Schrems II : le Comité européen de la protection des données se félicite de la proposition états-unienne

Le Comité européen de la protection des données (CEPD, ou EDPB en anglais), qui regroupe l’ensemble des autorités de protection des données au niveau européen, « se félicite des améliorations apportées par le cadre de protection de la vie privée des données entre l'UE et les États-Unis », mais souligne que « des inquiétudes subsistent ».

Le CEPD vient de se prononcer sur la proposition faite par les États-Unis à la Commission européenne de créer un nouveau cadre juridique pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains.

Dans son communiqué, le CEPD explique accueillir favorablement plusieurs « améliorations substantielles », telles que l'introduction d'exigences reflétant « les principes de nécessité et de proportionnalité » dans la collecte de données par les services de renseignement américains, tels que prévus dans l'Executive Order (EO) 14086 (voir notre précédent article à ce sujet), ainsi qu'un « nouveau mécanisme de recours » pour les personnes dont les données auraient pu être collectées par le renseignement états-unien. 

• Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens

Le CEPD souligne cela dit qu'une « surveillance étroite est nécessaire » concernant l'application pratique des principes de nécessité et de proportionnalité nouvellement introduits. L'organisme demande aussi une « plus grande clarté » au sujet de la collecte temporaire, de la conservation, ainsi que la diffusion ultérieure des données collectées en vrac.

Il exprime en outre des « préoccupations » et demande des « clarifications » sur plusieurs points relatifs aux droits des personnes concernées, aux transferts ultérieurs, au champ d'application des exemptions, à la collecte temporaire de données en vrac et au fonctionnement pratique du mécanisme de recours. 

La lecture de son opinion de 54 pages est ardue, farcie de subtilités juridiques et techniques, reposant notamment sur la complexité des mécanismes de surveillance et de contrôle des services de renseignement américain, ainsi que de la jurisprudence européenne. Elle n'en est pas moins fort instructive au vu des enjeux de ce serpent de mer qu'est le cadre juridique de la protection des flux de données transatlantique. 

La CJUE n'a pas exclu, par principe, la collecte en vrac

Le CEPD relève que la Cour de justice de l'Union européenne (CJUE) « n'a pas exclu, par principe, la collecte en vrac », mais considéré dans sa décision Schrems II que « des limites suffisamment claires et précises doivent être mises en place pour délimiter le champ de cette collecte » afin qu'elle puisse avoir lieu « légalement ».

• La Cour de justice de l’Union européenne annule le Privacy Shield
• Retour sur l'invalidation du Privacy Shield par la justice européenne

En réponse, le nouvel EO 14086 prévoit que la collecte en vrac ne pourra avoir lieu que si « les informations nécessaires à la réalisation d'une priorité validée en matière de renseignement ne peuvent raisonnablement être obtenues par une collecte ciblée. » Le CEPD précise : 

« L'EO 14086 introduit deux nouvelles exigences dans le droit américain, qui font écho aux exigences rappelées par la CJUE dans son arrêt Schrems II, à savoir que les activités de renseignement électromagnétique ne sont menées que dans la mesure où elles sont nécessaires pour faire progresser une collecte de renseignements prioritaires validée, et uniquement dans la mesure et d'une manière qui sont proportionnées à la priorité validée en matière de renseignement. »

Le CEPD « croit comprendre » que ces éléments ont été inclus « pour refléter les principes de nécessité et de proportionnalité prévus par le droit de l'UE et par la jurisprudence de la CJUE et de la CEDH », et salue le fait que l'EO « prévoit que la collecte ciblée doit être privilégiée à la collecte en vrac ».

Il prend également note que l'EO exclue toute collecte de renseignement électromagnétique visant à :

• supprimer ou entraver la critique, la dissidence ou la libre expression d'idées ou d'opinions politiques par des individus ou la presse ;
• supprimer ou restreindre des intérêts légitimes en matière de vie privée ;
• supprimer ou restreindre le droit à un avocat ;
• ou désavantager des personnes en raison de leur origine ethnique, de leur race, de leur sexe, de leur identité de genre, de leur orientation sexuelle ou de leur religion.

Le CEPD reconnaît, en ce qui concerne l'accès du gouvernement aux données transférées aux États-Unis, que « les améliorations significatives » apportées par l'EO 14086 ont « introduit les concepts de nécessité et de proportionnalité » en matière de collecte de données par les services de renseignement électromagnétique états-uniens.

En outre, le nouveau mécanisme de recours « crée des droits pour les individus de l'UE et est soumis à l'examen de la Commission de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board, ou PCLOB) », l'organisme indépendant de contrôle des libertés en matière de lutte contre le terrorisme chargé de conseiller le président et les organes exécutifs des États-Unis : 

« L'EO consacre également davantage de garanties pour assurer l'indépendance de la Cour de révision de la protection des données (Data Protection Review Court, ou DPRC), par rapport au mécanisme précédent du médiateur, et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées. »

Quid des risques de transfert de données ?

