Les données européennes, propriété des États-Unis

C’est l’un des enjeux les plus épineux pour les relations transatlantiques : les transferts de données entre les États-Unis et l’UE. Ceux-ci sont encadrés par des accords, déjà annulés deux fois, en 2015 et en 2020. Il risque fort d’y avoir un troisième épisode prochainement.

publié le 22/11/2023 Par Thomas Le Bonniec

Le 25 mars 2022, la présidente de la Commission européenne Ursula Von Der Leyen, aux côtés de Joe Biden, annonçait qu’un nouvel accord de principe était trouvé : il s’agissait du « Data Privacy Framework » entré en vigueur en juillet 2023.

Ces accords sont cruciaux pour le secteur du numérique et toutes les entreprises qui font de la collecte et du traitement de données un élément clé de leur activité. Sans eux, les firmes américaines se retrouvent obligées d’obéir au droit européen en la matière. Ce serait un bouleversement pour les marchés spécialisés dans la collecte et la revente de données, qui seraient obligés de modifier leurs méthodes de pistage numérique en profondeur.

Round 1 : le « Safe Harbor »

Il faut remonter à octobre 2015, avec l’invalidation du premier accord par la Cour de Justice de l’Union Européenne, baptisé « Safe Harbor ». Il s’agit d’un cadre assurant la protection des données des citoyens de l’Espace Économique Européen d’après une directive datant de 1995. Le « Safe Harbor » permet donc sur le papier de s’assurer que les entreprises américaines respectent bien les principes légaux européens : droit d’accès et information autour du traitement, principes contraignants sur la circulation et la vente de ces données, etc.

Or, cet accord finit par tomber en 2015, lorsque la CJUE publie une décision donnant raison à un plaignant autrichien, Maximilian Schrems, qui avait porté plainte en 2013 contre Facebook, suite aux révélations d’Edward Snowden. Selon lui, le programme PRISM développé par la NSA (National Security Agency) permet aux agences de renseignement de procéder à la collecte de masse des données stockées par les entreprises américaines, y compris pour des citoyens étrangers.

Cette situation s’avère donc contraire aux principes de protection des données : Max Schrems affirme que ses droits fondamentaux en tant que citoyen de l’UE ne sont pas respectés. Lorsque la Cour de Justice Européenne rend son verdict, le Safe Harbor, en vigueur depuis les années 2000, est alors invalidé. Ce qui s’avère catastrophique pour les entreprises américaines, qui se voient alors obligées en principe, d’adopter la législation européenne pour le traitement des données personnelles issues de l’Union Européenne. C’est ce que l’on appelle désormais l’arrêt « Schrems 1 ».

Round 2 : le « Privacy Shield »

Quatre mois plus tard, en février 2016, un nouvel accord est trouvé entre le gouvernement américain et la Commission européenne : il s’agit du « Privacy Shield ». Entériné en juillet de la même année, il pose pour principe que la protection des données doit être équivalente aux États-Unis et en Europe.

L’accord prévoit notamment de réparer un tort : il permet désormais aux citoyens européens de porter plainte aux États-Unis en cas de litige portant sur le non-respect de la protection des données.

Pourtant, cela s’avère insuffisant. En 2020, et suite à l’adoption du Règlement Général sur la Protection des Données en 2018, la CJUE rend une décision similaire à celle de 2015. Elle conclut :

« Les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. […]

La décision […] de la Commission, du 12 juillet 2016 […] relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide. »

Car le compte n’y est pas sur le principal : la collecte de masse de données, et leur mise à disposition des agences de renseignement américaines sont toujours possibles dans le cadre de cet accord. C’est cette décision qui est dénommée arrêt « Schrems 2 ».

Des modèles économiques fondés sur l’illégalité

Pour avoir une idée des conséquences absolument colossales de la mise en conformité de ces applications, on peut se référer à l’analyse qui en est faite par Meta (Facebook). L’entreprise déclarait en février 2022 qu’elle serait obligée de désactiver complètement Facebook et Instagram en Europe. Dans un rapport annuel à destination de la Securities and Exchange Commission, il est précisé :

« Si nous ne pouvons pas transférer de données entre les pays et les régions où nous sommes actifs, ou si nous sommes restreints dans le partage des données entre nos produits et services, cela pourrait affecter notre capacité à fournir nos services, la manière dont nous les fournissons, ou notre capacité à cibler les publicités, qui pourrait affecter négativement nos résultats financiers. […]

Si un nouvel accord de transfert de données transatlantique n’est pas adopté et que nous ne trouvons pas […] de moyen alternatif pour transférer des données de l’Europe vers les États-Unis, il est probable que nous ne soyons plus en mesure de proposer un certain nombre de nos produits et services les plus reconnus, dont Facebook et Instagram, en Europe […]. »

Ce genre de menace fait partie de la stratégie de communication de l’entreprise, qui avait déjà menacé l’Australie et le Canada pour des affaires de droits voisins, impliquant de rémunérer (médiocrement) la presse nationale.

