En Europe deux projets avancent parallèlement sur la question de la protection des données dans le cadre de la coopération policière et judiciaire et ont été sujets à des évolutions récentes. D’un côté, le Conseil Justice et Affaires Intérieurs de l’UE vient d’approuver sa position sur la directive relative à la protection des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales. De l’autre, aux États-Unis, la Chambre des représentants vient d’approuver le Judicial Redress Bill que les Européens ont posé comme condition fondamentale préalable à la signature de l’ “Accord Parapluie” entre l’UE et les États-Unis pour la protection des données dans le cadre de la coopération judiciaire.
Tout le monde semble être satisfait par ceux qui apparaissent comme des véritables succès en matière de protection des données et notamment par rapport aux États-Unis qui aujourd’hui ne se trouvent pas dans une position favorable dans le cadre de leurs relations transatlantiques. Mais, ces deux projets, qui devraient conduire vers une prospective de “sécurité sûre” pour les données personnelles et la vie privée des citoyens européens, se tournent-ils vraiment dans cette direction ? Beaucoup en doutent.
L’importance de l’utilisation des informations et des données personnelles dans le cadre de la lutte contre des phénomènes comme le terrorisme et la criminalité organisée n’est pas quelque chose de nouveau. Cela pas seulement en Europe et entre les États Membres, mais aussi en relation avec des pays tiers : les États-Unis par exemple. La criminalité organiseé et le terrorisme montrent aujourd’hui un fort caractère transnational et donc exigent des formes de coopérations internationales étroites, efficaces et effectives dans le domaine policier et judiciaire. Cela comporte notamment un échange presque systématique d’informations entre agences et autorités nationales en charge de ce type d’activités. Les informations et les échanges de données toutefois nécessitent d’être encadré par des règles claires et précises, afin que les dérogations aux systèmes de protection des données dont les agences et les autorités nationales bénéficient, ne violent pas les droits fondamentaux à la vie privée et à la protection des données.
Le projet européen
Le 9 octobre dernier, le Conseil des Ministres de la Justice de l’Union Européenne a adopté son orientation générale sur la directive relative à la protection des données personnelles traitées à des fins de répression pénale. Cette étape a ouvert la voie aux trilogues avec le Parlement, qui sont déjà bien avancés par rapport à l’autre volet de la réforme globale des règles européennes sur la protection des données: le règlement général de la protection des données.
La réforme vise à établir des normes minimales afin de garantir un niveau de protection des données élevé, ainsi qu’à faciliter et améliorer l’échange entre les autorités policières et judiciaires au sein de l’Union européenne. Les dispositions principales prévoient un renforcement des pouvoirs des autorités nationales de la protection des données ; un mécanisme de contrôle continu et des révisions sur les décisions d’adéquation prises par la Commission par rapport aux pays tiers ; de nouveaux mécanismes de transfert des données en dehors de l’Union et le renforcement des droits et des garanties des citoyens, surtout face au transfère de leurs données. Les Ministres et la Commissaire européenne à la justice Věra Jourová se sont félicités de cette étape et ont exprimé leur confiance dans la finalisation de la réforme avant la fin de l’année.
Est-ce que cela constitue une étape importante du voyage européen vers une “sécurité sûre” ? Pas tous en sont convaincus.
En premier lieu, des critiques sévères sont parvenues à la veille de la réunion des Ministres ;elles ont été exprimées par le député Jan Philipp Albrecht (Verts/ALE), rapporteur du projet de règlement général de la protection des données et Vice-Président de la commission libertés civiles, justice et affaires intérieures du Parlement européen. “Les gouvernements européens minent les normes communes de la protection des données” est le titre de l’article de presse du député du 8 octobre. Le message est clair : pas de félicitations, mais plutôt une dénonciation de l’attitude du Conseil.
La position commune qui doit être adoptée par les Ministres de la Justice est décevant et n’apportera pas d’améliorations à la législation actuelle” a affirmé le député, en accusant les engagement prises par les États d’être minimalistes et vagues.
Le texte approuvé permettrait trop d’exceptions en ce qui concerne le droit à l’information des personnes concernées : dans un certain nombre des cas, les États Membres seraient autorisés de ne pas informer les individus de la façon dont ils utilisent leur données. Des violations éventuelles (non majeures) pourraient même ne pas être communiquées si “le contrôleur de la protection des données a respecté les procédures requises et cela entraîne trop de charge de travail dans le cas, où ces cas de violations mineures se multiplieraient”.
Le députe continue en dénonçant la possibilité des autorités policières et judiciaires de ne pas clarifier s’ils exercent des réductions des droits majeures, ainsi que l’absence d’une différentiation explicite entre suspectes, témoins, coupables et victimes, surtout en ce qui concerne le principe de “proportionnalité dans les cas de violations de la vie privée”.
