Privacy Shield : demain sera comme hier

La territorialité des données constitue le pivot de la souveraineté numérique. L’Union Européenne ne semble pas avoir pris la mesure de cet enjeu stratégique crucial… Sauf à interpréter l’accord Privacy Shield comme un aveu de faiblesse.

Safe Harbor : accord et discorde

A la fin des années 1990, l’émergence des géants américains de l’économie numérique posait d’importants problèmes juridiques. La directive communautaire 95/46/CE et le droit américain disposaient différemment de l’encadrement et de la protection des données personnelles. Poursuivre les échanges de données digitales entre les deux sphères nécessitait une passerelle juridique.

Le Département du Commerce des Etats-Unis et la Commission Européenne se sont entendus (Décision 2000/520/CE de la Commission du 26 juillet 2000) afin que les données générées et collectées sur le territoire de l’UE puissent être transférées aux Etats-Unis, dans le cadre juridique dit « Safe Harbor » (sphère de sécurité). Le principe en est simple : les filiales des entreprises américaines présentes sur le sol européen peuvent transférer les données collectées vers les Etats-Unis.

Safe Harbor garantissait un niveau équivalent de protection des données personnelles des deux côtés de l’Atlantique.

Afin d’assurer un traitement adapté des données, la Federal Trade Commission certifiait les entreprises américaines (actuellement 4000) travaillant avec des données européennes. Celles-ci devaient satisfaire aux exigences du Safe Harbor, s’auditant en interne ou demandant à être auditées par la Federal Trade Commission dans une optique de compliance. Et cette certaine légèreté n’était pas la principale aporie de l’accord.

Patriot Act et Safe Harbor, les liaisons dangereuses

Peu après les attaques terroristes du 11 septembre 2001, l’administration américaine se dota d’une loi controversée sur le renseignement, le Patriot Act. Celui-ci autorise les agences gouvernementales américaine à accéder, à tout moment et sans autorisation judiciaire, aux données informatiques des entreprises ou des particuliers ayant un lien avec les Etats-Unis. Le Patriot Act mis en œuvre, Safe Harbor devint un blanc-seing à l’utilisation disproportionnées des données collectées en Europe : conversation téléphonique, données bancaires, mails et autres traces laissées sur Internet.

Les révélations d’Edward Snowden lors de l’affaire PRISM mirent à jour la collaboration entre acteurs du numériques et agences de renseignement américain. Les géants du numérique, Google et Facebook en tête, furent accusés d’avoir collaboré activement avec la NSA à l’espionnage des citoyens mais aussi des entreprises européennes. La collecte de renseignements via les plateformes Internet, cloud, solutions logicielles (comme Microsoft Office), applications, objets connectés fut une prérogative largement utilisée malgré Safe Harbor.

Dénonciation de Safe Harbor : le bal de dupes

Suite aux démarches juridiques entreprises par Max Schrems, la Cour de Justice de l’Union Européenne (CJUE) décida, le 6 octobre 2015, de suspendre l’accord Safe Harbor. Les juges ont en effet estimé que les autorités de protection des données (type CNIL) ne pouvaient plus garantir leur pouvoir de contrôle et de sanction concernant les données personnelles. La mise à disposition par les entreprises américaines des données personnelles aux agences de renseignements américaines portait atteinte « au contenu essentiel du droit fondamental au respect de la vie privée. »

La CJUE pointa à cette occasion l’absence de recours possible pour les Européens contre l’utilisation de leurs données, et épingla la Commission européenne pour n’avoir pas assuré aux ressortissants de l’UE le niveau de protection exigé par le droit européen. L’heure était à l’optimisme : l’UE avait adopté face aux Etats-Unis une posture de négociation cohérente, et semblait déterminée à ne plus s’en laisser compter en termes de confidentialité des données.

Mais la posture ne fait pas tout. Stephen Deadman (Facebook) soulignait que le transfert de données vers les Etats-Unis pouvait se passer de Safe Harbor. A contrario, l’établissement d’un cadre juridique par l’UE apparaissait nécessaire afin d’obtenir des garanties et de potentielles contreparties du fournisseur américain. Faute de volonté de contraindre les entreprises à opérer un stockage physique et un traitement des données sur le territoire européen, ou faute de pouvoir proposer une alternative crédible aux services rendus par les opérateurs américains, l’UE apparait en effet dépendante du bon vouloir de son partenaire américain quant au problématiques de confidentialité.

EU-US Privacy Shield : un dispositif si peu contraignant

L’objectif européen était de durcir le cadre légal afin d’assurer à ses ressortissants producteurs de data une protection des données personnelles équivalente à celle reconnue par le G29 (regroupement des CNIL européennes). L’accord Privacy Shield fut signé le 2 février 2016. Les négociateurs européens obtinrent du département du Commerce américain et de la Federal Trade Union des efforts de transparence (audit annuel réciproque) et la possibilité pour les usagers de porter plainte auprès de leurs CNIL respectives afin de faire valoir leurs droits. Le texte limite également le droit d’accès des agences gouvernementales américaines aux données européennes.

Les termes de l’accord devront être acceptés par la Commission Européenne dans un délai de trois mois. Outre des ajustements encore possibles, il semble néanmoins que Privacy Shield soit ce qu’il ne devait pas être : un Safe Harbor 2.0. Si le pan curatif (recours de l’usager et possibilité de médiation) semble approprié, la confidentialité ne semble pas mieux garantie par Privacy Shield qu’elle ne l’était par Safe Harbor. Les plateformes digitales et les datawarehouses resteront aux Etats-Unis où seront opérés les traitements. Les agences gouvernementales américaines garderont l’initiative : obligation de reporting ne vaut pas contrôle. Ainsi les négociateurs européens ont manqué la cible, à moins qu’ils n’aient jamais eu les moyens de l’atteindre.

Cet accord révèle donc les limites de la conception européenne de souveraineté numérique. Il appelle également à douter de la capacité européenne à penser la sécurité économique dans le cadre d’une économie mondiale digitalisée.

Fabien Giuliani et Lewis Huguet