L'Américaine Fiona Scott Morton a été nommée économiste en chef à la Direction générale de la concurrence par la Commission européenne. Elle se trouve directement sous l'autorité de la commissaire européenne à la concurrence, Margrethe Vestager, celle-là même qui a pour mission de combattre les pratiques anti concurrentielles des Gafam.
Ce choix suscite bon nombre d'interrogations. D'une part, on peut s'étonner qu'une Américaine, fut-elle très compétente, soit nommée haut fonctionnaire de l'Union européenne, surtout à un poste clef. N'existe-t-il pas d'économistes de talent ayant la nationalité d'un État membre ? D'autre part, Mme Morton a consacré une partie de sa riche carrière à défendre les grands groupes du secteur numérique comme Apple, Amazon et Microsoft, ce qui lui fait courir un gros risque de conflits d'intérêts. Au-delà même de ces éléments, une question plus globale se pose et on peut se demander si les groupes américains, après avoir utilisé tous les instruments de lobbying possibles pour faire prévaloir leurs intérêts auprès des bureaux n'ont pas tout simplement décidé de les occuper.
Cette malencontreuse nomination contribue évidemment au considérable déclin de l'image de l'Union européenne. Conçue à l'origine comme l'instrument d'une paix durable entre les États européens, elle apparaît aujourd'hui comme un champ de bataille entre les lobbyistes, au plus grand profit des intérêts américains.
L'affaire Morton fait sans doute passer au second plan un autre problème, finalement de même nature. La Commission européenne vient d'annoncer le 10 juillet 2023, une "décision d'adéquation" qui permet l'échange de données personnelles entre l'Union européenne et les États-Unis, à la suite d'un accord "Data Privacy Framework". Cette formule figure dans l'article 45 du Règlement général de protection des données (RGPD). Il est ainsi rédigé : "Un transfert de données
à caractère personnel vers un pays tiers ou à une organisation
internationale peut avoir lieu lorsque la Commission a constaté par voie
de décision que le pays tiers, un territoire ou un ou plusieurs
secteurs déterminés dans ce pays tiers, ou l'organisation internationale
en question assure un niveau de protection adéquat. Un tel transfert ne
nécessite pas d'autorisation spécifique". La récente "décision d'adéquation" est donc celle par laquelle la Commission constate que les systèmes juridiques européens et américains offrent des niveaux de protection des données personnelles jugés équivalents.
Mais ces niveaux de protection n'ont jamais été équivalents, ne serait-ce que parce que les fondements juridiques de la protection des données personnelles sont bien différents. Elle est régie au plan européen par le RGPD, texte impératif qui n'interdit d'ailleurs pas aux États d'adopter une législation encore plus protectrice. Aux États-Unis, la protection des données personnelles est assurée par un système de certifications et de codes de conduite auxquels les entreprises déclarent se conformer. Quant aux transferts de données effectués au profit des services de renseignement américains, ils sont demeurés très largement incontrôlés. Les citoyens européens sont évidemment victimes de cette situation, notamment ceux installés aux États-Unis qui ne disposent d'aucune voie de recours sérieuse lorsque leurs données personnelles sont captées, au nom de la sécurité nationale américaine.
Cette différence dans les standards de protection est si importante que la Cour de justice de l'Union européenne (CJUE) a déjà annulé deux décisions d'équation. Elle a été saisie à deux reprises par l'avocat autrichien Maximilian Schrems, l'un des acteurs
européens les plus engagés dans la protection des données personnelles.
Depuis des lustres, il combat inlassablement ces accords d'équivalence, sans équivalence. Et il a déjà obtenu deux victoires importantes devant la CJUE.
Schrems I et le Safe Harbor
Maximilian Schrem a contesté une première décision d'adéquation de la Commission, datée du 26 juillet 2000. A l'époque, elle trouvait son origine dans un premier accord intervenu entre l'UE et les Etats Unis, le Safe Harbor. Maximilian Schrems obtient satisfaction, et la CJUE, dans un premier arrêt du 6 octobre 2015,
rendu sur question préjudicielle, déclare cette décision non conforme
au droit européen de la protection des données, faisant en quelque sorte
exploser le Safe Harbor.
A l'époque, le recours s'appuyait sur la directive du Parlement et du Conseil du 24 octobre 1995, dont l'article 25 précisait que "les
Etats membres prévoient que le transfert vers un pays tiers de données à
caractère personnel (...) ne peut avoir lieu que si (..) le pays tiers
acquiert un niveau de protection adéquat".
La CJUE remarquait alors que le caractère "adéquat" de la protection américaine relèvait de
l'auto-proclamation. Les entreprises américaines déclaraient adhérer aux
principes du "Safe Harbor", c'est-à-dire offrir un espace de sécurité
aux données personnelles provenant de pays de l'Union européenne. Quant
au contrôle, il se faisait par certification. Il ne s'agissait cependant pas d'un système de certification par un organisme
indépendant, mais d'un système d'"auto-certification" par
laquelle l'entreprise déclarait respecter les principes généraux de
protection des données, et se contrôlait elle-même. Enfin, la captation des données par les services de renseignement américains n'était pas même envisagée.
Pas dupe sur l'efficacité du système, la Cour a donc pulvérisé le Safe Harbor. Les lobbys se sont remis au travail, et un nouvel accord a été conclu, le Privacy Shield.
