Protection des données par l'UE : de qui se moque-t-on ?

Tel est le nom de l’arrêt rendu par la Cour de Justice de l’UE, le 16 juillet 2020, qui a invalidé le contenu du privacy schield, le bouclier « protecteur de la vie privée » élaboré quatre ans plus tôt conjointement par l’UE et les États-Unis. Le nom de cet arrêt est celui d’un avocat autrichien Max Schrems, qui s’est fait une spécialité de ces questions.

À l'époque, la CJUE avait considéré que l’accès de la CIA, de la NSA et des autres agences américaines de renseignement aux données européennes était bien trop aisé juridiquement pour être déclaré compatible avec la Charte des droits fondamentaux de l'UE. La Cour avait également affirmé que les moyens de recours des particuliers contre ces pratiques abusives étaient tout à fait insuffisants. Pour ces deux raisons, elle avait donc révoqué le feu vert de la Commission européenne concernant le privacy shield, feu vert qui faisait des États-Unis un partenaire « fiable » dans l’échange de données...

La lutte contre ce qu’il faut bien appeler les compromissions transatlantiques de l’exécutif européiste sur la question des transferts de données, peut en effet être livrée sur le plan juridique, quand l’échelon politique se révèle défaillant. Schrems était déjà parvenu à faire invalider par la CJUE en 2015 le dispositif précédent, dont l’appellation doucereuse — Safe harbor — avait à elle seule de quoi susciter la méfiance. Le privacy shield conçu pour lui succéder a donc été victime d’une invalidation comparable il y a deux ans.

Depuis, les négociations ont avancé laborieusement jusqu’au printemps dernier, où la Commission européenne a annoncé, enthousiaste, qu’un nouvel accord avait été trouvé, mais sans en dévoiler le contenu. Il a fallu attendre ces derniers jours pour que la partie américaine se décide à en préciser l’essentiel dans le cadre de l’ordre exécutif du Président Biden rendu public le 7 octobre dernier.

Il faut retenir de ce texte deux points principaux, qui tentent de répondre aux griefs de la CJUE concernant le privacy shield : celui de la proportionnalité et celui des recours.

Quand la Maison-Blanche ne doute de rien

Le moins que l’on puisse dire, c’est qu’il n’y a guère d’éléments de nature à rassurer la CJUE et les citoyens européens dans l’ordre exécutif de la Maison-Blanche. La question de la proportionnalité suffit à elle seule à le démontrer.

Le premier terme concerne le rapport entre la collecte des données de particuliers européens par les services de renseignement états-uniens, et le respect dû à la Charte des droits fondamentaux de l’UE. Les auteurs du texte s’échinent certes à convaincre de la pureté de leurs intentions : la collecte de données privées doit ainsi être conduite « sur une échelle et d’une façon proportionnées à une priorité officiellement entérinée en termes de renseignement, dans le but d’atteindre une balance équitable » entre cet impératif sécuritaire et « son impact sur la vie privée et les libertés civiles de toutes les personnes, sans distinction de nationalité ou de lieu de résidence ».

Quiconque connaît les dérives et les abus systématiques auxquels se sont livrés les services américains depuis le 11 septembre 2001 sera tenté d’accueillir avec scepticisme ce genre de formule. Quiconque se souvient que ces pratiques ont même revêtu un caractère légal, dès 2001 avec le Patriot Act, se convaincra sans peine du caractère purement formel de ce type d’engagement.

La suite du texte, de toute façon, a de quoi déniaiser les plus ingénus, puisqu’elle ne contient rien moins qu’une justification tout à fait assumée de l’arbitraire politique auquel le traitement des données peut être soumis à chaque instant sur le sol américain : la liste des douze « objectifs légitimes » que peuvent poursuivre les services de renseignement dans le cadre de leur piratage officiel de données n’étant pas suffisamment longue, il est ainsi précisé à sa suite que « le Président peut autoriser des mises à jour de cette liste d’objectifs à la lumière de nouveaux impératifs de sécurité nationale ». De surcroît, « le Directeur national du renseignement peut communiquer officiellement les mises à jour de cette liste d’objectifs […], à moins que le Président ne décide qu’agir de la sorte pourrait constituer un risque pour la sécurité nationale des États-Unis ».

Difficile d’être plus clair ; les autorités américaines affirment donc pour commencer leur attachement à de grands principes libéraux, pour expliquer ensuite qu’elles les fouleront aux pieds aussi souvent et aussi secrètement qu’elles l’estimeront nécessaire.

