L’Union européenne aurait pu profiter du renouvellement de la loi sur l’espionnage, aux États-Unis, pour imposer plus de garanties pour les Européens et leurs données, massivement accessibles aux agences fédérales de renseignement. Mais l’occasion a été manquée, regrette Max Schrems, célèbre juriste autrichien à l’origine des arrêts « Schrems 1 » et « Schrems 2 », que nous avons interviewé. Celui qui a fait tomber les accords américano-européens de transferts des données estime que ce schéma risque de se répéter pendant longtemps, de quoi lui faire dire qu’à ce rythme, « on aura un Schrems 6, ça durera jusqu’à ma retraite ».
L’Europe a-t-elle laissé passer l’occasion de mettre fin à l’accès disproportionné des agences de renseignement américaines à nos données personnelles ? La réponse est clairement « oui »pour Max Schrems, le juriste autrichien à l’origine des invalidations des accords transatlantiques de transferts de données vers les États-Unis. L’occasion était pourtant bien là : la section 702 de la FISA (pour « Foreign Intelligence Surveillance Act »), la loi américaine qui permet aux agences fédérales d’accéder aux e-mails et aux appels téléphoniques des individus résidant à l’étranger, expirera le 31 décembre prochain. Aux États-Unis, le débat sur la prolongation de cet outil des services secrets échauffe les esprits depuis des mois : faut-il oui ou non renouveler ce texte présenté comme un moyen de sauvegarder la sécurité nationale et de lutter contre le terrorisme, malgré la succession de différentes « affaires » ?
Car des affaires, il y en a eu plusieurs ces dernières années. Les premières, américano-américaines, pourraient se résumer ainsi : au lieu de se cantonner à être un moyen d’espionner des étrangers, la section 702 se serait transformée en outil d’espionnage intérieur, aussi utilisée, par ricochet, pour surveiller des citoyens américains, regrettent des associations de défense des droits civils. Les secondes nous concernent directement : c’est le même texte qui a convaincu la cour de justice de l’Union européenne (CJUE) d’annuler, en juillet 2020, l’accord transatlantique sur les données vers les États-Unis, une action qui avait été initiée par Max Schrems et son association Not of your business (NOYB).
Car cette section 702, en autorisant un accès massif et sans distinction aux données personnelles des Européens, ne permet pas aux citoyens du Vieux continent visés d’avoir des « garanties suffisantes ». Comprenez : un même niveau de protection que celui prévu par le Règlement sur les données personnelles (RGPD) en Europe. A savoir une information préalable, le contrôle d’un juge lorsque des données sont consultées, la possibilité de faire appel. En filigrane, la CJUE demandait donc aux Américains de changer leur loi – cette section 702 et un décret présidentiel – pour accorder plus de droits aux Européens.
À lire aussi : Pourquoi le transfert de vos données personnelles aux États-Unis est un incroyable casse-tête
« Si vous n’êtes pas citoyen américain, vous n’avez aucun droit »
Pourtant, dans les débats américains de ces derniers mois, cette « partie européenne du problème » est à peine évoquée. Cela n’a rien de surprenant pour Max Schrems. Le trentenaire explique, résigné, que la section 702 repose sur une distinction entre les citoyens américains qui ont tous les droits (l’écoute est, par exemple, seulement possible si elle est encadrée par un juge) et les autres, les ressortissants étrangers. « Si vous n’êtes pas citoyen américain, vous n’avez aucun droit. Cela fait partie de leur constitution. Et aucune discussion n’est possible à ce sujet. Il est vraiment difficile d’expliquer à quiconque aux États-Unis que cette idée est un peu anachronique, et pas vraiment compatible avec le fonctionnement d’Internet. Parce qu’en général, vos données se trouvent toujours quelque part dans un pays où vous n’êtes pas citoyen ».
