Accord Privacy Shield: suite et certainement pas fin

Photo Bernard Goldbach (licence CC)

Le 12 juillet dernier, la Commission européenne a adopté l’accord Privacy Shield de protection des données entre l’Union européenne et les Etats-Unis.

Nous avions déjà manifesté les craintes que nous inspirait ce projet (DP 2114, 2116 et 2120). Elles ont été confirmées par la dernière version qui ne diffère pratiquement pas du document présenté ce printemps.

Joe MacNamee, le directeur de l’ONG European Digital Rights qui suit de très près ce dossier, espère maintenant son annulation par la Cour européenne de justice, comme précédemment pour l’accord Safe Harbour. L’accord prévoit en effet que les Etats-Unis pourront surveiller, et donc s’emparer, des données européennes lorsque la «sécurité nationale» est en cause ou lorsque «l’intérêt public» l’exige, des notions particulièrement floues et sujettes à toutes les interprétations. Une collecte massive et indiscriminée de données européennes reste une option si des informations précises ne peuvent être récoltées dans un cas relevant de ces notions floues de sécurité nationale et d’intérêt public.

Le groupe des autorités nationales de protection des données, dit «G29», a émis un communiqué très dubitatif. L’accord prévoit qu’en cas de plainte d’un individu, l’autorité de régulation des données de son pays traitera avec le département fédéral du commerce américain pour résoudre le litige. En cas de désaccord persistant, un mécanisme d’arbitrage, dont le texte du traité ne dit rien, sera mis en place.

Le communiqué de presse annonçant l’accord comprend une phrase assez ahurissante qui vaut d’être reproduite: «Redress possibility in the area of national security for EU citizens’ will be handled by an Ombudsperson independent from the US intelligence services.» Inutile de préciser que ce communiqué n’existe qu’en anglais. Il indique donc que l’ombudsman – qui sera désigné par qui? comment? pourquoi faire? nul ne le sait pour l’instant – sera indépendant des services de renseignement américains, ce qui semble être la moindre des choses. Mais si le communiqué éprouve le besoin de le préciser, c’est que le poids des dits services, la NSA sans doute pour l’essentiel, pèse vraiment lourd dans l’élaboration du texte.

Notre pays ne semble pas concerné par un accord entre l’Union européenne et les Etats-Unis. Nous avions écrit voici quelques mois que la Suisse était condamnée à en reprendre les termes tels quels, tant on imagine mal un traité spécifique entre la Confédération et les USA. Mais la donne a quelque peu changé. Le Brexit va-t-il modifier l’attitude du Royaume-Uni? Après tout, l’accord a été conclu après le vote britannique, mais on sait aussi les liens très étroits entre les services secrets de la couronne et ceux des Américains depuis 1946. Par ailleurs, une cour d’appel américaine vient de donner raison à Microsoft, qui refusait de transmettre aux autorités des Etats-Unis des données stockées sur des serveurs en Europe.

Bref, ce dossier particulièrement opaque et complexe de la protection des données personnelles vis-à-vis des Etats-Unis, de leur gouvernement et de leurs entreprises connaîtra probablement d’autres rebondissements. Dès lors, il est sans doute urgent d’attendre. Pour une fois, la réserve et l’attentisme de la diplomatie suisse s’avèrent incontestablement des atouts.