Le cadre ne semble pas respecter la vision positive et enthousiaste donnée par le Conseil et la Commission. Est-ce que ce projet se tourne vraiment vers un modèle de “sécurité sûre” ?
La chose qui est sûre en ce moment c’est que le Conseil et le Parlement ne partagent pas exactement la même vision et que leurs positions se heurtent. Les trilogues viennent de commencer et donc on attend le résultat. Selon Albrecht “le Conseil devra apporter des changements significatifs si un accord veut être obtenu”.
Le projet transatlantique
Le 20 octobre dernier la Chambre des représentants des États-Unis a approuvé le projet de loi relatif au recours juridictionnel. Cette loi, en attente elle aussi d’une approbation par le Sénat américain, vise à étendre certaines mesures de la loi américaine Privacy Ac, de 1974 aux individus des pays “couverts”, y compris les pays de l’Union.
“L’approbation bipartisane … aidera à restaurer la confiance de nos alliés par rapport aux systèmes américains de protection de la vie privée” ont affirmé le chef de la sous-commission sur le crime, le terrorisme et la sécurité intérieure, ainsi que le président et un membre de la commission judiciaire de la Chambre des représentants.
Effectivement, il y a beaucoup à restaurer après les dernières évolutions en matière de protection des données qui ont fait vaciller les relations entre l’ Europe “protectrice” et les États-Unis “libéraux”.
Le projet de loi prévoit la possibilité pour les personnes “couvertes” d’utiliser certains moyens de recours civil en ce qui concerne les données “couvertes”. Ces mesures apportent un équilibre majeur dans une situation qui n’est pas du tout équilibrée et qui est totalement en faveur des citoyens américains, déjà bénéficiaires du droit au recours judiciaire en Europe.
Toutefois selon l’analyse du texte par l’étude du département thématique du Parlement européen en matière de liberté, justice et sécurité, les garanties prévues n’arrivent pas à établir une condition tout à fait équivalente entre les droits des citoyens européens et ceux des citoyens américains.
Selon l’étude, les droits matériaux et les garanties des citoyens européens ne sont pas clarifiés dans le texte et restent “ouvertes à l’interprétation”. De plus, le système exclut toutes les données qui ne sont pas “effectivement transférées par les autorités publiques ou par des organismes privées de l’UE aux États-Unis”, donc, toutes les données prises et collectés directement par les autorités américaines.
L’étude continue en indiquant que seulement les données “transférées aux agences et composantes fédérales désignées sont couvertes” et ajoute que les règles relatives aux mécanismes de désignation prévoient une vaste gamme d’exceptions et relève de la “plus haute discrétion”. Pas tous les recours civils prévus par le Privacy Act seront disponibles aux individus couverts par le système et il semble aussi que les données ne seront pas couverts “quand le transfèrt a eu lieu avant qu’un pays [en ce cas l’Union] soit devenu un pays couvert”. Enfin, la marge d’application des nouveaux droits pourrait être ultérieurement réduit, dans la mesure où le texte du projet de loi prévoit que les droits des personnes couvertes seront “sujets aux limitations, comprenant les exemptions et les exceptions” prévues par le Privacy Act.
Est-ce que cela constitue un pas réel vers une “sécurité sûre” ? Et donc, au moment où le Sénat à son tour approuvera la loi, est-ce que on pourra effectivement annoncer un succès ?
Il faut se rappeler que l’Union Européenne n’a pas de juridiction reconnue aux États-Unis : Bruxelles ne peut pas changer les dispositions législatives américaines. Donc, même si les garanties offertes ne semblent pas complètement satisfaisantes, il conviendrait peut-être de regarder le cadre général dans lequel ce projet de loi est encadré : l’ “Accord Parapluie” que l’Union Européenne a négocié avec les États-Unis.
L’accord, finalisé au mois de septembre et présenté par la négociatrice en chef à la commission LIBE du Parlement européen, a été bien accueilli. Toutefois, les députés ont demandé l’avis des services juridiques du Parlement européen, afin d’être sûrs que les dispositions de l’accord apportent des bénéfices véritables et ne compromettent pas les règles et les accords européens, soit passés soit futurs, en matière de protection des données : qu’il s’agisse de protection effective ou de menaces à l’égard des données personnelles des citoyens européens ?
En attendant, des analyses et diverses opinions juridiques sur l’accord, dont le texte a été révélé, ont été publiées. Notamment, on fera référence à l’étude conduite par Douwe Korff, expert en droit comparatif et international dans les domaines des droits de l’homme et de la protection des données. L’étude, publiée par le Groupe d’Experts Européens en Droits Fondamentaux (FREE Group), s’ouvre en affirmant que certains aspects de l’Accord Parapluie “violent, ou sont susceptibles de violer les Traités et la Charte des droits fondamentaux de l’Union Européenne”.