Il existait pourtant un moyen de faire bouger les lignes, poursuit-il : « Que les autorités européennes en charge des données personnelles appliquent les décisions de justice ». Depuis juillet 2020, le « Privacy Shield », l’accord qui autorisait le transfert de données de citoyens européens vers les États-Unis, a été annulé par la CJUE – notamment en raison de la section 702 et de son absence de garde-fou pour les Européens. Dans un monde parfait, voici ce qui aurait dû arriver, explique Max Schrems : les 5 000 entreprises concernées auraient dû cesser de transférer les données et rapatrier leur centre de traitement en Europe – une opération qui représente un coût.
« La seule façon pour les Américains de se préoccuper du problème européen aurait été que leurs affaires en pâtissent »
Ces mêmes entreprises, impactées financièrement, auraient dû alors venir se plaindre au Congrès, et demander au législateur américain de changer les choses pour ne pas avoir à supporter ces coûts. Elles auraient pu dire : changez la section 702 à l’occasion de son renouvellement, offrez plus de garanties aux Européens, qu’on en finisse. Mais tout ceci n’est simplement pas arrivé.
En réalité, la victoire de Max Schrems après « Schrems 1 » et « Schrems 2 », les deux décisions de justice qui ont invalidé les textes qui autorisaient ces transferts vers les États-Unis, le « Safe Harbor » en 2015 puis le « Privacy Shield » en juillet 2020, serait restée théorique. La raison : « Les entreprises qui transfèrent les données des Européens vers les États-Unis n’ont pas été pénalisées par l’absence d’accord transatlantique », souligne le juriste. À la place, les entreprises ont invoqué des solutions juridiques alternatives pour continuer ces transferts – des outils à la légalité incertaine, sur lesquels les autorités européennes ne sont pas prononcées, à une exception près. Si elles avaient invalidé ces instruments douteux et prononcé des amendes, les entreprises seraient certainement rentrées dans le rang. Ce qui n’est pas arrivé. Or, « la seule façon pour les Américains de se préoccuper du “problème européen” aurait été que leurs affaires en pâtissent », tacle-t-il.
« Les entreprises savent que ce qu’elles font n’est pas légal, mais il n’y a aucune conséquence »
« Nous nous trouvons dans une situation étrange », continue-t-il. « La CJUE nous a dit deux fois quelle était la loi, mais tout le monde fait comme si cela n’avait pas eu lieu. Les autorités chargées de la protection des données n’ont donc pas agi, ou à peine, à la suite de nos plaintes. Elles se sont contentées de dire, comme si c’était une simple réprimande, “n’agissez plus de la sorte à l’avenir”, sans la moindre sanction ». Seule décision en date : celle prise à l’encontre de Facebook, le 22 mai dernier, qui a été condamné à une amende record de 1,2 milliard d’euros pour violation du RGPD. Le motif est justement que son recours à une solution juridique alternative pour continuer les transferts n’était pas autorisé. « Mais cela a pris des années, et cela prendra encore des années avec l’appel en Irlande. La réalité est donc que les entreprises américaines ne sont pas pénalisées par le fait d’ignorer la législation européenne. Lorsque vous leur parlez, elles vous disent qu’elles savent que ce qu’elles font n’est pas légal, mais il n’y a aucune conséquence », déplore Max Schrems, qui est revenu longuement sur les trois dernières années.
Que s’est-il passé depuis l’arrêt retentissant Schrems 2, qui a invalidé le « Privacy Shield » ? Les négociations pour trouver un nouvel accord transatlantique ont commencé entre les équipes américaine et européenne. « Pendant un an et demi, les négociateurs européens ont dit : Washington ne veut rien mettre sur la table. Nous ne pouvons pas obtenir de nouvel accord », se remémore le juriste autrichien. Que demandaient-ils ? La modification de la loi d’espionnage américaine. « Mais actuellement, cette demande est tout simplement irréaliste sur le plan politique aux États-Unis. Si je caricature, les Américains disent : “Nous n’allons pas laisser les Français, les Allemands et tous ces fous nous dire ce que nous devons mettre dans nos lois de surveillance” », estime le fondateur de NOYB.
