Accord de transfert de données entre l’Europe et les Etats-Unis : un abandon de notre souveraineté numérique ?

Le 25 mars 2022, l’Union européenne cherchant une alternative au gaz russe, Ursula Von der Leyen et Joe Biden annonçaient une alliance énergétique entre l’Europe et les Etats-Unis, permettant aux européens de disposer du GNL américain.

Quelques minutes plus tard, une autre annonce intervenait, cette fois au sujet d’un cadre réglementaire sur les transferts de données entre les deux rives de l’Atlantique. Les discussions jusqu’ici à l’arrêt depuis l’invalidation du Privacy Shield le 16 juillet 2020 par la Cour de justice de l'Union européenne, de nombreuses questions se posent sur le caractère non contraint d’Ursula Von der Leyen lors des négociations qui ont données lieu à cet accord.  Six mois plus tard, le 7 septembre dernier, Joe Biden présentait par un décret exécutif, les détails de cet accord.

Les transferts de données entre l’Europe et les Etats-Unis : un bras de fer juridique depuis près d’une décennie

En juin 2013, Edward Snowden révèle au monde entier l’ampleur des programmes de surveillance de masse opérés par les agences de renseignement américaines.

À la suite de ces révélations, un avocat et militant autrichien dénommé Max Schrems attaque le Safe Harbor, l’accord de transfert de données entre l’UE et les Etats-Unis en vigueur depuis les années 2000, considérant que les données des citoyens européens ne sont pas protégées. En 2015, la Cour de justice de l’Union européenne lui donne raison et annule le Safe Harbor. Un an plus tard, en juillet 2016 un nouvel accord est trouvé : le Privacy Shield. Max Schrems et autres militants pour la vie privée estiment immédiatement qu’il ne respecte pas d’avantage la Charte des droits fondamentaux de l’UE.

En 2018, lorsque le RGPD est mis en place, la protection des données des européens se voit nettement renforcée. En réaction, le gouvernement américain souhaitant continuer à collecter et exploiter les données personnelles des européens, met en place le Cloud Act (Clarifying Lawful Overseas Use of Data Act), quelques jours après l’entrée en vigueur du RGPD.

Cette disposition permet aux autorités américaines de se procurer n’importe quelle donnée stockée sur des serveurs américains, qu’elles soient localisées sur le territoire national ou à l’étranger. L’article 5 du RGPD, relatif au traitement des données à caractère personnel se retrouve alors violé par cette nouvelle loi. Max Schrems, soutenu par le G29, qui regroupe les autorités de protection de la vie privée en Europe argue donc cet article 5 afin de demander l’invalidation du Privacy Shield.  Il obtient à nouveau de gain de cause le 16 juillet 2020, lorsque la Cour de justice de l’UE annule ce dernier accord.

Un nouvel accord tant attendu par le gouvernement américain et ses géants du numérique

Il serait bien naïf d’imaginer qu’aucune donnée personnelle ne transite de l’Union européenne vers les Etats-Unis depuis 2020 et l’invalidation du Privacy shield. Nous le savons : collecter, analyser, transférer et utiliser les données personnelles européennes constitue le cœur du business des GAFAM. L’association « NOYB » fondée par Max Schrems dénonce ainsi régulièrement les stratégies de contournement du RGPD des grandes entreprises américaines du web.

Toutefois, dans cette guerre juridique qui dure depuis 2013, l’UE avait su rétablir un équilibre dans les rapports de force. En effet, l’absence d’accord transatlantique depuis lors, rendait illégales certaines pratiques des géants américains du numérique tels qu’Amazon, Google ou encore Facebook, ce qui avait pour effet de les placer sous la menace d’amendes ou d’interdiction d’utilisation en cas de transfert de données transatlantique.

Pour exemple, la CNIL autrichienne a décidé en janvier 2022 que l'utilisation de Google Analytics violait le RGPD car le recours à cet outil engendrait nécessairement le transfert des données personnelles vers les Etats-Unis. Quelques mois plus tard, la CNIL française a rendu le meme jugement, ce qui oblige tous les responsables de traitement à changer de prestataire sous peine d'être sanctionné par cette dernière. A ce sujet, le Parlement européen lui-même a été condamné par le contrôleur européen de la protection des données pour avoir violé la législation en autorisant des cookies de Google Analytics.

Cette situation devenait donc plus qu’inconfortable pour les géants du numérique. Meta menaçait en début d’année de retirer Facebook et Instagram du continent européen si un accord transatlantique n’était pas rapidement trouvé.

Depuis plusieurs mois, ces géants usaient de leur influence afin de faire avancer les discussions. Les lobbyistes de Facebook et Google demandaient de manière insistante du soutien à la Maison-Blanche. La Business Software Association, représentant les éditeurs de logiciels américains en Europe, y allait également de son commentaire en appelant Bruxelles et Washington à avancer au plus vite dans leurs négociations, au nom de la « transformation numérique des entreprises ».

Le message semble avoir été entendu par Joe Biden, pour qui la seule revendication formulée lors de cette réunion au sommet portait sur ces transferts de données européennes.  Pour ceux qui doutaient encore du caractère essentiel et éminemment stratégique des données européennes pour les Américains, cette requête en est une preuve supplémentaire.

Les dépendances énergétiques de l’Europe l’ont-elles conduite au sacrifice de sa souveraineté numérique ?

Ce 25 mars 2022, la Commission européenne et Ursula Von der Leyen partaient avec un désavantage considérable avant d’entamer les négociations. Les alternatives au gaz russe ne sont pas nombreuses ou alors insuffisantes pour diminuer de deux tiers les importations de Russie. Nous pourrions par ailleurs nous questionner sur l’intérêt de réduire la dépendance au gaz russe pour du gaz américain nettement plus polluant et dont le prix dépasse aujourd’hui l’entendement. D’autant plus lorsque cet approvisionnement ne suffit pas pour passer l’hiver et qu’il faut donc également s’approvisionner auprès de l’Azerbaïdjan dont la reprise des attaques contre l’Arménie est d’une violence inouïe, ainsi qu’auprès de pays s’approvisionnant eux-mêmes en gaz russe.

Il est certainement un peu trop tôt pour tirer des conclusions sur cette stratégie mais quoi qu’il en soit, ce choix a donné un avantage considérable au président américain avant d’entamer les discussions le 25 mars dernier.

Pour cette raison précise, il est légitime d’imaginer qu’Ursula Von der Leyen ait pu céder à une forme de chantage au moment des négociations. En effet, si de nombreux européens ont compris l’importance de protéger leurs données personnelles, serait-ce le cas de la Présidente de la commission européenne ?

A en croire la manière dont les négociations se sont déroulées, il semblerait que la réponse à cette question est négative. Effectivement, un observateur de la Commission européenne a révélé pour « Les Echos » le « manque de collégialité autour de cette discussion » menée en solo par les équipes de la présidente, en ajoutant qu’« au moment de négocier le gaz, il fallait donner quelque chose aux Américains ».

Ursula Von der Leyen aurait donc choisi nos données comme monnaie d’échange ?

Pour répondre de manière affirmative à cette question il conviendrait dans un premier temps d’être sûr que dans le cadre de ce nouvel accord, nos données ne seraient pas protégées en cas de traversée de l’Atlantique, et dans un second temps de se pencher sur la probabilité que cet accord devienne effectif.

Pour rappel, au moment où le Privacy Shield était annulé par la CJUE, Max Schrems estimait que « comme l'UE ne modifiera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent de solides droits à la vie privée pour tous, y compris les étrangers ».

Lorsque l’on sait que des lois extraterritoriales permettent aux services de renseignement américain de se procurer les données de n’importe quelle entreprise américaine, et lorsque l’on connait le monopole que détiennent les GAFAM sur les marchés numériques européens, il relève de l’évidence que de s’abstenir d’autoriser les transferts de données dans ces conditions.

Cependant, quand on regarde l’évolution du droit extraterritorial des Américains ces dernières années, il semblait difficile d’envisager que ces derniers reviennent dessus. Le Patriot Act en 2001, le Foreign Intelligence Surveillance Act (FISA) en 2008 et le Cloud Act en 2018 ont donné toujours plus de nouveaux pouvoirs aux instances gouvernementales sur les données personnelles hébergées par les entreprises américaines, que leurs serveurs soient situés sur leur territoire ou à l’étranger.

Ainsi, quand la CJUE exige de ce nouvel accord que la surveillance américaine soit « proportionnée » au sens de l'article 52 de la Charte des droits fondamentaux et d’autre part qu'il y ait accès à un recours judiciaire, comme l'exige l'article 47 de la CFR, les Etats-Unis, sans surprise, font mine de toucher à leur droit extraterritorial pour satisfaire ces exigences mais dans les faits, il n’en est rien.

En effet, dans ce décret présenté par Joe Biden le 7 octobre dernier, les Etats-Unis précisent au sujet de la surveillance de masse, que les formulations « nécessaire » et « proportionné » du droit de l'UE a été ajoutée pour remplacer le terme précédent « aussi adapté que possible » en parlant de la collecte de données par les activités de renseignement en cas de menaces potentielles à la sécurité de l'Etat. Encore faudrait-il connaitre la définition américaine de ce qui est « nécessaire » et « proportionné ».

La manière de jouer habilement de la notion d’intérêt national

Comme le précise le cabinet « Ikarian », la définition de ce que les Etats-Unis considèrent être des menaces potentielles à la sécurité de l'Etat (National Security Interest) est très extensive. Il est donc très probable qu’ils continuent à user de ce prétexte pour surveiller nos données.

De plus, lorsque l’on se penche sur les activités de collecte de données par les renseignements américains, la Maison-Blanche mentionne certes, qu’elles ne sont menées que dans le but de poursuivre une série d’objectifs précis relatif aux menaces pour la sécurité nationale ou encore à la lutte contre le terrorisme. Mais lorsque l’on prête attention au dernier point de cette liste, il est précisé que le Président des Etats-Unis peut secrètement l’étendre s'il l'estime nécessaire. Nos données personnelles pourraient dans ces conditions encore être collectées sans que personne ne soit au courant …

Ainsi, ce « changement de formulation » semble n’offrir aucune garantie quant à la protection des données européennes qui arriveront sur le territoire américain.

En ce qui concerne l’accès à un recours judiciaire, les Américains proposent dans ce décret la mise en place d’une nouvelle Cour qui serait en mesure d'ordonner la suppression des données. Un agent de protection des libertés civiles, dépendant de la direction du renseignement américain serait chargé de vérifier les plaintes relatives à la violation du nouveau décret.

Oui, cet agent exercerait donc au sein même du bureau du directeur du renseignement national. Les risques qu’il y soit inféodé pèsent donc considérablement … En définitive, il ne semble qu’aucun des changements opérés dans le cadre de ce décret ne modifie par essence le droit extraterritorial américain et les risques qu’ils font peser sur les données des européens.  A la question « Ursula Von der Leyen aurait-elle troqué nos données personnelles contre du gaz américain ? » La réponse pourrait donc être positive, si les Etats membres de l’UE donnent leur aval pour la conclusion de cet accord et si des défenseurs de la vie privée comme Max Schrems et son association NOYB, ne l’attaquent pas.

Heureusement pour l’Europe, il semble que ce dernier n’ait pas l’intention de laisser passer cet accord : " Nous allons analyser ce paquet en détail, ce qui prendra quelques jours. A première vue, il semble que les problèmes fondamentaux n'ont pas été résolus et il sera renvoyé tôt ou tard à la CJUE. ". Une bonne nouvelle, il faut l’espérer, pour la souveraineté numérique européenne.

 

 

Quentin de Gryse (SIE 26 de l"EGE)

Sources

- Tanguy Berthemet, le Figaro : « Edward Snowden, l'homme qui fait trembler le gouvernement américain », 2013.

- L’Usine digitale, « Annulation du Privacy Shield : quelles conséquences sur les transferts de données vers les USA », 2020.

- Le siècle digital, « La Cour de justice européenne annule l’accord sur le transfert de données personnelles avec les États-Unis », 2020.

- L’Usine digitale,  « Impossible de paramétrer Google Analytics pour le rendre conforme au RGPD, prévient la Cnil », 2022.

- L’Usine digitale, « Le Parlement européen a enfreint les règles sur les transferts de données vers les Etats-Unis », 2022.

- Le Figaro, « Accord sur le transfert des données personnelles: «L'écosystème numérique européen se délite d'année en année », 2022 :   

- Les Echos, « Transfert de données : les dessous d'une négociation ».

- Radio Canada, Le GNL américain au secours de l’Europe, 2022.

- The White house, “Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” 7 octobre 2022.

-Ikarian, post LinkedIn.

- NOYB, “New US Executive Order unlikely to satisfy EU law”, 2022.