Le CEPD se dit « préoccupé » par le fait que les règles relatives à la durée de la collecte et de la conservation des données « ne sont pas clairement définies » dans l'EO. L'entité demande à la Commission de « partager son évaluation de la nécessité et de la proportionnalité des périodes de conservation applicables » : 

« Comme l'a souligné la Cour européenne des droits de l'homme, il s'agit d'une garantie cruciale pour que les personnes concernées puissent exercer leurs droits dans un contexte où une mesure particulièrement intrusive est prise pour collecter leurs données en premier lieu, le CEPD demande à la Commission européenne de fournir des clarifications supplémentaires concernant les différentes périodes de conservation dans la pratique. »

Le CEPD comprend par ailleurs que les dispositions relatives à la « dissémination » des informations collectées en vertu de l'EO 14086 « ne prévoient pas d'interdiction expresse de la diffusion à des fins autres que la sécurité nationale ». Cela pourrait arriver si une personne habilitée « a la conviction raisonnable » que les informations personnelles seront protégées de manière appropriée et que le destinataire « a besoin de connaître ces informations » : 

« Le CEPD est donc préoccupé par le fait que les données acquises par les autorités compétentes de l'Intelligence Community pourraient ensuite être diffusées aux autorités compétentes américaines dans le but de lutter contre la criminalité, y compris les crimes graves, dans le cadre d'enquêtes criminelles, offrant ainsi aux autorités répressives, sans autres restrictions spécifiques, la possibilité d'obtenir des données qu'il leur aurait été interdit de collecter directement et invite la Commission à évaluer davantage ce point [et] à clarifier davantage les règles et garanties applicables dans ce cas. »

Le CEPD invite également la Commission à clarifier la possibilité de transferts ultérieurs d'informations « à des destinataires extérieurs au gouvernement des États-Unis, y compris à un gouvernement étranger ou à une organisation internationale » : 

« Le CEPD considère que la conclusion d'accords bilatéraux ou multilatéraux avec des pays tiers aux fins de la coopération en matière de renseignement est susceptible d'affecter le cadre juridique de la protection des données tel qu'évalué [et] invite donc la Commission européenne à préciser si de tels accords existent, dans quelles conditions ils peuvent être conclus et à évaluer si les dispositions des accords internationaux peuvent affecter le niveau de protection accordé aux données personnelles transférées depuis l'Espace économique européen (EEE). »

On avait en effet découvert, en marges des révélations Snowden, que la NSA avait sous-traité, dans le cadre de ses nombreuses alliances, la surveillance de personnalités politiques européennes aux services de renseignement électromagnétiques allemand et danois.

• Le renseignement allemand aurait espionné des cibles européennes pour la NSA
• La NSA a profité de son partenariat avec le Danemark pour espionner Angela Merkel, entre autres

Un processus de surveillance à plusieurs niveaux

Le CEPD relève que les activités de renseignement des États-Unis « sont soumises à un processus de surveillance à plusieurs niveaux » en interne. Il existe, en outre, des organes de contrôle externes, tels que le Privacy and Civil Liberties Oversight Board (PCLOB), l'Intelligence Oversight Board (IOB) et les commissions du Congrès. Le comité estime donc que « les mécanismes de contrôle interne en place sont généralement suffisants » : 

« Tous les éléments de la communauté du renseignement ont des responsables de la surveillance et de la conformité, qui effectuent une surveillance périodique des activités de renseignement électromagnétique, y compris les responsables de la protection de la vie privée et des libertés civiles et les inspecteurs généraux. »

Pour autant, et comme la CJUE l'a noté dans sa décision Schrems II, la Foreign Intelligence Surveillance Court (FISC), responsable de la supervision du processus de certification pour la collecte de renseignements étrangers, « n'autorise pas les mesures de surveillance individuelles », mais les programmes de surveillance : 

« Par conséquent, le CEPD reste préoccupé par le fait que la FISC n'assure pas un contrôle judiciaire efficace du ciblage des personnes non américaines, ce qui ne semble pas être résolu par le nouvel EO 14086. »

Une amélioration significative par rapport au Privacy Shield

Le CEPD « se félicite que l'EO 14086 établisse un mécanisme de recours spécifique pour traiter et résoudre les plaintes de personnes non américaines concernant les activités de renseignement électromagnétique des États-Unis », et que le nouveau mécanisme ajoute une voie de recours qui n'existerait pas autrement :

« Le nouveau mécanisme comprend deux niveaux : au premier niveau, les individus peuvent déposer une plainte auprès de l'officier de protection des libertés civiles (Civil Liberties Protection Officer, CLPO) du bureau du directeur du renseignement national (DNI). Au deuxième niveau, les personnes ont la possibilité de faire appel de la décision du CLPO devant un organe nouvellement créé, appelé Cour de révision de la protection des données (Data Protection Review Court, DPRC). »

À ce titre, le CEPD considère que le CLPO, « en tant qu'agent gouvernemental intérimaire, n'est pas investi d'un degré suffisant d'indépendance vis-à-vis de l'exécutif et ne peut donc pas, à lui seul, remplir de manière adéquate les exigences découlant de l'article 47 de la Charte ». 