La guerre en Ukraine, un moment de bascule dans la négociation
Ensuite, la guerre en Ukraine a éclaté en février 2022, un moment de bascule dans la négociation qui aurait changé la donne. « Ursula von der Leyen, la présidente de la Commission européenne, et Joe Biden, le président américain, ont bu un café ensemble. Et ces deux-là ont résolu en dix minutes tous les problèmes que tous les négociateurs n’avaient pas pu résoudre pendant un an et demi, semble-t-il », s’étonne notre interlocuteur. En mars 2022, les deux dirigeants annoncent qu’un accord politique sur le transfert de données est trouvé. « Et cela à une époque où il n’y avait même pas de texte de décret présidentiel », s’exclame-t-il – un engagement des États-Unis qui décrit les garanties apportées aux Européens. Ce texte sera publié seulement en octobre de cette même année.
« C’est à ce moment-là que tout élan politique a disparu », estime Max Schrems. Le 12 décembre 2022, la Commission européenne publie une version provisoire du nouveau « Privacy Shield », qui s’appelle désormais le « Data Privacy Framework » ou DPF. Le texte sera critiqué ensuite par les Cnil européennes et le Parlement européen – deux instances qui ont un simple pouvoir consultatif dans la procédure d’adoption de ce type d’accord. Ces avis feront-ils plier la Commission européenne qui pourrait réclamer davantage aux Américains ?
« La critique, les protestations publiques ou les arguments raisonnables n’ont aucune chance de faire la différence », lance Max Schrems. Que s’est-il passé en arrière-plan ? Avec la guerre en Ukraine, « Biden a peut être dit, nous allons vous donner du gaz naturel liquéfié. Il a aussi ajouté, nous allons conclure un accord pour obtenir toutes vos données. Il ne s’agissait pas directement d’une contrepartie, mais nous pouvons tous supposer ce qui s’est passé en coulisses », avance Max Schrems.
« À ce rythme, on aura un Schrems 6, ça va durer jusqu’à ma retraite »
« La réalité est que la Commission européenne ne peut pas politiquement faire marche arrière maintenant. Elle ne peut pas dire qu’elle ne peut plus signer. Elle pourrait théoriquement le faire, mais elle ne le fera pas », déclare le juriste activiste. Pour l’Autrichien, le nouvel accord, le DPF, sera officialisé dans les prochains mois, cela ne fait aucun doute. S’en suivront des recours jusqu’à la CJUE. Une action en justice « qu’ils sont prêts à perdre », estime-t-il. « Le raisonnement politique est que cela va prendre encore trois ans, avec une Commission européenne qui se retire dans un an et demi, et une invalidation qui va prendre des années. Ce qui veut dire que le temps que la nouvelle équipe de commissaires européens se mette en place, et le temps que l’affaire aille devant la CJUE – deux ans pour aller devant la CJUE, un an et demi pour que les juges se prononcent, ils en ont fini avec le sujet pour deux ou trois ans », déplore-t-il.
Et ce schéma d’accord politique, ensuite invalidé des années plus tard, risque de se répéter pendant longtemps, prévient-il. « À ce rythme-là, on aura un Schrems 6, ça va durer jusqu’à ma retraite », plaisante-t-il, en référence à tous les recours que son association, NOYB, est prête à enclencher pour protéger les données personnelles des Européens.
Seule lueur d’espoir qui pourrait mettre fin à cette répétition infernale : « un accord de non-espionnage conclu entre pays démocratiques qui pourraient s’engager à garantir une base de référence commune pour la surveillance en ligne ». Une solution à très long terme qui consisterait, côté américain, à mettre en place une exception à la fameuse section 702. Ce point pourrait être négocié dans le futur, lors de la prochaine et lointaine expiration de la section 702… Cette fois, veut-il croire, l’occasion ne devra pas être manquée.
Source :