Données personnelles : les USA et l’UE promettent un super accord, mais il risque encore de voler en éclats
Fumée blanche entre l'Union européenne et les États-Unis.
« Heureux que nous ayons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques », a écrit sur Twitter Ursula von der Leyen. « Il permettra des flux de données prévisibles et dignes de confiance, en équilibrant la sécurité, le droit à la vie privée et la protection des données. Il s'agit d'une nouvelle étape dans le renforcement de notre partenariat. »
Pour comprendre de quoi il en retourne, il faut d'abord partir d'un constat : le web est aujourd'hui largement dominé par de grands groupes américains, dans le secteur des réseaux sociaux et des services en ligne notamment. Il suffit de regarder la nationalité de quelques-uns des géants du net pour s'en convaincre : Amazon, Google, Facebook, Twitter, Netflix, Microsoft, etc.
Or sur le web, tout tourne autour de la donnée personnelle, ou presque. Celle-ci a acquis beaucoup de valeur, par exemple pour le ciblage publicitaire, mais aussi pour comprendre plus finement le comportement de l'internaute, et en tirer des enseignements. Ces informations peuvent servir pour transformer un produit pour mieux répondre à des besoins, par exemple.
Le rôle de la donnée personnelle -- qui est parfois décrite comme l'or noir dans le numérique -- et la nationalité des principaux groupes sur Internet ont donc eu pour effet d'entraîner un transfert de ces informations vers les États-Unis, puisque les internautes européens privilégient davantage l'offre de service américain que les alternatives européennes.
De ce constat, et parce que la législation européenne interdit le transfert de données personnelles vers des États tiers qui ne les protègent pas aussi bien que dans l'UE, un cadre particulier a été mis en place : le Safe Harbor. Il s'agissait de permettre le transfert des données d'une rive à l'autre de l'Atlantique, si certaines exigences étaient satisfaites en matière de protection.
Le Safe Harbor explose en 2015, le Privacy Shield en 2020
Tout allait pour le mieux dans le meilleur des mondes, jusqu'au tournant de la décennie 2010. Les révélations faites par le lanceur d'alerte Edward Snowden en 2013 suggèrent que les États-Unis n'offrent pas un niveau adéquat de protection pour les internautes européens, compte tenu de l'activité de leurs services de renseignement sur Internet.
Le coup de tonnerre survient en 2015. La Cour de justice de l'Union européenne invalide le Safe Harbor. Panique à Washington et Bruxelles, compte tenu des enjeux économiques -- le numérique étant déjà à l'époque un moteur pour la croissance et irriguant de très nombreux secteurs d'activité. Il fallait donc trouver une solution de remplacement au plus vite.
Un nouveau cadre est alors mis en place en 2016 : le Privacy Shield. La Commission européenne estime alors que c'est une bonne réponse, plus protectrice. Mais tout le monde ne partage pas cet avis : les autorités de régulation du Vieux Continent, le Parlement européen, le Conseil national du numérique, les associations de la société civile sont beaucoup plus sévères.
Et il y en a un autre qui n'est pas content. C'est Maximilian Schrems. Son nom n'est pas forcément bien connu, mais c'est lui qui a été à l'origine de l’invalidation du Safe Harbor. Vous le voyez venir : c'est aussi lui qui a provoqué la disparition du Privacy Shield en 2020, avec une autre action victorieuse devant la Cour de justice de l'Union européenne.
Essentiellement, la justice européenne a considéré que les USA n'encadrent pas assez leurs programmes de surveillance pour préserver les intérêts des Européens. La réglementation américaine « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux », relevait notamment la CJUE.
La troisième tentative sera-t-elle la bonne ?
Voilà donc où nous en sommes : deux cadres juridiques censés fixer les règles du jeu entre les deux rives de l'Atlantique ont volé en éclats : le Safe Harbor en 2015 et le Privacy Shield en 2020. La troisième tentative sera-t-elle la bonne ? Il faudra attendre de juger sur pièces, avec la présentation du texte censé mieux gérer cette fois le transfert des données personnelles.
Mais si les États-Unis n'ont pas mené depuis les réformes adéquates pour satisfaire les règles du jeu européennes, il n'est pas besoin d'être grand clerc pour supposer que cette troisième tentative échouera encore une fois. C'est la prédiction que fait par exemple Ashley Gorski, avocate au sein de l'Union américaine pour les libertés civiles, le 23 mars.
« Si l'administration Biden et la Commission européenne annoncent un nouvel accord sur le bouclier de protection de la vie privée sans réformes législatives américaines, il est presque certain que l'accord sera (encore) annulé par le plus haut tribunal de l'UE, laissant les entreprises américaines dans l'embarras », écrit-elle sur Twitter.
Si les détails juridiques ne sont pas encore connus -- l'accord étant politique pour le moment --, Maximilian Schrems est déjà en train de faire entendre une petite musique menaçante. Celui qui est devenu en quelques années une bête noire pour les géants du net les juristes de Washington et Bruxelles prédit un sort funeste au texte en cas de nouvelle procédure.
« Il semble que nous fassions un autre PrivacyShield surtout à un égard : la politique au détriment du droit et des droits fondamentaux. Cela a déjà échoué deux fois. Ce que nous entendons, c'est une autre approche 'de rafistolage' mais aucune réforme substantielle du côté américain. Attendons un texte, mais je parie en premier lieu qu'il échouera à nouveau. »