touchant au commerce, à la sécurité et à la protection des droits des citoyens européens. Ce triptyque s’équilibre de différentes manières aux Etats-Unis et en Europe et les différences de réglementations en attestent d’ailleurs : la sécurité est sans conteste la priorité pour les Américains alors que les textes européens protègent de près les droits fondamentaux des individus, y compris celui à la vie privée et à la protection des données personnelles. Et c’est le commerce qui vient motiver ces deux acteurs internationaux à tenter de trouver un compromis sur le « bouclier de confidentialité » ou Privacy Shield.
En tant que représentant des intérêts des citoyens européens, le Parlement a à plusieurs reprises montré son intérêt sur cette question et sa volonté d’être davantage informé sur les avancées du Privacy Shield : dès mars 2016, plusieurs élus ont ainsi demandé à ce que ce sujet soit inscrit à l’ordre du jour et des recommandations – dépourvues de portée juridique – ont été formulées auprès des autorités compétentes de la Commission en charge de la négociation de cet accord. C’est ainsi que le 11 juillet 2016, la Commissaire chargée de la justice, des consommateurs et de l’égalité des genres, Vera Jourovà, est venue défendre le texte négocié et rassurer les parlementaires.
La commissaire a ainsi insisté sur les avancées réalisées concernant cinq recommandations formulées par les élus.
Les deux plus importantes concernaient la ‘collecte en vrac’ de données et le mécanisme de médiation créé spécifiquement pour assurer la bonne application de l’accord. Des garanties supplémentaires ont été apportées afin de limiter la surveillance de masse, laquelle est illégale selon le Droit européen car contraire au droit fondamental à avoir une vie privée. Les négociateurs américains ont consenti à filtrer les données collectées selon les besoins des agences de renseignement afin de respecter les principes de nécessité et de proportionnalité européens, un objectif que remplissent ces mesures selon Mme Jourovà et qui permettraient au Privacy Shield d’assurer un niveau de protection équivalent à celui auquel les citoyens ont droit sur le territoire de l’Union. Concernant le médiateur, des engagements supplémentaires ont été obtenus de la part de Washington, notamment sur son indépendance vis-à-vis du Comité de renseignement, mais aussi sur la coopération avec les instances en charge des devoirs d’enquête afin de permettre au médiateur d’avoir accès à la totalité des informations pertinentes pour pouvoir assurer sa mission. La commissaire a admis que les possibilités de recours demeuraient restreintes en invoquant le caractère intrinsèque de ces limites à toute possibilité de saisine d’un organe judiciaire et a souligné l’innovation majeure que constituait ce médiateur puisqu’il s’agit du premier mécanisme de résolution des plaintes dans ce domaine au niveau international, et comme pour la totalité du texte qu’elle défend, elle demande à ce que les parlementaires donnent une chance à ce dernier.
Le troisième changement porte sur la rétention des données et aligne le traitement de ces dernières sur le fonctionnement européen dans la mesure où les sociétés américaines auront l’obligation de supprimer les données recueillies après leur traitement.
Les transferts ultérieurs qui pouvaient permettre de contourner le cadre imposé par le Privacy Shield ont aussi été encadrés sans que Mme Jourovà ne détaille cependant le procédé – ce qui pourrait toutefois être imputé à un manque de temps puisque son intervention avait été retardée du fait des débats antérieurs.
Enfin, les possibilités de recours ont été mieux précisées et des alternatives et facilitations procédurales dressées grâce à une coopération renforcée entre services européens et américains.
Et afin d’informer au mieux le citoyen, la Commission s’engage à publier un guide qui détaillera leurs droits.
Mme Jourovà a ensuite insisté sur le fait que le Privacy Shield est un processus dynamique qui est donc amené à évoluer et à être régulièrement contrôlé. Les autorités américaines se sont d’ailleurs engagées à faire connaître à la Commission tout changement législatif susceptible de l’impacter. Elle s’engage d’ailleurs à y veiller et à ne pas hésiter à mettre en oeuvre les clauses de suspension en cas de lacunes tout en assenant avoir appris de l’expérience du Safe Harbor, à savoir que l’Union doit régulièrement vérifier que les accords conclus restent en adéquation avec les normes européennes, qui sont elles aussi en mouvement.
Le Privacy Shield a d’ailleurs subi des renforcements qui en font un accord plus solide que le Safe Harbor et qui offre donc une meilleure protection des données personnelles des citoyens européens transférées outre-atlantique. Des contrôles sur les entreprises américaines ont ainsi été mis en place, ainsi que le droit au recours, la garantie d’une adaptation des textes avec des révisons régulières et un suivi renforcé de l’Union. Ces mesures faisaient d’ailleurs partie des recommandations du Parlement qui ont été détaillées plus haut, mais aussi de celle du Working Group de l’article 29 (WP29). La commissaire insiste enfin sur le soutien des Etats membres sur ce texte et affirme de nouveau pouvoir garantir une protection équivalente à celle de l’Union pour inviter ensuite les parlementaires à accepter le compromis et à « tester » le Privacy Shield.
La mise en oeuvre de ce dernier est en effet déterminante pour l’économie européenne mais aussi pour la protection des données personnelles des citoyens européens dans la mesure où l’invalidation du Safe Harbor a laissé place à un vide juridique potentiellement dangereux.
La présentation s’est soldée par une nouvelle affirmation de la prise en compte de l’avis des parlementaires et par la proposition de nommer un membre du Parlement pour l’associer au ré-examen commun du Privacy Shield – proposition qui n’est que formelle puisque les textes et les négociations n’étant pas divulgables, cette nomination ne permettrait pas une meilleure information du Parlement, mais qui a le mérite d’avoir été formulée.
