Selon les informations de Next INpact, le gouvernement français est intervenu dans la procédure initiée contre le Privacy Shield afin de défendre le transfert de données personnelles vers les États-Unis. Paris a profité de la fenêtre pour plaider en faveur de leur conservation généralisée dans les mains des intermédiaires.
En octobre 2016, la Quadrature du Net, French Data Network (FDN) et la Fédération des Fournisseurs d’Accès à Internet Associatifs (FFDN) attaquaient le Privacy Shield devant la justice européenne.
Pour mémoire, cette décision d’adéquation est de première importance. Le 12 juillet 2016, la Commission européenne a considéré que les États-Unis offraient un niveau de protection similaire à celui en vigueur de notre côté de l’Atlantique. Conclusion ? Les entreprises américaines, dont les Géants du Net, ont le droit d’importer les données personnelles des citoyens de l'Union.
Le Privacy Shield comblait ainsi un sacré trou provoqué par une décision de la Cour de justice de l’Union européenne, qui a jugé non conforme aux droits fondamentaux le Safe Harbor, précédent accord datant de 2000. Dans la décision Schrems du 6 octobre 2015, elle dégommait ses brèches, éclairée par les révélations Snowden, outre la passivité et les manquements de la Commission.
Un accord perfectible
Aux yeux de FDN, FFDN et LQDN, cependant, le nouvel accord aujourd’hui en vigueur n'est pas dans les clous des standards européens. Dans leur recours intenté fin 2016, ils ont soulevé plusieurs questions préjudicielles, répertoriées sur cette page officielle.
En substance, ils considèrent d’une part que le risque de collecte de masse à des fins de renseignement n’est pas évincé avec le Privacy Shield. D’autre part, que les garanties procédurales manquent cruellement à l’appel.
Fait notable, la France est intervenue auprès du Tribunal de la Cour de justice de l’Union européenne pour soutenir la Commission européenne contre ces trois demandeurs. Dans les pièces que nous avons pu consulter, elle juge infondée cette requête devant le Tribunal de la CJUE.
L’argument est simple : d’un côté, la conservation des données est une nécessité. De l’autre, le Privacy Shield est un vrai bouclier, dont la solidité ne saurait être contestée.
Le gouvernement Philippe justifie les ingérences dans la vie privée
Résumant sans nuance la jurisprudence européenne, Paris estime ainsi que « la protection de la sécurité nationale et de l’ordre public constitue un objectif d’intérêt général de l’Union susceptible de justifier des ingérences, même graves, dans les droits fondamentaux » comme celui relatif à la vie privée.
Dans les éléments en notre possession, elle ajoute que « lorsque des intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique sont menacées par des activités terroristes », l’accès des autorités publiques aux données personnelles « devrait être admis ».
Un plaidoyer pour la conservation des données
La France glisse au passage que « la conservation des données techniques de communications électroniques, telles que les données de connexion ou de localisation, est strictement nécessaire pour garantir la disponibilité de ces données à des fins de préservation des intérêts vitaux de la sécurité nationale ».
Bref, accès comme conservation généralisée doivent être maintenus. Belle opportunité saisie au bond puisque dans notre pays, le principe est justement celui d’une conservation des données généralisée, utilisé même pour lutter contre des infractions non graves, contrairement à ce qu’a posé la CJUE…
Le gouvernement Philippe soutient que seule cette obligation permet d’aiguiser les pouvoirs des autorités. Dit autrement, imposer une conservation ciblée, comme le voudraient les requérants, ne suffirait pas « à remplir les objectifs assignés à la politique de sécurité nationale, qui consistent à détecter, pour les prévenir, les menaces aux intérêts vitaux des États ».
Pour Paris, le plus important est finalement de mettre en balance les droits fondamentaux et les moyens de l’État. Une manière de sacraliser le régime en vigueur ici, mais également de considérer que le système américain n’est peut-être pas si terrifiant que cela dès lors que les protections en vigueur sont équivalentes dans le droit des États membres :
« Il ne saurait, en tout état de cause, être exigé des autorités d’un pays tiers qu’elles mettent en œuvre des dispositifs de protection des données à caractère personnel identiques à ceux mis en œuvre dans l’ordre juridique de l’Union dès lors que les engagements fournis par ces autorités sont effectivement de nature à assurer, en pratique, un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union ».
Rien à redire sur le Privacy Shield
Quid du Privacy Shield ? Cet accord offre à ses yeux « des améliorations substantielles » par rapport au Safe Harbor. Voilà qui tranche avec les positions du candidat Macron qui, lors de la campagne des présidentielles, avait promis de faire renégocier le Privacy Shield d’ici 2018 « afin de garantir réellement la préservation des données personnelles de tous les Européens »...
Moins d’un an après l’épisode électoral, l'exécutif considère désormais que la décision d’adéquation de la Commission offre un niveau de détails satisfaisant pour encadrer aux États-Unis l’accès et l’utilisation « des données à caractère personnel […] à des fins de sécurité nationale, de respect de la loi ou d'intérêt public », mais aussi pour garantir « l'existence des voies de droit ».
Conclusion : « le gouvernement français estime que la décision attaquée traduit la prise en compte de l'ensemble des exigences énoncées par la Cour dans l'arrêt Schrems ».
Une certitude d’autant plus solide dans son esprit que le Privacy Shield intègre un mécanisme de réexamen annuel, comme l’avait souhaité la CJUE. Voilà qui « traduit une vigilance constante quant au bon fonctionnement du bouclier de protection. »
Une position beaucoup plus nuancée des autorités de contrôle européennes
Les positions françaises tranchent non seulement avec celles du candidat Macron, mais aussi avec celles très récentes du Groupe de l’Article 29. Comme LQDN, FDN et FFDN, l’entité qui rassemble les autorités de contrôle, dont la CNIL en France, a exprimé en décembre 2017 de nombreuses préoccupations à l’occasion de son évaluation du Privacy Shield.
Manque de directives précises adressées aux entreprises adhérant à cet accord, déficit d’informations claires et aisément disponibles pour les citoyens de l’Union, des recours jugés trop complexes, un risque important de profilage des individus notamment par les établissements de crédit américains, les critiques sont denses...
Elles deviennent plus lourdes encore s’agissant de la surveillance de masse rendue possible par la législation américaine, toujours très généreuse avec le renseignement national. Les inquiétudes sont telles que le G29 a menacé la Commission européenne d’un recours à l’occasion de la prochaine évaluation du Privacy Shield en 2018. Autant de points oubliés par le gouvernement français devant la porte de la CJUE.
