Les eurodéputés ont adopté hier en plénière une résolution portée par Claure Moraes. Elle demande la suspension du Privacy Shield, si les États-Unis ne se mettent pas en conformité avec le droit de l'Union. Cet accord signé avec la Commission européenne est destiné à sécuriser le transfert et l’exploitation des données personnelles outre-Atlantique.
Quelques instants après avoir rejeté le mandat d’Axel Voss, visant en particulier à filtrer les « uploads » sur les plateformes d’hébergement, le Parlement européen a adopté en séance plénière la résolution de Claude Moraes. Déposée au nom de la commission des libertés civiles (Libé), elle pointe plusieurs défauts dans le Privacy Shield.
Ce bouclier Vie privée a été signé par la Commission européenne avec les États-Unis suite à l’invalidation du précédent accord de transfert de données, le Safe Harbor. Depuis 2000, l’institution bruxelloise considérait son cocontractant comme un « port sûr » où le niveau de sécurité des données personnelles était similaire à celui en vigueur en Europe pour les entreprises certifiées. Seulement, des années durant, la Commission n’a pas mis à jour ses constats.
Saisie d’un dossier initié par Maximilien Schrems, la Cour de justice de l’Union européenne a dressé un état des lieux peu reluisant 15 ans plus tard, le 6 octobre 2015. Eclairée par les révélations Snowden, elle a pointé le programme Prism de collecte de renseignements à grande échelle ouvert aux services américains. Elle a dénoncé tout autant l’absence de droit au recours des citoyens européens, outre encore une conservation généralisée des données, sans nuance et donc non limitée au strict nécessaire.
L'affaire Cambridge Analytica et Facebook
Problème, le Privacy Shield, son remplaçant, souffre également de faiblesses, à en croire la résolution adoptée hier. En témoigne l’affaire Cambridge Analytica-Facebook. Deux entités pourtant certifiées dans le cadre du nouveau bouclier, et qui donc, ont été autorisées à transférer les précieuses données qui allaient permettre des manipulations lors des élections voire du Brexit.
Selon le document, ces problèmes « mettent en exergue la nécessité d’une surveillance en amont ainsi que (…) des contrôles systématiques (…) tout au long de la durée de vie de la certification ».
Autre préoccupation : la révision des conditions d’utilisation de Facebook pour les utilisateurs de pays tiers résidant hors des États-Unis et du Canada. Jusqu’à présent, ceux-ci bénéficiaient de la protection des droits de la législation européenne, mais ils « doivent désormais accepter que le responsable du traitement des données ne soit plus Facebook Irlande, mais Facebook États-Unis ». Ce transfert de données, qui concerne environ 1,5 milliard d’utilisateurs vers un pays tiers, vient finalement raboter les droits fondamentaux des utilisateurs de la plateforme.
L'argument de la sécurité nationale
Dans une sorte de long inventaire, elle regrette tout autant l’absence de garanties spécifiques apportées aux décisions fondées sur le profilage, qui précèdent une décision automatisée. Une lacune peu en phase avec le règlement général sur la protection des données personnelles. D’ailleurs, le bouclier est à ses yeux en retrait s’agissant du droit d’opposition aux traitements, car limité à des cas beaucoup trop spécifiques.
Sur le terrain de la surveillance, l’argument de la « sécurité nationale » est trop largement défini, empêchant consécutivement les tribunaux d’exercer un contrôle strict sur ces traitements sensibles. Elle soupçonne, faute de garanties solides venues des autorités américaines, un possible accès en vrac aux données personnelles, suite à la réactivation de la section 702 de la loi « FISA ».
Plusieurs décrets présidentiels nourrissent tout autant ses préoccupations. Le décret 12333, « qui permet à la NSA de partager de vastes quantités de données privées, recueillies sans mandat, ordonnance de justice ou autorisation du Congrès, avec 16 autres organismes, dont le FBI, l’agence de lutte contre la drogue et le ministère de la Sécurité intérieure ». Et celui numéroté 13768 « portant renforcement de la sécurité publique à l’intérieur des États-Unis », où les garanties prévues par la loi sur la protection des données ne s’appliquent plus aux citoyens non américains.
Mêmes inquiétudes autour du Cloud Act (Clarifying Lawful Overseas Use of Data Act). Destiné à clarifier les règles encadrant les réquisitions des autorités américaines sur les données stockées en dehors de leur territoire, le texte « étend les compétences des services répressifs américains et étrangers en leur permettant de cibler et d’accéder aux données des personnes au-delà des frontières internationales sans recourir aux instruments d’entraide judiciaire (MLAT) ». Dénué de leurs garanties spécifiques, le Cloud Act vient s’entrechoquer avec la législation européenne sur la protection des données.
Au final, le Parlement européen réclame à la Commission la suspension pure et simple du Privacy Shield, du moins si les États-Unis ne se conforment pas aux règles européennes d’ici le 1er septembre. Cette résolution n'a qu'une portée politique, non juridique, mais elle devrait nourrir les menaces des CNIL européennes de saisir la justice, elles aussi insatisfaites de l'accord.