Les parlementaires se sont montrés très intéressés et les questions étaient nombreuses mais l’on peut toutefois regretter que pour des questions de timing à respecter, certaines aient été retirées et que des aspects de l’accord aient été laissés sous silence. Les avis des groupes parlementaires étaient généralement assez tranchés, soit très positifs, soit très réticents.
Le premier point mis en avant a été la rapidité avec laquelle le Privacy Shield a été négocié, ce qui laisse craindre un travail incomplet. Si la tenue prochaine des élections américaines est bien comprise comme constituant un facteur décisif de cette hâte à conclure au plus vite l’accord, les parlementaires ont mis en avant la faiblesse juridique des garanties apportées par la présidence américaine dont dépendra sa mise en oeuvre. D’autant qu’il n’existe aucune loi contraignante outre-atlantique concernant la protection des données personnelles. Mme Jourovà est venue avancer la bonne volonté de respecter ces garanties par les autorités américaines en citant les quelques modifications législatives réalisées, comme celle du Freedom Act ou la limitation des activités du renseignement via la directive présidentielle de janvier 2014 PPD-28. Il n’empêche qu’aucun des engagements pris n’a fait l’objet de mesures juridiquement contraignantes afin d’en garantir l’implémentation.
Le second élément mis en avant a été le fait que le Privacy Shield ait pour base la directive de 1995/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données alors même qu’un nouveau package de protection des informations digitales, le General Data Protection Regulation (GDPR) vient d’être adopté et doit être mis en oeuvre pour mai 2018.
Ce point pose directement la question de la « certitude juridique » du Privacy Shield, d’autant que l’adéquation de l’accord avec le Droit européen et l’arrêt de la CJUE fait toujours débat : la Cour a en effet stipulé que le droit américain n’était pas équivalent au droit de l’Union sur la protection des données, et malgré les quelques modifications apportées par les autorités américaines, les lois sont restées relativement inchangées : il faut que les Etats-Unis viennent renforcer leurs mesures de protection des données, alors-même que l’Union est venue révolutionner la protection de ce droit fondamental avec le GDPR. Or, sans cette certitude juridique, la stabilité du marché numérique est mise en doute, ce qui risque à terme de pénaliser les entreprises européennes. La commissaire s’est expliquée sur la prise en compte du GDPR et a indiqué que l’élaboration de lignes directrices et d’interprétation du package devait constituer une priorité dont il est prévue qu’elle soit traitée lors des exercices conjoints des étés 2017 et 2018, et qu’en attendant, face au vide juridique laissé par le Safe Harbor, la mise en place d’un cadre pour le transfert des données était urgente et que le Privacy Shield devait d’abord constituer une sorte de cadre-minimal pour ensuite pouvoir s’étoffer. Dans cette mesure, elle a de nouveau appelé à une certaine indulgence de la part des députés, indiquant que des améliorations substantielles avaient été apportées après l’invalidation de l’accord précédent, afin de permettre de « tester » le bouclier de confidentialité pour ensuite l’évaluer et convenir des éléments à modifier. Conduire cette tâche en parallèle de la rénovation du cadre européen via l’implantation du GDPR semble complexe, mais Mme Jourovà s’est de nouveau montrée rassurante sur ce point en rappelant que le but des exercices était justement d’assurer cette articulation. Elle n’a cependant pas précisé la durée de la ‘période de test’ du Privacy Shield ni fixé de calendrier retraçant les étapes de l’évolution de l’accord en vue de le rendre de manière certaine juridiquement viable.
L’indépendance du médiateur a également été remise en cause, de même que la possibilité réelle pour les citoyens européens de saisir une juridiction américaine en cas de litige concernant des données transférées. Le statut du médiateur pose en effet question : s’agit-il d’une personne ou d’une institution ? Sa nature reste peu claire, d’autant qu’il s’agit davantage d’un « coordinateur en chef de la diplomatie et de la technologie de l’innovation » : une partie des parlementaires demandent d’ailleurs à ce qu’une rencontre avec la médiatrice soit organisée. Il faut toutefois souligner que malgré le peu de précision que le mécanisme de médiation présente, il constitue une avancée considérable et démontre un gros travail de la part des négociateurs européens dans la mesure où les Américains se sont longtemps montrés très obtus sur la question. Enfin, concernant la saisine des tribunaux américains, la commissaire est venue plus ou moins éluder la question, arguant que 90% des plaintes étaient clôturées en médiation et donc que cette possibilité restera marginale.
L’objectif de l’intervention de Mme Jourovà était double : d’une part rassurer les parlementaires sur les garanties nouvelles apportées par le Privacy Shield, et d’autre part les rassurer sur la prise en compte de leurs recommandations, et a fortiori de les assurer de la volonté de ne pas laisser de côté le Parlement dans le processus de négociations. Il s’agissait donc d’une tâche éminemment complexe qui n’a été que partiellement remplie à la vue du scepticisme d’une partie de l’hémicycle mais aussi du fait de contraintes matérielles de type temporel. Le ‘bouclier de confidentialité a toutefois été adopté ce mardi 12 juillet par la Commission.
Emmanuelle Gris
Pour en savoir plus :
- European Commission, Cybersecurity / digital Single Market online page’s: https://ec.europa.eu/digital-single-market/en/cybersecurity
- European Union Agency for Network and Information Security (ENISA) : https://www.enisa.europa.eu
- Commission européenne, fiche d’information « Le «bouclier de protection des données UE-États-Unis»: Foire aux questions » : http://europa.eu/rapid/press-release_MEMO-16-434_fr.htm
- Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
- Official Journal of the European Union, (Legislative acts), Regulation (EU) 2016/679 of the European Parliament and the Council of the 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) : http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf