Lobbying et crispations rythment la protection internationale des données personnelles

Quatre ans après cette résolution, le difficile processus de révision de la directive européenne 95/46 invite à la patience quant à la mise en œuvre effective de standards internationaux. En effet, le texte européen est l’enjeu d’âpres négociations, qui font intervenir non seulement les 28 États membres, mais également les acteurs mondiaux de ce secteur d’activité aux enjeux financiers colossaux – les données personnelles des citoyens européens pourraient représenter 1 000 milliards d’euros d’ici 20 ans.

Le processus de révision européen est ainsi révélateur des écueils de taille dont souffre tout essai d’encadrement des traitements de données personnelles : le domaine de la protection est très technique, très politique et fortement impacté par l’actualité. Il faut ainsi concilier des visions politiques et économiques différentes, relayé par un important lobbying. Par ailleurs, le scandale de l’affaire Prism, du nom de ce programme américain de surveillance mis en œuvre par la National Security Agency et révélé par l’un de ses employés, le jeune informaticien Edward Snowden, est venu perturber le processus de renégociation de divers instruments bilatéraux entre l’Europe et les États-Unis.

La stratégie de négociation du nouveau règlement, révélatrice des clivages actuels

La stratégie de négociation, au Parlement européen et à la Commission, du projet de règlement général encadrant les traitements de données personnelles est classique. Elle obéit aux mécanismes de prise de décision d’une instance collective et d’un groupe d’élus. Ainsi, à la Commission, l’on tente de trouver des accords collectifs partiels en échelonnant les objectifs, comme celui d’abord, de geler les quatre premiers chapitres du texte ; au Parlement, des groupes se forment, guidés par leurs influences politiques et par le lobbying d’acteurs privés qui entendent peser sur le débat. Si cette dernière activité n’est pas nouvelle, ces dernières années, les groupes influents de réflexion et de pression se multiplient et opèrent aussi à l’échelle des parlements nationaux.

Toutefois, ce lobbying au niveau de la renégociation de l’instrument européen est historique. Eu égard aux enjeux financiers, toutes les entreprises, et notamment les géants de l’Internet américains, se pressent auprès des négociateurs des différents États et des élus pour influer sur les dispositions du texte. Les dérives de cette pratique, dont témoigne la multiplication des amendements déposés – plus de 4 000 à ce jour ! – sont dénoncées par la presse [1] . Cette médiatisation est salutaire et devrait conduire à une recherche poussée et stratégique de renseignements sur le système des lobbies.

Les pressions diverses aboutissent dès lors à un clivage important à l’échelle des instances européennes. L’influence américaine inquiète alors qu’elle semble avoir l’oreille de la Grande-Bretagne et de l’Irlande, pays de Common Law historiquement opposés aux pays de droit continental. Par ailleurs, le poids financier des entreprises américaines pourrait jouer également sur la position des pays de l’Est qui souhaitent légitimement développer leur marché en ce secteur, et ce malgré le rapport sensible qu’ils entretiennent, du fait de leur histoire, avec la rétention de données.

Dès lors, l’horizon de la fin des négociations s’éloigne ; l’adoption du texte, initialement souhaitée par la Commission européenne pour la fin 2012 – un agenda que les autorités de protection des États membres jugeaient toutefois précipité –, semble aujourd’hui être fixée au début de l’année 2015, même si le printemps 2014 reste l’objectif affiché.

Crispations autour de la renégociation de divers instruments bilatéraux entre l’Europe et les États-Unis

Pour les spécialistes des États-Unis et de leur culture du renseignement, la révélation du programme Prism n’a pas été une surprise. Ils rappellent le programme Echelon mis en œuvre dans les années 1970 ou encore la création du logiciel Carnivore par les autorités de renseignement américaines, à la fin des années 1990. La problématique est simple : si la capacité d’accéder aux informations existe, il est alors très difficile de ne pas la mettre en œuvre, et ainsi la surveillance précède toujours les instruments juridiques qui la contraignent… jusqu’à ce qu’un scandale éclate.

Le scandale du printemps 2013 a donc le mérite d’orienter les négociations visant les transferts de données entre l’Europe et les États-Unis [2] . Ces transferts interviennent à deux niveaux : il faut faire évoluer les principes dits de « Safe Harbor » qui encadrent les transferts commerciaux de données et renforcer les instruments de transferts de données entre les autorités nationales, dans le cadre d’une coopération policière qui vise à lutter contre le terrorisme.

Faire évoluer l’accord de Safe Harbor

Le dispositif dit de Safe Harbor ou « sphère de sécurité » est une série de principes de protection des données personnelles auxquels adhèrent volontairement les entreprises américaines. Cette adhésion leur permet de transférer des données personnelles de l’Europe vers les États-Unis. La mise en œuvre de ce dispositif est placée sous l’égide du ministère du Commerce [3] américain.

Or la négociation de ce dispositif entre les États-Unis et l’Europe date de 2000 et, à l’origine déjà, les commentateurs s’interrogeaient sur l’effectivité de cet instrument. Treize ans après sa création, une renégociation s’avère nécessaire. En effet, comme le souligne la Commission européenne dans une communication au Parlement et au Conseil, l’échelle des transferts de données n’est plus la même à l’heure où les géants américains du Web (Google, Facebook, Microsoft, Apple, Yahoo) ont des millions de clients en Europe. Par ailleurs, l'affaire Snowden a révélé l’accès direct que les autorités américaines pouvaient avoir sur les données transférées dans le cadre du Safe Harbor, un dispositif qui porte alors bien mal son nom.

Pour restaurer ces principes, la Commission européenne propose une série de treize recommandations [4] articulées selon quatre axes, qui visent :

• la transparence des politiques de protection de la vie privée ;
• le mode de résolution des litiges ;
• l’effectivité du respect des principes par les entreprises certifiées ;
• et enfin l’accès des données aux autorités américaines.

L’objectif est de réexaminer le fonctionnement du dispositif à l’été 2014.

Garantir l’effectivité des accords Swift et PNR

Les accords Swift et PNR sont deux des principaux accords de transferts de données entre les autorités américaines et européennes, visant notamment la lutte contre le terrorisme.

Le premier a pour objet l’encadrement de l’accès aux données bancaires européennes, transitant par la société Swift ; il a été mis en œuvre en 2007, après qu’a été révélé un programme de surveillance de telles données par la CIA. Cet accord a fait l’objet d’une renégociation en 2010. Il est aujourd’hui sous le feu des critiques des eurodéputés qui s’inquiètent de sa possible violation dans le cadre du programme Prism. La Commission européenne indique qu’assurance lui a été donnée par le gouvernement américain que tel n’a pas été le cas. Elle souligne sa vigilance et garantit la mise en œuvre rapide d’un nouveau contrôle quant au respect du texte, au printemps 2014. Par ailleurs la Commission indique que la nécessité de mettre en œuvre un système centralisé, au niveau européen, de surveillance du financement du terrorisme n’est pas encore clairement démontrée, eu égard aux enjeux techniques, financiers et de protection des données des citoyens européens qu’un tel stockage [5] impliquerait.

Le second accord bilatéral, dit PNR (Passenger Name Records), a pour objet le transfert de dossiers sur les passagers, entre les compagnies aériennes européennes et les autorités américaines. Un premier accord définitif avait été signé en 2007, permettant de réduire de 34 à 19 le nombre d’informations sur chaque passager. Après de difficiles négociations, un nouvel accord est entré en vigueur le 1^er juillet 2012. L'accord de 2007 était en effet source d’inquiétude : les durées de conservation s’avéraient longues, l’usage de données sensibles dans des circonstances exceptionnelles possible et il n’était pas juridiquement contraignant. La Commission assure aujourd’hui que les garanties prévues par l’accord sont respectées par les autorités américaines. Le prochain réexamen de ses conditions de mise en œuvre est prévu pour le premier semestre 2015 [6] .

Vers un accord cadre en matière de coopération policière

Depuis l’entrée en vigueur du traité de Lisbonne, qui autorise une approche horizontale de la protection des données personnelles traitées par des autorités étatiques, la capacité de négociation au plan international des institutions européennes eu égard à la structure en piliers de l’Union, a été renforcée. La Commission européenne adopte alors, en 2010, un projet de mandat pour la négociation d’un accord entre l’Union européenne et les États-Unis relatif à la protection des données à caractère personnel dans le cadre de leur coopération dans la lutte contre le terrorisme et la criminalité. L’idée est celle d’un cadre légal général et contraignant qui s’appliquerait à tout accord entre l’Union et les États-Unis. Une consultation publique sur ce projet d’accord a été organisée au 1er trimestre 2010. Depuis mars 2011, plus de quinze sessions de négociations ont eu lieu sans qu’un consensus soit trouvé sur cet « accord-cadre ». La longueur du processus témoigne des oppositions historiques et culturelles en la matière. Si les récentes révélations sur la surveillance massive des États-Unis ont ébranlé la confiance des instances européennes, il faut toutefois espérer que ces négociations puissent tirer parti de cette forte prise de conscience collective.

1 Yves Eudes, « Très chères données personnelles », Le Monde du 4 juin 2013. Voir également, à propos de cet assistant parlementaire qui a déposé 158 amendements à l’insu de son député, l’article mis en ligne le 21 novembre 2013 sur le site flandreinfo.be : « Louis Michel : “Je n’ai signé aucun de ces amendements” ». 2 Pour un point sur le processus et l’agenda de ces négociations antérieures, voir l'article de Géraldine Criqui, « De l’évolution de l’encadrement des données à caractère personnel : initiative internationale et projets législatifs européens, français et américains », mis en ligne le 11 novembre 2010 sur le site du CEJEM : cejem.u-paris2.fr. 3 Pour une étude détaillée, des transferts de donnés commerciales, voir : Nathalie Metallinos et Agnès Chatellier, « Transferts internationaux : la protection des données se développe à l’échelon mondial », Revue Banque, n° 717, Dossier « protection des données personnelles », octobre 2009, p. 28. 4 « Communication from the commission to the European parliament and the council on the functioning of the Safe Harbour from the perspective of EU Citizens and Companies established in the EU » COM (2013) 847 final, publiée le 27 novembre 2013. Le document est disponible à partir de la page concernant les données personnelles sur le site du département « justice » de la Commission européenne : http://ec.europa.eu/justice/ 5 « La Commission fait le point sur les accords TFTP et PNR conclus entre l’UE et les États-Unis » : communiqué de presse de la Commission européenne du 27 novembre 2013, disponible sur le site du département « justice » de la Commission européenne : http://ec.europa.eu/justice/data-protection/index_fr.htm 6 Ibid.