Mais cette fois, il s’agit moins d’une menace que d’une crainte authentique : c’est que Facebook et Instagram ne peuvent pas, sans mettre en péril leur chiffre d’affaires, se mettre en conformité avec la réglementation européenne relative à la protection des données. Elle est trop contraignante, et elle implique de trop renseigner les utilisateurs en leur demandant leur consentement.

Par exemple, la mise en conformité du site « Facebook » vis-à-vis des « cookies » aura exigé quatre ans après l’entrée en vigueur du RGPD (Règlement général sur la protection des données), de multiples mises en garde de la part des agences de protection des données européennes, et au moins une sanction par l’agence française, la CNIL, de 60 millions d’euros. Il s’agissait simplement de permettre « aux utilisateurs du réseau social facebook.com résidant en France de refuser les cookies aussi facilement que de les accepter ».

Concrètement, la question principale portait sur les « bannières à cookies » et le fait qu’elles incitaient fortement les utilisateurs à cliquer sur « accepter » pour permettre de pister un utilisateur de site en site.

Des méthodes de pistage bien plus sophistiquées existent. Mais Meta reconnaît ainsi sa dépendance à l’usage de méthodes déloyales, trompeuses, voire manipulatrices, afin de pousser les utilisateurs de Facebook et d’Instagram à renoncer à leurs droits sur les données personnelles.

L’entreprise considère en effet le moindre obstacle à sa capacité de collecte absolue de toutes sortes de données comme un danger. La régulation sur les données est par conséquent un péril existentiel. Ce que dit l’entreprise explicitement dans le même rapport :

« Nous générons en substance la totalité de nos revenus de la publicité […]. Nos revenus publicitaires peuvent également être affectés négativement par un certain nombre de facteurs dont : […]

L’efficacité de notre ciblage publicitaire, ou le degré auquel les utilisateurs choisissent ou non d’accepter l’utilisation de leurs données […] en relation avec le RGPD, la directive ePrivacy, le California Consumer Privacy Act […] qui affectent notre capacité à utiliser des données à des fins commerciales. »

Round 3 : le « Data Privacy Framework »

C’est dans ce contexte que le blocage, deux fois de suite, des protocoles permettant de transférer les données de l’Europe vers les États-Unis pose un problème de taille. Aux entreprises américaines d’abord, qui redoutent la mise en application d’une protection des données à l’européenne. Cela impliquerait des coûts de mise en conformité gigantesques. Il faudrait, par exemple, modifier les structures de gouvernance en interne, assurer le stockage des données en Europe uniquement, et bloquer la collecte systématique de données par les agences de renseignement américaines.

Aux dirigeants des États-Unis et de l’UE ensuite. Ni la Commission européenne ni les gouvernements des pays membres n’ont véritablement envie de voir entrer en application les principes de protection des données fondés sur l’article 8 de la Charte des droits fondamentaux de l’Union Européenne :

« Protection des données à caractère personnel :

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »

Ces principes ont été élargis et définis plus précisément dans le RGPD, et ont servi de base aux décisions de la CJUE pour les arrêts Schrems 1 et 2. Leur mise en application relève du mirage à l’heure actuelle, car elle nécessiterait une politique volontariste extrêmement contraignante, supposant également une rupture des relations habituelles entre États et entreprises transatlantiques.

On comprend, à l’aune de ce que Shoshanna Zuboff appelle le « capitalisme de surveillance », qu’il s’agirait de renverser les fondations du modèle économique des géants du numérique.

La chute du « Privacy Shield » appelait donc une réponse au sommet : c’est ainsi que l’on revient à cette déclaration de mars 2022 à Bruxelles, où Joe Biden et Ursula Von Der Leyen annoncent qu’ils ont un accord de principe pour résoudre cette situation « d’a-légalité ».

La méthode reste la même : une évolution juridique aux États-Unis promettant une meilleure protection des données des citoyens européens, cette fois portant sur la manière dont les données des Européens sont traitées par les agences de renseignement américaines.

Les mêmes causes produisent les mêmes effets

Et le problème reste entier. Dès l’entrée en application du nouvel accord, le 11 juillet 2023, celui-ci est remis en question. Deux procédures légales en particulier sont intéressantes à ce stade.

D’abord, celle de Philippe Latombe, député MoDem. Début septembre 2023, il annonce déposer un recours devant le Tribunal de Justice de l’Union Européenne, « en tant que simple citoyen de l’Union, et non comme député français, commissaire aux Lois et commissaire à la CNIL ». Sa démarche consistait à mettre en pause l’accord de transfert de données, sur le principe d’un préjudice personnel ou collectif. Sa demande a été rejetée le 12 octobre dernier.