Or, dans l'affaire Schrems II, la CJUE avait rappelé que « les personnes concernées doivent avoir la possibilité de saisir un tribunal indépendant et impartial afin d'avoir accès aux données à caractère personnel les concernant, ou d'obtenir la rectification ou l'effacement de ces données ».

La CJUE avait également souligné que l'indépendance de la juridiction ou de l'organe doit être assurée, « notamment par rapport à l'exécutif, avec toutes les garanties nécessaires, y compris en ce qui concerne les conditions de révocation ou de retrait de la nomination ». Le CEPD souligne à ce titre que « les garanties prévues ne permettent pas de douter de l'indépendance du DPRC ». 

Il reconnaît que les dispositions de l'EO 14086 « constituent une amélioration significative par rapport au Privacy Shield », mais invite cela dit la Commission à « surveiller attentivement si ces garanties sont pleinement reflétées dans la pratique ». En effet, « le projet de décision en tant que tel ne permet pas de savoir si et comment le respect de ces exigences sera observé aux États-Unis ».

Des décisions « contraignantes » et des « réparations appropriées »

L'une des principales lacunes du Privacy Shield qui avait conduit à son invalidation par la CJUE dans l'affaire Schrems II était « l'absence de pouvoirs de recours contraignants pour le médiateur ». Or, relève le CEPD, « dans le cadre du nouveau mécanisme de réparation, les décisions prises par le CLPO et par le DPRC ont un effet contraignant », qui « permet une "réparation appropriée" pour "remédier pleinement" à une violation couverte identifiée ».

Pour autant, l'EO 14086 « crée une certaine incertitude quant au processus de détermination de cette "réparation appropriée" », déplore le CEPD. Là encore, il invite la Commission à « surveiller de près les mesures de réparation adoptées dans la pratique ».

Le CEPD se félicite par ailleurs que l'EO 14086 « n'exige pas du plaignant qu'il démontre qu'il a qualité pour agir », et qu'il ne soit pas nécessaire de « démontrer que les données du plaignant ont effectivement été consultées dans le cadre d'activités de renseignement électromagnétiques ». 

Il invite cela dit la Commission à clarifier davantage la notion de « préjudice » afin de garantir que toute violation des droits des personnes concernées soit évaluée et corrigée, et qu'il n'y ait pas de niveau de « gravité » à démontrer pour avoir accès à un recours et à une réparation « appropriée ». Et ce, d'autant que « la décision du DPRC ne peut pas faire l'objet d'un appel, mais est définitive ».

L'avis du CEPD « pourrait être très influent »

Le professeur de droit Theodore Christakis, qui documente et chronique ce dossier depuis des années, se dit « particulièrement heureux de voir que le CEPD adopte une approche équilibrée et constructive du DPRC qui confirme, à mon avis, les conclusions de l'analyse juridique que nous avons proposée dans une série d'articles que nous avons produits avec Peter Swire & Kenneth Propp », eux aussi professeurs de droit et spécialistes de ces questions : 

1. le CEPD « reconnaît que la solution innovante apportée par l'EO 14086 de Biden permet de résoudre de manière satisfaisante l'important problème de la "qualité pour agir" devant les tribunaux fédéraux » ;
2. le CEPD « semble avoir conclu, tout comme nous, que le DPRC doit être considéré comme "indépendant", même s'il souligne à juste titre que la mise en œuvre des garanties de l'OE dans la pratique sera essentielle pour évaluer ce point » ;
3. le CEPD « semble également avoir conclu que le DPRC dispose de pouvoirs d'enquête et de recours efficaces - bien que le fait de voir cela dans la pratique soit également important ».

Theodore Christakis souligne également que le CEPD suggère que les plaintes soient acheminées par l'intermédiaire des autorités de protection des données, et non via les organes de surveillance et de contrôle du renseignement.

Euractiv souligne que « bien qu'il ne soit pas juridiquement contraignant », l'avis du CEPD « pourrait être très influent ». À l'origine de l'affaire Schrems II, l'ONG noyb (pour « My privacy is none of your business ») a en effet déjà annoncé qu'elle contesterait la future décision de la commission.

La Commission européenne, qui avait lancé le processus d'adoption d'une décision d'adéquation le 13 décembre dernier, devra désormais obtenir le feu vert d'un comité composé de représentants des États membres de l'UE et précise que « le Parlement européen dispose d'un droit de regard sur les décisions d'adéquation » : 

« Ce n'est qu'après cela que la Commission européenne pourra adopter la décision finale d'adéquation, qui permettrait aux données de circuler librement et en toute sécurité entre les entreprises européennes et américaines certifiées par le ministère du Commerce dans le nouveau cadre. »