Transfert de données vers les États-Unis : notre vie privée est-elle protégée ?

 
Internet Multimedia Server   ©AP Images/European Union

Trop peu a été fait pour préserver les droits fondamentaux des citoyens européens suite aux révélations d’Edward Snowden sur la surveillance de masse opérée par les États-Unis : c’est la conclusion des députés après que la Cour européenne de Justice ait invalidé l’accord « Safe Harbor » en octobre 2015. L’ensemble du Parlement débattra demain du bouclier vie privée, ou « Privacy Shield », nouvel accord sur les flux de données transatlantiques censé mieux protéger la vie privée des Européens.

Pourquoi nos données sont-elles envoyées vers les États-Unis ?

 Lorsque nous utilisons Google ou Facebook, nous produisons de nombreuses données qui en disent long sur nos comportements et nos centres d’intérêts. Ces données (recherches, « Likes », pages visitées, etc) sont collectées au sein de l’Union européenne mais peuvent être analysées et vendues à des annonceurs aux États-Unis.

Les entreprises qui opèrent à l’échelle internationale peuvent également transférer ces données depuis des serveurs européens vers des serveurs américains dans le cadre de leurs activités.

De plus petites entreprises, telles que des agences de marketing ou des sociétés d’hébergement web, peuvent utiliser des fournisseurs de services commerciaux américains pour envoyer des données européennes outre-Atlantique.

Les accords entre l’Union européenne et les États-Unis

La protection des données est l’un des droits fondamentaux de l’Union européenne. Le Parlement s’est toujours battu pour de solides garanties concernant la vie privée des citoyens. Une réforme sur la protection des données a d’ailleurs été approuvée en avril dernier par l’ensemble des députés.

L’Union européenne et les États-Unis n’ont pas les mêmes normes en matière de protection des données. Dès lors, comment savoir si les États-Unis appliquent les mêmes garanties qu’en Europe lorsqu’ils reçoivent et utilisent les données personnelles des citoyens européens ?

L’accord « Safe Harbor » visait à remédier à cette question. Le texte énumérait une liste de conditions que toute entreprise américaine devait respecter lorsqu’elle transférait des données vers les États-Unis. Les entreprises américaines s’enregistraient de manière volontaire et s’engageaient à respecter ces principes. La Commission européenne devait régulièrement évaluer la manière dont les entreprises américaines fournissaient une protection adéquate des données.

La fin de l’accord « Safe Harbor »

En 2013, Edward Snowden, informaticien américain et ancien employé de la CIA et de la NSA, révèle que les agences de renseignement américaines collectent en masse des données et qu’elles travaillent parfois directement avec des géants de l’Internet.

En 2015, l’étudiant autrichien Maximilian Schrems dépose une plainte auprès de l’autorité de protection des données irlandaise concernant l’utilisation de ses données personnelles par le réseau social Facebook. Si le siège européen de l’entreprise est situé en Irlande, les données des utilisateurs peuvent être envoyées vers les États-Unis. Pour Maximilian Schrems, les pratiques américaines ne permettent pas de suffisamment protéger les données des utilisateurs. L’autorité chargée de la protection des données en Irlande rejette pourtant cette plainte en citant l’accord « Safe Harbor ».

Pourtant, le 6 octobre 2015, la Cour de Justice de l’Union européenne déclare l’accord invalide en évoquant l’étendue de la surveillance de masse aux États-Unis qui « compromet l’essence du droit fondamental au respect de la vie privée », ainsi que les recours judiciaires limités pour les citoyens européens.

Vers un nouveau cadre sur les transferts de données

Suite à l’invalidation de l’accord de « Safe Harbor », la Commission européenne et les autorités américaines se sont penchées sur un nouveau cadre qui répondrait aux inquiétudes de la Cour de Justice de l’Union européenne. Celui-ci empêcherait par exemple les données des citoyens européens d’être collectées en masse par les services américains et garantirait des recours judiciaires plus efficaces aux citoyens européens.

En parallèle, l’objectif est également d’empêcher les autorités nationales chargées de la protection des données de mettre brusquement fin aux transferts de données vers les États-Unis, ce qui pourrait avoir des conséquences économiques graves.

Le bouclier « vie privée » est le nom du nouvel accord qui vise à réguler les transferts de données transatlantiques. Les autorités de protection des données des États membres, qui travaillent ensemble au sein du groupe de travail « Article 29 », émettent pourtant de sérieuses réserves sur ce nouveau texte.

Une meilleure protection de la vie privée ?

Selon ces autorités, la NSA n’aurait pas fourni suffisamment de détails pour mettre fin à la collecte de masse des données personnelles originaires de l’Union européenne. Pour elles, un médiateur nommé par les États-Unis ne serait pas assez indépendant et ne pourrait pas garantir une solution satisfaisante en cas de désaccord entre citoyens européens et autorités américaines.

En mars dernier, la commission des libertés civiles a débattu en compagnie d’experts de ce nouveau cadre. Plusieurs députés ont estimé qu’il permettrait de mieux protéger la vie privée des citoyens européens.

« Le bouclier « vie privée » est différent de la « sphère de sécurité » : il garantit une protection efficace des droits concernant la vie privée des citoyens européens », a déclaré Axel Voss, député démocrate-chrétien allemand. Selon lui, le nouvel accord serait en mesure d’être accepté par la Cour de Justice de l’Union européenne car il prévoit des limites claires d’accès du gouvernement américain aux données.

« Je vois clairement des améliorations par rapport à la « sphère de sécurité » », avait estimé la députée démocrate socialiste allemande Birgit Sippel, tout en exprimant ses inquiétudes concernant des éventuelles collectes de données de masse.

D’autres députés se sont montrés plus prudents. C’est le cas de Sophie in ‘t Veld, députée libérale néerlandaise, qui a notamment évoqué la question de la surveillance de masse : « J’ai de gros doutes : cet accord est-il réellement conforme au jugement Max Schrems ? ».

L’adoption du « bouclier vie privée » et le rôle du Parlement

Le Parlement devra donner son avis avant que la Commission ne puisse adopter une décision adéquate déclarant que le nouveau système offre un niveau suffisant de protection des données, condition préalable pour que l’accord puisse entrer en vigueur.

Le Parlement et le Conseil peuvent demander à la Commission de maintenir, d’amender ou de retirer la décision adéquate. Une commission représentant les différents États membres devra approuver cette décision. Les autorités nationales de protection des données publieront quant à elles leurs opinions sur le texte.

Autres accords

Le consentement du Parlement sera nécessaire concernant l’accord dit « Umbrella Agreement » qui concerne les transferts de données dans le cadre policier et judiciaire. Il viendra compléter les accords existants avec les États-Unis qui permettent un accès aux données des dossiers passagers et aux transactions bancaires. La question du recours judiciaire pour les citoyens européens est ici fondamentale.

Advertisements