Par Véronique Chapuis
Directrice Programme d’Intelligence Juridique Ecole de Guerre Economique. Enseignante en Intelligence Juridique. Fondatrice LEX Colibri
La Présidente de la Commission Européenne, Ursula von de Leyen et le Président des États-Unis sont convenus le 26 mars 2022 d’un accord de principe pour remplacer le Privacy Shield invalidé en 2020, afin de faciliter les transferts de données personnelles entre l’Europe et les États-Unis #. La fin d’une insécurité juridique pour les multinationales est mise en avant mais c’est au détriment d’autres éléments de contexte – notamment politique et économique – qui ont leur importance. En effet, les États-Unis ont-ils profité de ce déplacement pour ajouter cette question « juridique » récurrente à un agenda déjà chargé ? Cette matière première que sont les données personnelles, particulièrement importante vu les intérêts économiques présents et futurs qui y sont attachés, rentre-t-elle dans une équation plus globale justifiant cet accord qualifié « d’accord surprise » ? Quel sort lui-est-il réservé ? Il est vrai que protection des données personnelles a été malmenée ces dernières années au gré de conflits de lois. La guerre de la Russie contre l’Ukraine va-t-elle contribuer à rapprocher des visions contraires ?
Données personnelles, des enjeux de taille
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable selon la CNIL #. Les enjeux économiques de leur exploitation sont considérables. Cette exploitation permet de créer et d’enrichir des bases de données, de développer l’Intelligence Artificielle, d’inventer de nouveaux produits et services etc. Le Cigref souligne que « La donnée est au cœur des priorités stratégiques des entreprises. La donnée est partout, ses sources sont multiples, provenant à la fois des entreprises, des individus, des puissances publiques, voire des machines elles-mêmes. La donnée circule, se reproduit, se stocke, s’agrège, se corrèle ; elle devient la matière première de nombreux métiers et la raison d’être de nouveaux marchés, témoignant d’une tendance généralisée qui est la data driven economy (l’économie guidée par les données). » Rapport Cigref. L’activité des GAFAM et de toute une industrie de produits et services dans divers secteurs est basée sur cette exploitation des données personnelles. Le Cloud Act, Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (H.R. 4943), loi fédérale américaine votée en 2018 qui donne, sous certaines conditions, un droit d’accès au gouvernement américain, aux données détenues par des acteurs américains, a montré que les données personnelles étaient également un enjeu politique. C’est donc un enjeu de taille pour les États-Unis dont l’expansion est freinée par des mesures protectionnistes européennes comme le montre les tentatives successives d’accords.
Une succession insatisfaisante de boucliers de protection des données personnelles
L’Union Européenne et ses pays membres limitent l’exploitation des données personnelles (Normes simplifiées CNIL) et organisent leur protection. Mais les modalités de cette protection se sont avérées insuffisantes comme le montre la succession d’invalidations d’accords organisant le transfert de données de l’Union Européenne vers des pays étrangers :
L’accord Safe Harbor a été invalidé par la Cour de Justice de l’Union Européenne le 6 octobre 2015 Arrêt C‑362/14 au motif principal que « …la protection des données transférées aux États-Unis n’était pas assurée à cause de la surveillance de masse pratiquée par la NSA américaine révélée par l’affaire Edgar Snowden ». L’accord Privacy Shield a été invalidé par la même Cour de Justice de l’Union le 16 juillet 2020 dans l’arrêt Schrems II « … en raison du degré d’interférence créé par la loi des États-Unis avec les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. » Concrètement, les Européens doutaient de la capacité des entreprises américaines à s’opposer à une demande du Gouvernement américain d’accès aux données (Schrems II : répercussion française). Suivant la recommandation du Comité Européen de Protection des données (CEPD), de nombreuses entreprises ont eu recours aux Binding Corporate Rules qui sont des « modèles de clauses contractuelles de protection de données » également dénommés « règles d’entreprise contraignantes BCR par la CNIL ». Mais ces règles s’avèrent insuffisantes pour des projets intégrés tels que celui du Health Data Hub où Microsoft avait été sélectionné comme fournisseur pour collecter et héberger les données de santé françaises (Health Data Hub et Microsoft). Certaines entreprises ont recours à des montages plus intégrés avec la création de co-entreprises comme dans le cas de Microsoft/Orange/Capgemini et Thales/Google soulignés par l’Usine Digitale.