Comment peut-on croire que de telles affirmations seront déclarées, de ce côté-ci de l’Atlantique, compatibles avec la Charte des droits fondamentaux de l'UE ? L’impudence déboutonnée de Washington s’y exhibe sans pudeur, comme si les États-Unis n’avaient pas à douter de la soumission finale de Bruxelles...

Une Commission et des États complaisants

Il faut dire que l’attitude de l’actuelle présidente de la Commission européenne a de quoi combler d’aise les dirigeants américains. Avec Ursula von der Leyen, l’exécutif communautaire atteint des sommets en matière d’atlantisme, c’est-à-dire de soumission enthousiaste aux intérêts stratégiques états-uniens. Elle a ainsi accueilli avec un plaisir non dissimulé l’ordre exécutif du Président Biden, s’affirmant convaincue par son contenu, résultats de négociations « intensives » entre ses équipes et celles de la Maison-Blanche.

I welcome @POTUS signing the executive order for a new 🇪🇺🇺🇸 Data Privacy Framework.

An important step forward for better data protection for citizens and more legal certainty for businesses - on both sides of the Atlantic!

Now we will get to work on the adequacy decision. https://t.co/ZWxTX4Vwke

— Ursula von der Leyen (@vonderleyen) October 7, 2022

Aussi a-t-elle décidé d’élaborer dès maintenant un projet de décision d’adéquation et d’engager sa procédure d’adoption. De la part d’une personne récompensée en novembre dernier d’un Distinguished Leadership Award par l’Alantic Council pour « son attachement à préserver les liens transatlantiques », un tel empressement n’a rien d’étonnant. Elle avait alors précisé dans son discours de remerciement, qu’elle se définissait comme « une citoyenne européenne et transatlantique ». Si la formule n’a aucun fondement juridique, elle exprime nettement un rapport au monde particulier, l’illusion d’appartenir à une communauté unissant les deux rives de l’Atlantique sur un mode transnational, entérinant dans les faits la subordination volontaire des États de l’UE au grand frère américain.

Il est à douter, cependant, que les États et les citoyens de l’UE aient quoi que ce soit à gagner avec ce nouvel accord en gestation. S’il est fort probable qu’à terme, une nouvelle procédure n’oblige la CJUE à annuler le texte qui en résultera — les mêmes causes produisant les mêmes effets —, il serait souhaitable qu’avant d’en arriver là, les États, dans un réflexe salutaire, s’opposent à l’adoption de l’accord. En 2016, quatre d’entre eux avaient refusé le texte : la Croatie, la Slovénie, la Bulgarie et l’Autriche.

Seront-ils plus nombreux dans quelques mois lorsqu’il faudra prendre une décision au sujet de son successeur ? C’est extrêmement peu probable : entre la volonté de trouver un cadre juridique stable à ces transferts de données et la crainte d’abîmer le lien transatlantique en plein conflit russo-ukrainien, la plupart des dirigeants trouveront sans aucun doute préférable de brader les intérêts numériques de leurs États aussi légèrement qu’ils bradent depuis six mois leurs intérêts énergétiques.

Au demeurant, au-delà des seules considérations juridiques, cette question s’inscrit dans le cadre beaucoup plus vaste de la géostratégie des États de l’UE, dont l’affaissement face aux États-Unis a pris de longue date une dimension structurelle, que peu de gens s’autorisent à questionner en haut lieu. Car cet affaissement est le plus souvent consenti spontanément par les responsables politiques et par une frange de l’opinion publique, la fascination persistante pour « l’Amérique » rendant acceptable, et même souhaitable, la sujétion géopolitique.

Bien sûr, il arrive que nos responsables constatent parfois les aspects désagréables de cette sujétion. Parfois se résignent-ils même à l'idée que la dépendance aux GAFAM a des implications géostratégiques. Mais bizarrement, dès qu'il s'agit, pour préserver une liberté d'action, d'aborder les enjeux d'indépendance et de souveraineté vis-à-vis de Washington, nos responsables manquent à l'appel...

Peut-être une prise de conscience est-elle cependant en train de naître en France, nos dirigeants ayant apparemment manifesté le souhait de faire quelques pas sur la voie de l’émancipation. En témoignent les récentes décisions prises par le gouvernement à propos du cloud souverain et de son développement : après avoir annoncé l’an dernier qu’il s’en remettait à Google et à Microsoft, il vient d’opérer, semble-t-il, un changement salutaire à 180°. Mais force est de constater que rien n'est encore acquis à ce sujet.

Photo d'ouverture : Tweet de la Commission Européenne, Executive Order de la Maison-Blanche, 10 octobre 2022, @Twitter

Signaler une erreur

Politique International Relations Internationales Lois et Décrets Souveraineté Souveraineté Numérique Article France Europe