Sans sourciller, comme ça, presque entre deux portes, la Commission de Bruxelles vient d’autoriser le transfert des données personnelles des Européens vers les États-Unis. Qui a bien négocié ? Et qui a fermé les yeux ? Et, surtout, est-il trop tard pour faire machine arrière ? Marianne fait le point sur le dossier, alors que la Commission européenne a lancé en décembre dernier un processus d’adoption de la décision d’adéquation* concernant le cadre de protection des données entre l’Europe et les USA. Emmanuel Maurel y revient longuement sur ce dossier.
Qu’est-ce qui a poussé Ursula von der Leyen, présidente de la Commission européenne, à passer un accord avec Joe Biden, en septembre, pour que les données personnelles de tous les Européens soient transférées aux États-Unis ? « Cela fait partie des choses que l’on ne s’explique pas, assure Emmanuel Maurel, député européen rattaché au groupe de gauche. Cet accord ne respecte pas le RGPD [Règlement général sur la protection des données] et nous pensions que les Allemands, qui sont très tatillons en matière de droit, s’y opposeraient. Ne mentionnons pas la France, qui parlait d' »autonomie stratégique », d' »indépendance industrielle » et de “cloud européen”. »
Côté américain, l’appropriation de ces données, de tous les éléments se rapportant à notre vie publique comme privée, fait sens. Les Gafam comme les sociétés d’Elon Musk réclament – pour bâtir le nouveau monde de l’intelligence artificielle, qui doit prédire les besoins des individus et, parfois même, les inventer – de disposer des données personnelles d’un maximum d’individus. « C’est l’or noir de ces sociétés : sans lui, Musk ne peut pas construire son rêve poursuit notre eurodéputé. Joe Biden a considéré – c’est tout à fait certain – que les intérêts économiques des Gafam prévalaient sur tout le reste. Il y a forcément un lien entre cet accord et le lancement de cette “intelligence artificielle”. »
Côté européen, l’abandon de cette souveraineté numérique ne répond à aucune logique, au regard des engagements pris, sauf si l’on applique la nouvelle clé de compréhension issue de la guerre russo-ukrainienne. « La Commission européenne, dans sa très grande majorité, considère que l’on a besoin du soutien des États-Unis non seulement pour aider les Ukrainiens, mais aussi pour nous protéger, estime Emmanuel Maurel. Il convient, dès lors, d’être solidaire de leur politique dans tous les domaines. Quitte à prendre des dispositions irréversibles en remettant les questions de fond à plus tard ! » Les pays scandinaves, les pays de l’Est, proches géographiquement de la Russie, sont sur cette ligne, comme l’Italie de Giorgia Meloni, qui se fait d’autant plus atlantiste qu’elle veut légitimer son gouvernement, dominé par l’extrême droite. « N’oublions pas non plus que ce pays – comme l’Allemagne – compte sur les États-Unis pour suppléer ses besoins en gaz » renchérit Philippe Latombe, député MoDem.
ADIEU LE CLOUD EUROPÉEN
Les entreprises européennes participent également de ce soutien à la politique économique américaine. La SAP SE, société allemande en pointe dans le domaine du progiciel, veut développer ses relations avec les sociétés américaines dont elle est le fournisseur. « Elle pèse d’autant plus fort sur son gouvernement que l’Allemagne fonctionne en écosystème ouvert avec ses entreprises, à la différence du système français, où tout cela est plus feutré » considère Philippe Latombe. Et le français Thales, qui vient de racheter OneWelcome, un logiciel de gestion des identités et des accès clients, outil essentiel dans le monde de la cybersécurité, serait aussi favorable à l’accord Biden-von der Leyen. Une société de cybersécurité doit théoriquement exploiter le plus de données personnelles possible pour être efficace. Si l’on sait que 42 % des entreprises françaises sont dotées aujourd’hui d’un système de protection cyber et que 72 % le seront dans dix ans, la position de Thales s’explique mieux. « N’oublions pas non plus que Thales a passé un partenariat avec Google pour créer un cloud de confiance, ce qui condamne la naissance d’un cloud européen pourtant appelé de ses vœux par Emmanuel Macron. Le mal était déjà fait » tranche Emmanuel Maurel. Cap Gemini et Orange, qui ont également passé un accord avec Microsoft en vue de créer un cloud de confiance, ne sont pas non plus hostiles à cet arrangement. Pour leur défense, ces sociétés françaises assurent qu’elles conserveront la maîtrise de la clé d’accès à nos données.
Isolée sur la question, la France reste donc bien silencieuse sur ce dossier crucial. Thierry Breton, commissaire au Marché intérieur, que l’on a vu plus bavard sur le sujet, n’a pas fait connaître sa position. On sait seulement qu’il ne veut pas participer aux négociations informelles menées par Valdis Dombrovskis, commissaire en charge de l’Économie et du Commerce, et par la vice-présidente chargée du Numérique, Margrethe Vestager, avec les Américains Antony Blinken, secrétaire d’État, et Gina Raimondo, secrétaire au Commerce. Breton ne cautionnerait pas ces rencontres, qui se déroulent en dehors de tout mandat délivré par les États membres. Un peu de courage politique ne nuirait pas. Il est tout de même question de commerce mondial, de normes technologiques et d’administration des données. Rien ne semble donc contrarier l’adoption, au début de 2023, d’un accord dit « d’adéquation » sur le transfert des données. Celui-ci sera d’autant plus facile à mettre en œuvre qu’il ne répond pas, contrairement à un accord commercial, à la règle de l’unanimité.