Il reste donc la méthode éprouvée par Max Schrems. En 2017, après avoir fait tomber les accords transatlantiques une première fois, ce dernier lançait l’association None of Your Business (noyb) qui se spécialise dans le contentieux stratégique.

En portant plainte auprès des Agences de protection des données, son objectif est d’obliger les institutions européennes les plus réticentes (comme l’agence irlandaise) à mettre en application le volet contraignant de la réglementation autour de la protection des données, notamment avec des sanctions financières et des moratoires sur certaines activités de collecte et de traitement des données. Dans un billet publié sur le site web de noyb, l’association explique :

« Max Schrems : “Nous avons eu des ‘ports’, des ‘parapluies’, des ‘boucliers’ et des ‘cadres’, mais aucun changement substantiel dans la législation américaine en matière de surveillance. Les déclarations de presse d’aujourd’hui sont presque une copie littérale de celles des 23 dernières années. Se contenter d’annoncer que quelque chose est ‘nouveau’, ‘robuste’ ou ‘efficace’ ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n’est tout simplement pas le cas”.

Le recours devant la CJUE est prêt à être déposé. Toute personne dont les données personnelles seront transférées dans le cadre du nouvel accord peut introduire un recours auprès des autorités de protection des données ou des tribunaux. Noyb a préparé diverses options procédurales pour ramener le nouvel accord devant la CJUE. »

L’efficacité de la méthode Schrems n’est plus à démontrer : le recours qu’il s’apprête à déposer aura probablement un effet « d’ici deux ans ». Les bases légales et la situation de fait aux États-Unis demeurant les mêmes, il est probable que l’on s’achemine vers un arrêté « Schrems 3 ».

L’Union Européenne contre la démocratie de l’Europe

Ce séisme légal, dont la troisième secousse est d’ores et déjà annoncée, ne produit finalement que peu de conséquences réelles au regard de celles qui sont attendues. C’est que les institutions européennes – et dans ce cas particulier la Commission européenne – sont tout à fait disposées à sauter par-dessus les droits fondamentaux qu’elles sont censées garantir aux citoyens de l’UE au profit des intérêts outre-Atlantique, et ce sans qu’il y ait la moindre consultation démocratique.

Le journaliste Benoît Collombat et le dessinateur Denis Cuvillier en expliquent la raison dans leur enquête, sous forme de roman graphique, Le choix du chômage (1) :

« L’Europe s’est faite en suivant une méthode que l’on pourrait qualifier de despotisme éclairé – procédure parfaitement légitime, mais ancrée à la méthode démocratique par la seule existence de la démocratie à l’intérieur des États, non par un processus démocratique européen. On peut donc parler de démocratie limitée. »

Collombat et Cuvillier retracent alors la construction historique de l’Union Européenne, montrant que ceux qui l’ont bâtie partageaient un ensemble de valeurs néolibérales, progressivement hégémoniques chez les responsables européens. Cette représentation du rôle de la puissance publique et de l’État est finalement assez proche des thèses de l’un des économistes les plus reconnus du néolibéralisme, Friedrich Hayek. Collombat et Cuvillier le citent (2) :

« “L’abrogation des souverainetés nationales et la création d’un ordre juridique international efficace constituent un complément nécessaire au programme libéral.” - Londres, septembre 1939, Friedrich Hayek.

12 avril 1981. Friedrich Hayek déclare au quotidien chilien El Mercurio : “Personnellement, je préfère un dictateur libéral plutôt qu’un gouvernement démocratique manquant de libéralisme.” »

Si Le choix du chômage se concentre sur les politiques économiques de l’UE et de la France, le parallèle saute aux yeux dans le cas des accords de transfert de données transatlantiques.

Ces accords de transfert des données nous montrent alors trois choses. D’abord, ils sont explicitement et à chaque fois contraires aux principes fondamentaux de l’Union Européenne, et cela n’a aucune importance pour la Commission Européenne. Ils sont considérés comme un obstacle aux bonnes relations économiques internationales. Le régime européen de protection des données devient alors de fait celui des États-Unis.

Ensuite, la prise de décision est technocratique : aucune instance représentative n’est impliquée, et aucune consultation démocratique n’est prévue. La Commission négocie les droits des personnes qui n’ont pas été invités à la table des négociations. Enfin, la priorité est bien la mise au service de la régulation et des États à l’intérêt des marchés, en passant par-dessus les institutions nationales.

La méthode d’Ursula Von Der Leyen parle d’elle-même, qui consisterait à « sortir les gouvernements de l’UE de son processus de prise de décision et de gouverner avec un petit groupe de conseillers par décret ». Par ses choix technocratiques, la présidente de la commission se fait alors l’avatar le plus représentatif de l’idéologie de l’UE.

Photo d'ouverture : @Midjourney