Citoyens unis d'Europe - Solidarité et démocratie

« Libération « a publié le 2 février 2017 un article d’Amaelle Guitton sous le titre « Trump : et maintenant les données personnelles », qui fait un point sur ce sujet aux zones d’ombre persistantes. En voici un résumé :

Depuis une directive de 1995, l’UE interdit le transfert de données personnelles vers les pays ayant un niveau de protection inférieure au sien, ce qui est le cas des Etats-Unis. En 2000 la Commission européenne et le Département américain du Commerce ont mis sur pied un accord-cadre – le « Safe Harbour », selon lequel il suffisait aux entreprises américaines de s’engager à respecter les normes européennes sans autre contrôle. Cette « garantie » toute relative a été dynamitée à l’été 2013 par les révélations d’Edward Snowden, particulièrement sur le programme Prisme permettant à la NSA d’accéder aux données stockées par les géants du net américains. Une renégociation du Safe Harbour a été engagée, d’autant plus que cet accord a été invalidé par la Cour de Justice de l’UE le 6/10/15, suite à un recours contre Facebook déposé par un étudiant en droit autrichien Max Schrems. En 2016, l’UE et les US s’entendent sur un nouvel accord-cadre, le « Privacy Shield » (= « bouclier de confidentialité »), censé garantir aux citoyens de l’UE un niveau de protection équivalent à celui de la législation européenne.

Aux USA l’utilisation des données personnelles par les agences fédérales est encadrée par le Privacy Act de 1974, qui prévoit notamment pour les citoyens américains et les résidents permanents légaux des droits d’accès, de rectification et de recours en cas d’utilisation illicite des données – avec des exceptions en matière de sécurité nationale notamment. Après les révélations de Snowden en 2013 et la signature par Barack Obama en 2014 d’une directive présidentielle reconnaissant à toute personne, quelle que soit sa nationalité, un « droit légitime à la vie privée », les Etats-Unis ont adopté en février 2016 le Judicial Redress Act, qui étend les droits reconnus par le Privacy Act aux citoyens de certains pays, dont l’UE dans son ensemble. Sur la base de ces évolutions, la Commission européenne, en signant le « Privacy Shield », a jugé adéquat le niveau de protection des données européennes aux Etats-Unis. Cependant, plusieurs défenseurs de la vie privée en Europe dont Max Schrems ont dénoncé les insuffisances du « Privacy Shield ». Et le G29, qui regroupe les autorités européennes de protection des données personnelles (dont la CNIL pour la France), a regretté « le manque de garanties concrètes ».

Pendant sa première semaine en tant que Président, Trump a signé un décret, pris dans le cadre des dispositions anti-immigration, affirmant que les dispositions du Privacy Act de 1974 ne doivent plus s’appliquer à ceux « qui ne sont ni des citoyens des Etats-Unis ni des résidents permanents légaux ». Sur le papier, cette loi de 1974 ne s’appliquait déjà pas à eux. Mais dans les faits, plusieurs agences fédérales donnaient cette protection à des fichiers mixtes rassemblant Américains et non-Américains, tels que des fichiers de voyageurs. Ceux que le décret Trump exclut de la loi n’auront plus aucun droit sur leurs données, qui seront plus facilement partagées au sein de l’administration. Donc, selon un avocat spécialisé cité dans l’article « il y a un changement significatif dans la manière dont le gouvernement fédéral promet de traiter les informations personnelles sur les étrangers collectées via les programmes qui ne relèvent pas de la communauté du renseignement, comme les visas, les bases de données de réfugiés et les fichiers d’immigration ».

Si ce décret ne remet pas directement en cause le « Privacy Shield », au vu de la propension du nouveau locataire de la Maison Blanche à détricoter l’action de son prédécesseur, on peut se demander ce qu’il adviendra de la directive d’Obama de 2014, sur laquelle s’appuie le « Privacy Shield ». La Commissaire européenne de la Justice, Vera Jourova, a indiqué au site EUObserver qu’elle avait «besoin d’être certaine que le « Privacy Shield » subsistera », tandis que celui-ci doit faire l’objet d’une évaluation par le G29 avant l’été 2017. Des recours contre cet accord ont été lancés par trois associations françaises, dont la Quadrature du Net, qui le jugent non conforme aux exigences européennes. L’article cite enfin le Directeur exécutif de l’association European Digital Rights : « Le « Privacy Shield » repose largement sur des assurances écrites dont la crédibilité était déjà faible sous Obama. La question n’est pas tant de savoir s’il va s’effondrer, mais quand ».