Des visions difficiles à concilier
Les visions des États-Unis et de l’Europe sont divergentes. Pour ne pas avoir un panorama désaxé, il est utile de considérer également la vision de la Chine. Les États-Unis voient les données personnelles comme des biens marchands qui peuvent être vendus et achetés par celui qui les détient. L’Union Européenne considère, au contraire, que les données personnelles sont des biens privés dont l’exploitation est soumise à l’autorisation de leurs propriétaires. Pour la Chine les données personnelles sont, avant tout, un enjeu de politique intérieure et de protection vis-à-vis des influences extérieures.
Concrètement, l’enjeu majeur réside pour l’Union Européenne dans la protection des libertés et droits fondamentaux des personnes physiques, et notamment de leur vie privée. Par conséquent, la politique et l’éthique doivent jouer le rôle de garde-fous pour empêcher les dérives possibles d’exploitation se des données personnelles. Mais jouer ce rôle nécessite une préparation reposant sur tous les paramètres. Se limiter au paramètre « juridique » ne permet pas d’intégrer les enjeux de démocratie, de souveraineté et d’économie nécessaire à la construction d’une politique globale qui réponde autant aux besoins des citoyens et des états que des entreprises comme le montrent les montages évoqués ci-dessus. Une approche 360 et a priori est nécessaire.
Une politique à construire avec une approche 360 – a priori
Le processus d’élaboration des accords de protection pose question car il montre que :
- Les accords conclus n’apportent pas une protection nécessaire et suffisante conforme aux règles et aux valeurs de l’Union Européenne en matière de données personnelle ;
- Ces accords ne tiennent pas compte des besoins des acteurs économiques qui doivent trouver des solutions juridiques pour contourner les limites règlementaires ni des rapports de force des acteurs en présence ;
- In fine, c’est la Cour de Justice de l’Union Européenne qui assure la protection des valeurs européennes via des décisions qui invalident a posteriori des accords passés par l’Union Européenne ;
- Les invalidations a posteriori créent une insécurité économique et juridique pour les citoyens comme pour les acteurs économiques.
Ce cycle de construction gagnerait à inclure « en amont » des analyses « croisées » des paramètres politiques, économiques, industrielles et juridiques :
- « En amont » : sans impacter la répartition des pouvoirs des instances Européennes ni leurs conditions de saisine, les recommandations de la Cour de Justice Européenne seraient utiles à recueillir en amont, c’est à dire lors de la conception d’un accord, pour limiter les risques d’invalidation par la suite. Bien sûr, cela n’empêcherait pas tout justiciable d’introduire un recours par la suite. L’utilité d’une implication a priori avait été montrée également dans le cas du Health Data Hub où le Conseil d’État et la CNIL avaient invalidé a posteriori le choix du fournisseur.
- « Croisé » : les analyses et négociations coexistent sur des lignes parallèles qui s’ignorent car certains sujets sont constitutionnels alors que d’autres relèvent de la justice, quand d’autres encore concernent les politiques industrielles et économiques, comme le souligne Jean-Noël de Galzain. La réalisation d’une étude d’impacts pourrait constituer le vecteur de croisement dont l’objectif serait de vérifier l’adéquation d’un projet d’accord aux besoins éthiques, politiques et économiques.
L’Union Européenne est un marché dit de « taille critique » qui devrait avoir le pouvoir d’imposer sa vision sur les données personnelles avec les protections juridiques qui y sont associées. C’est un enjeu de société majeur qui devrait être débattu et réglé en toute transparence en espérant que les données personnelles ne deviennent pas, dans le contexte actuel, une variable d’ajustement au même titre que l’approvisionnement en gaz. Un black-out sur la démocratie ou sur les libertés individuelles, serait, lui, plus difficile à régler que la question du chauffage des citoyens européens.