L’opinion relève une faiblesse non négligeable de l’accord qui “menace de miner la protection des données des citoyens européens” et, comme cela avait déjà été soulevé par des députés pendant le débat en septembre, “plus encore celle des personnes qui ne sont pas citoyens de l’UE (tels que les réfugiés et les demandeurs d’asile, ou les personnes qui voyagent en avion vers ou à partir de l’Europe)”.
L’accord, en effet, s’étend uniquement aux citoyens américains et européens et, alors, crée une situation d’inégalité par rapport aux personnes d’autre nationalité. Cela résulte, et renforcé, du fait que l’application de la loi américaine sur le recours judiciaire, dont on a déjà parlé, n’inclue pas les citoyens en dehors de l’Union Européenne et des États-Unis.
Beaucoup d’autres défauts et failles sont dénoncés par rapport au texte de l’accord. En premier lieu les “autres autorités” ou les “tiers”, qui ne sont pas inclus dans l’accord mais auxquels il est possible de transférer les données, ne sont pas clairement identifiés et définis par le texte. Le système donc permettrait de partager les données avec les agences de sécurité des États-Unis (FBI et NSA) et aussi d’autres pays tiers, même lorsqu’elles ne sont pas “soumises à des conditions générales de protection des données”.
Aucune clause spécifique n’est prévue afin d’empêcher que les données soient ultérieurement transférées dans des situations qui ” peuvent être à la base“d’arrestations, de détentions arbitraires, de disparitions e t de tortures”.
L’analyse soulève beaucoup d’autres questions très spécifiques et ajoute que l’accord ne satisferait pas des conditions importantes prévues par la législation européenne en matière de protection des données aussi en termes de “droits des personnes concernées” ainsi que de leur accès à des recours “réels et effectifs”. Lles exigences de transparence et de contrôle ne semblent pas être aussi complètement remplies.
Même si on attend l’avis officiel des services juridiques du Parlement, ces considérations sont extrêmement importantes pour s’interroger si l’Europe s’est vraiment tournée vers une “sécurité sûre” !
Les derniers événements ont montré encore une fois que certaines actions prises par les institutions ont été condamnées par la juridiction européenne. Toutefois, on ne devrait plus attendre que les juges réparent ce que les institutions construisent. Les deux projets qui avancent ne sont pas encore affirmatifs et les discussions et les travaux en trilogue constitueront un lieu importante de débast et de réflexion. On espère sur la voie d’une “sécurité sûre”.
Paola Tavola
Pour en savoir plus
-. Transatlantic framework for data protection : additional safeguard or threat for EU citizens personal data ? http://eulogos.blogactiv.eu/2015/09/20/the-first-transatlantic-framework-for-data-protection-has-been-finalized-and-presented-to-the-libe-committee-of-the-european-parliament-additional-safeguard-or-threat-for-eu-citizens-personal-data-t/
-. Safe Harbour : faudra-t-il d’autres Max Schrems en Europe ? http://eulogos.blogactiv.eu/2015/10/13/safe-harbour-faudra-t-il-dautres-max-schrems-en-europe/
-. Goodlatte, Sensenbrenner and Conyers praise House passage of legislation to strengthen privacy protections for individuals http://judiciary.house.gov/index.cfm/press-releases?id=9455FA93-0026-4928-8D3A-DDB374D64472
-. Judicial Redress Act of 2015 https://www.congress.gov/114/bills/hr1428/BILLS-114hr1428ih.pdf
-. Communiqué de presse, Conseil justice et affaires intérieures du 9 octobre 2015
http://www.consilium.europa.eu/fr/press/press-releases/2015/10/09-data-protection/
-. Position de négociation du Conseil sur la directive en matière de protection des données dégagée le 9 octobre 2015 http://data.consilium.europa.eu/doc/document/ST-12555-2015-INIT/fr/pdf
-. Data protection : EU governments undermining common data protection standards http://www.greens-efa.eu/data-protection-14605.html
-. Analyse complémentaire du département thématique du Parlement européen en matière de liberté, justice et sécurité : A Comparison Between US and EU Data Protection Legislation for Law Enforcement Purposes http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536459/IPOL_STU(2015)536459_EN.pdf
-. EU – US Umbrella Data Protection Agreement : Detailed analysis by Douwe Korff http://free-group.eu/2015/10/14/eu-us-umbrella-data-protection-agreement-detailed-analysis-by-douwe-korff/
Classé dans:DROITS FONDAMENTAUX, Protection des données personnelles