That's Hell Folks. Nathalie Faintouch (née en 1965)
Schrems II et le Privacy Shield
Entrée en vigueur le 1er août 2016, une seconde décision de la Commission a déclaré l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. Aux termes de cet accord, les firmes américaines pouvaient conduire un nouveau
processus d'auto-certification et s'inscrire sur un registre géré par le
ministère du commerce américain. Les entreprises européennes étaient
alors autorisées à transférer leurs données personnelles aux firmes
figurant sur cette liste, une autre décision de la Commission prévoyant
des "clauses types" pour ce type d'échanges. C'est ce que faisait
Facebook, dont la filiale irlandaise transférait massivement les données
des abonnés européens du réseau social à la maison mère américaine.
Et précisément Maximilian Schrems veillait. Cette fois, il était en conflit ouvert avec Facebook. Invoquant les révélations d'Edward Snowden, il demandait la cessation des transferts de données personnelles de Facebook Irlande à
Facebook Etats Unis, dès lors que ces données
conservées sur des serveurs américains sont accessibles aux services de
renseignements des Etats-Unis, la NSA en particulier. Le requérant
s'appuyait une nouvelle fois sur le droit européen de l'époque, c'est-à-dire sur la
directive de 1995 sur la protection des données. Quant à Facebook, il invoquait le respect du Privacy Shield.
Saisie par Maximilian Schrems, la Grande Chambre de la Cour de Justice de l'Union européenne (CJUE) a donc invalidé, dans un arrêt du 6 juillet 2020, la nouvelle décision de la Commission déclarant l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. La seule différence avec l'arrêt Schrems 1 réside dans le fondement juridique retenu par la Cour, puisque, cette fois, le RGPD était en vigueur. Pour le reste, est surtout sanctionnée l'absence de dispositions relatives aux données captées par les services de renseignement américains. Une vague annexe II de la décision d'adéquation se borne à mentionner que des ingérences dans les données personnelles
ayant ainsi transité de l'Europe vers les Etats Unis sont possibles,
fondées notamment sur "des exigences relatives à la sécurité nationale et à
l’intérêt public ou sur la législation interne des États-Unis".
Autrement dit, les données des internautes européens pouvaient faire
l'objet d'une collecte de masse par
l'administration américaine, collecte qui, au regard du droit européen,
s'analyse comme une ingérence dans la vie privée.
Toujours pas dupe, la CJUE a donc pulvérisé le Privacy Shield comme elle avait pulvérisé Safe Harbor.
Schrems III et le "Data Privacy Framework" ?
La question de la durée de vie de la décision d'adéquation du 10 juillet 2023, et l'on peut supposer que Maximilian Schrems est déjà occupé à peaufiner son recours.
Il est toujours délicat d'annoncer le succès ou l'échec d'une requête avant qu'elle ait été déposée, et la plus grande prudence s'impose. On s'interroge tout de même sur la manière dont la Commission a géré les échecs des accords successifs, sans finalement tenir compte des observations de la Cour. Car le nouvel accord "Data Privacy Framework"n'est guère plus sérieux que les précédents. Il énonce en toute simplicité que les transferts de données pourront se faire « en toute sécurité de l'UE
vers des entreprises américaines participant au cadre », sans nécessité
de « mettre en place des garanties supplémentaires en matière de
protection des données ».
Quant à l'accès des services de renseignement américains aux données personnelles des internautes européens, la question est régie aux États-Unis par un Executive Order purement cosmétique signé par la Président Biden. Il précise qu'il sera limité à "ce qui est nécessaire et proportionné pour la sécurité nationale". En cas de litige, est prévu "un mécanisme de recours indépendant et impartial". Observons bien qu'il ne s'agit pas d'un tribunal mais d'un "délégué à la protection des libertés civiles" directement issu de la communauté du renseignement. Si celui-ci écarte la requête, l'internaute pourra se tourner vers une "Cour" composée de "membres extérieurs au gouvernement". Observons cette fois qu'il ne s'agit pas nécessairement de magistrats.
Surtout, et c'est sans doute ce qui fera le plus frémir Maximilian Schrems, l'Exécutive Order énonce que la surveillance de masse prévue par le Foreign Intelligence Surveillance Act (FISA Act) est "proportionnée" en vertu d'une "interprétation américaine" non divulguée. Or le FISA Act permet aux agences américaines de surveiller les communications des étrangers à à l'étranger... Cette "interprétation américaine" non divulguée s'analyse donc comme une gigantesque claque infligée aux Européens qui doivent accepter d'être espionnés au nom des intérêts américains. Bien entendu, la "protection équivalente" ne suppose tout de même pas que les Etats européens puissent espionner les citoyens américains sur leur sol... Il reste à se demander comment la CJUE va apprécier l'insulte.
Evidemment la question essentielle est la suivante : comment la Commission européenne a-t-elle pu accepter le "Data Privacy Framework" . Car il faut qu'il ait été signé, et ceux qui l'ont signé ne pouvaient ignorer qu'il allait à l'encontre des droits les plus élémentaires des citoyens européens en autorisant tout simplement qu'ils soient espionnés par les services américains. La réponse se trouve dans le lobbying, ce qui nous ramène évidemment au cas de Mme Morton. Les États-Unis seraient-ils en traint de faire une OPA hostile sur l'Union européenne ?