Le terme « adéquation » prête d’ailleurs à sourire, car il suggère qu’il puisse y avoir convergence entre le droit américain et le droit européen. Ce qui n’est pas le cas. Cela provoque donc des réactions. Ainsi, Maximilian Schrems, l’avocat autrichien qui a fait invalider par la Cour de Justice de l’Union européenne (CJUE) deux accords précédents passés avec les États-Unis sur le même thème, le « Safe Harbor », en 2015, et le « Privacy Shield », en 2020, déclare : « On a vraiment l’impression que la Commission européenne prend sans cesse des décisions identiques sur la question, en violation de nos droits fondamentaux s’emporte le défenseur européen de la vie privée, fondateur de l’association None of Your Business (« Ce n’est pas votre affaire »). Je ne vois pas comment tout cela pourrait survivre à l’examen de la Cour de Justice. C’est un peu comme si les banques suisses vous disaient : “Donnez-nous votre or”, et que, une fois que vous leur auriez transféré, elles vous informeraient que vous n’avez plus aucun droit dessus car vous êtes étranger. » Me Schrems précise en guise d’explication : « Nous avons un conflit de juridictions : l’une, européenne, qui demande la protection de la vie privée ; et l’autre, américaine, qui prône la surveillance. Les sociétés qui gèrent les centres de données sont broyées entre les deux systèmes. » Et le député européen Emmanuel Maurel de renchérir : « Depuis l’adoption du Patriot Act, nous ne sommes plus certains que nos droits fondamentaux soient respectés par les États-Unis. Nous n’avons pas, avec les Américains, la même notion de ce que l’on appelle la sécurité. Nous n’avons pas, en conséquence, assez de garanties sur les protections et les droits de recours. Aux États-Unis, quand vous saisissez la justice sur ces problèmes de protection de données, vous devez saisir au préalable un médiateur, qui est un fonctionnaire des services des renseignements. » Me Schrems prédit : « La surveillance de masse va continuer, mais, à la fin, l’opinion de la CJUE l’emportera et tuera une nouvelle fois cet accord. »
LE PIÈGE PARFAIT
Le temps de la justice n’étant pas, et de très loin, aligné sur celui des technologies, 90 % des données personnelles des Européens auront été transférées aux États-Unis quand la Cour rendra son verdict. C’est le piège parfait, celui qui ne laisse aucune échappatoire, mais donne l’impression qu’on nous a donnés, à nous, les Européens, notre chance. Il sera alors certain que les entreprises du Vieux Continent ne voudront plus changer leurs modes de fonctionnement, leurs codes sources, investir du temps et de l’argent pour rapatrier et gérer les données personnelles. « C’est pourquoi je demande que des préconisations soient prises au moment où nous saisirons la Cour afin d’empêcher que le transfert des données soit irréversible, souhaite Emmanuel Maurel. À écouter les députés, aussi longtemps que le conflit russo-ukrainien perdurera, cela ne pourra pas être le cas. »
ON NE BADINE PAS AVEC LE CONSENTEMENT
Accepter de partager ses données personnelles, c’est permettre à des entreprises de connaître l’intégralité de sa vie. Famille, réseau d’amis, déplacements, loisirs, situation médicale, maritale, tout peut être connu à partir de la géolocalisation, de l’historique de recherche, de la lecture des courriels comme des messages postés sur les réseaux sociaux. Sur le marché mondial des données personnelles, ces informations ont un prix. Les sociétés qui les achètent les utilisent pour vendre de la publicité, des produits ou pour influencer des choix culturels et politiques. En acceptant l’installation de cookies, c’est-à-dire de fichiers espions, l’internaute autorise que sa personnalité, sa vie dans toutes ses composantes, soit vendue aux enchères à des sociétés qui vont la monnayer. L’obtention du consentement exigé par le Règlement européen sur la protection des données est la seule garantie dont l’internaute dispose. Google avait installé sur les 310 millions de téléphones Android un identifiant unique facilitant l’envoi de publicités ciblées sans que les internautes puissent s’y opposer, mais la firme de Mountain View a dû renoncer à l’exploiter pour respecter le droit européen, suffisamment exigeant en la matière. En janvier 2022, la Commission de la protection de la vie privée, autorité belge de protection des données, dont la décision s’impose à toutes les Cnil en vertu du principe du « guichet unique », a exigé que le consentement de l’internaute ne soit pas obtenu par défaut, sans que celui-ci soit clairement informé. Si tel est le cas, toutes les données recueillies à son insu doivent être supprimées.