Ursula von der Leyen et Joe Biden ont annoncé en mars un nouvel accord à venir sur le transfert de données entre l’UE et les États-Unis. Ce texte serait à présent finalisé dans le plus grand des secrets et viendrait succéder aux infortunés Safe Harbour (2000-2015) et Privacy Shield (2016-2020), tous deux invalidés par la Cour de Justice (CJUE). De quoi ce nouvel accord est-il le nom et pourquoi les raisons qui ont poussé la Cour à donner droit aux requêtes du juriste autrichien Max Schrems ne l’invalideraient-elles pas également ?

Un nouveau Privacy Shield

« Fruit de plus d’un an de négociations » entre les États-Unis et l’UE, l’accord « fournira une base durable pour les flux de données transatlantiques, qui sont essentiels pour protéger les citoyens et permettre le commerce transatlantique », annonce le communiqué.

En juillet 2020, la CJUE avait précisément invalidé le Privacy Shield pour le manque de protection qu’il offrait aux citoyens européens. Et pour cause, les autorités publiques américaines peuvent s’ingérer au sein des organisations adhérentes à l’accord (les grandes entreprises technologiques américaines, par exemple) pour assurer la « sécurité nationale », « l’intérêt public » ou faire respecter la législation états-unienne.

Entre autres écueils, la Cour pointait du doigt le Foreign Intelligence Surveillance Act (FISA), qui autorise les programmes de surveillance électronique hors de tout contrôle judiciaire, comme le programme PRISM (révélé par Edward Snowden) de la NSA : l’agence de renseignements disposait d’un accès direct aux serveurs d’au moins neuf grandes firmes technologiques américaines, dont Microsoft, Google, Facebook et Apple… et les victimes de cette surveillance de masse ne disposaient d’aucune garantie pour opposer leurs droits devant la justice.

Cette annonce peut-elle changer la donne ? Sans équivalent du RGPD aux États-Unis, le doute est permis.

D’autant que le renseignement américain n’est pas près de mettre fin à ces pratiques.

Pourquoi la Commission se lance-t-elle alors dans la négociation d’un nouvel accord que ne manquera pas de retoquer la CJUE ?

Des données contre du gaz ?

La Commission – soutenue par les États membres – et la CJUE présentent deux principes de hiérarchisation des droits opposés. Pour la Cour, le droit à la protection des données personnelles et de la vie privée est premier ; pour la Commission européenne, ce sont les libertés économiques qui jouissent d’une certaine précellence.

Le contexte de l’annonce est aussi important. La guerre en Ukraine a jeté une lumière crue sur la dépendance énergétique de l’UE à l’égard de la Russie, en particulier sur la question du gaz. Or, l’annonce d’un nouveau Privacy Shield s’est doublée d’une déclaration commune de la Commission et des États-Unis sur « la sécurité énergétique européenne », par laquelle ils s’engagent à « assurer l’approvisionnement en énergie de l’Union ». Données personnelles contre gaz et pétrole ? L’hypothèse n’est pas farfelue.

Et même avec un accord illégal, il faudrait des années avant qu’une procédure n’aboutisse à une nouvelle invalidation, un « Schrems III » – Schrems I et II sont respectivement intervenus deux et cinq ans après la plainte du juriste autrichien. Assez pour poursuivre ces transferts, au mépris des droits et des libertés des Européens… en attendant un nouvel accord.

Tétanisés par l’urgence et le manque d’anticipation, les Européens envoient un signal de faiblesse à la communauté internationale.

Si cette tendance se confirme, qu’est-ce qui empêchera la signature d’accords similaires avec des États moins soucieux de droits humains, comme la Chine, qui vient de promulguer une loi « sur le papier » similaire au RGPD ?

En sacrifiant ses valeurs sur l’autel du business as usual, l’UE prend le risque de renoncer non seulement à exister dans le système international, mais encore à représenter une voie désirable dans ces temps de grande incertitude. La vraie attractivité qui compte sur le long terme.

André Loesekrug-Pietri
Président
Charles Thibout
Senior Researcher, de la Joint European Disruptive Initiative (JEDI) l’initiative européenne pour l’innovation de rupture (www.jedi.foundation)