Accord cadre UE-US : l’Europe doit demander plus

17 octobre  2015 – Après quatre ans de négociation, un accord a été trouvé entre les États-Unis et l’Europe sur la protection des données personnelles dans le cadre de leur transfert dans un contexte pénal. Si celui-ci ne peut qu’améliorer l’état actuel de la réglementation, il reste largement perfectible et sujet à la bonne volonté politique des États-Unis.

En négociation depuis quatre ans, la Commission européenne et les États-Unis ont finalement paraphé, le 8 septembre dernier, un accord cadre (umbrella agreement) sur la protection des données personnelles dans le cadre de leur transfert à des fins de prévention et d’enquêtes dans le domaine pénal. Ce texte a été présenté en commission libertés civiles, justice et affaires intérieures (LIBE) du Parlement européen le 15 septembre. Les eurodéputés, qui seront amenés dans le futur à l’approuver ou non, semblent s’accorder sur le fait que celui-ci constitue un progrès vis-à-vis de la situation actuelle.

Ils se félicitent en effet de l’inclusion dans l’accord[1] des principes de proportionnalité, de nécessité et de limitation de la finalité (propos introductifs & art. 6). De plus, le fait que la durée de rétention des données doive être définie en fonction de ces principes est aussi vu comme une avancée (art. 12), tout comme la nécessité d’avoir l’accord préalable de l’autorité répressive dont seront originaires les données avant de pouvoir les transférer à un pays tiers (art. 7). Dernier point, mais non des moindres, les citoyens européens obtiendront enfin le droit d’aller devant le juge américain pour demander réparation dans les cas où ils considèreront avoir subi une violation de leurs droits (art. 19).

Pour autant, les protections définies dans cet accord restent largement insuffisantes[2], ne serait-ce que sur la question des organismes qui y seront soumis. Ainsi,  l’article 3 §2 exclut du cadre de l’accord tout transfert ou toute coopération entre autorités chargées de garantir la « sécurité nationale » (comprendre la NSA en ce qui concerne les Etats-Unis). En fait, il faut faire ici une distinction entre autorités répressives et autorités chargées de la sécurité nationale. Alors que les échanges de données entre les secondes ne sont (logiquement) pas soumis à cet accord dédié au contexte pénal, il reste que le texte est particulièrement flou sur la question précise des échanges entre les autorités répressives et celles chargées de la sécurité nationale. Une fois encore, il semble donc que la simple invocation de ce motif vague suffise pour sacrifier les obligations en termes de protection des données !

 


 

Une autre limite du texte concerne l’application du droit à un recours juridique qui n’est possible que dans les cas prévus par l’accord : lorsque l’accès aux données ou leur modification sont refusés ou lorsqu’elles sont illégalement et intentionnellement divulguées.

Pas question donc de contester la durée de rétention ou le traitement des données en lui-même. Ajouté à cela, les citoyens non européens mais résidant en Europe (par exemple, un réfugié syrien ou afghan ou encore un étudiant non-européen), et dont les données ont été transmises par les autorités répressives européennes à leurs homologues américains, n’ont tout simplement pas le droit à un recours auprès du juge américain. L’article 19 précise en effet que seuls les “citoyens des parties” sont concernés par ce point.

Alors que les eurodéputés se sont accordés pour demander l’avis du service juridique du Parlement pour s’assurer que la signature de l’accord n’entraînera ni une régression des droits sur le territoire européen ni n’obligera à faire des compromis sur le cadre général de la protection des données en cours de négociation, l’AEDH les encourage, plus que jamais, à tenir compte de l’arrêt sur le Safe Harbor de la Cour de Justice de l’Union européenne et à ne rien céder sur les droits des citoyens ! D’autant plus que, selon Viviane Reding, le Département américain de la justice défendait, dès le lendemain de l’accord, l’idée que les autorités américaines devraient avoir un droit d’accès direct aux données détenues par des entreprises privées et stockées sur un sol étranger, Europe inclue. Si les États-Unis n’ont d’ores et déjà pas la volonté politique de respecter les voies légales existantes, cela vaut-il réellement la peine de signer un accord qui se cantonne au strict minimum ?

 

Pour aller plus loin:

Analyse du texte par l’Académie européenne pour la liberté d’information et la protection des données.

Analyse du texte par le Fundamental Rights European Experts Group (PDF ou HTML)

Article de Jennifer Baker sur The Register

Vidéo des débats en commission LIBE.

Texte de l’accord mis à disposition par Statewatch.

Five things you should know about the EU-US Umbrella Agreement, Access



[1] Le texte de l’accord n’a pas été publié officiellement par les institutions. Cet article se base donc sur le texte publié par Statewatch.

[2] Pour une liste plus complète des insuffisances de ce texte, y compris parmi les « avancées » précédemment citées, se rapporter notamment à l’analyse complète réalisée par le Fundamental Rights European Experts Group.