"Données personnelles : un enjeu, des deux côtés de l’Atlantique, pour les citoyens, les entreprises et les Etats " par Marietta KARAMANLI

vendredi 31 juillet 2015

Le 1er juillet 2015, j’ai, avec mon collègue Charles de La Verpillère, député UMP, présenté une communication devant la commission des affaires européennes de l’Assemblée Nationale faisant le point d’un déplacement réalisé à Washington fin avril 2015 sur la question de la protection des données personnelles dans le cadre de l’utilisation internet et des nouveaux moyens de communication et d’information.
La protection des données personnelles recouvre plusieurs sujets : l’utilisation par les opérateurs et fournisseurs de télécommunication des données que nous laissons lors de nos utilisations de leurs services ; l’exploitation commerciale de ces données par les sociétés qui y ont accès ; la gestion de ces informations par les services de sécurité des Etats ou tout autre organisme public ou privé ayant une mission de surveillance. Il s’agit donc d’un sujet sensible pour tous.
Plus spécialement en charge de ces questions au sein de la commission des affaires européennes, j’ai souhaité savoir quelle était la politique privilégiée par les pouvoirs publics aux Etats-Unis depuis plusieurs années et notamment après les attentats qui les avaient touchés. Par ailleurs dans le cadre des négociations en cours sur les échanges commerciaux, la protection des données transmises à leur occasion est aussi un sujet dans la mesure où législation n’est pas la même entre les différents Etats ni, donc, les garanties reconnues aux citoyens.
Autant de sujets qui viendront nourrir nos réflexions et propositions à venir.
Au final nous avons constaté des différences d’approche mais aussi la volonté 1) pour le législateur américain de « bouger » en vue de mieux "contrôler" les services de renseignement, peut-être d’ouvrir un droit d’accès et de réparation pour les citoyens non américains et 2) pour les grandes entreprises comme Apple (rencontrée) de donner aux citoyens une meilleure maîtrise des données laissées par eux, au travers par exemple d’une clef unique d’accès aux informations collectées.

Commission des affaires européennes, mercredi 1er juillet 2015, 16 h 30, Compte rendu n° 223, Présidence de Mme Danielle Auroi Présidente
I Communication de Mme Marietta Karamanli et M. Charles de La Verpillière sur la protection des données personnelles dans un cadre transatlantique, Présidence de Mme Danielle Auroi, Présidente de la Commission

La séance est ouverte à 16 h 35
I. Communication de Mme Marietta Karamanli et M. Charles de La Verpillière sur la protection des données personnelles dans un cadre transatlantique
Mme Marietta Karamanli, co-rapporteure.

Le secteur du numérique connaît aujourd’hui une expansion sans précédent, qui est aussi vectrice de nouveaux enjeux. Car au-delà des enjeux techniques et du problème de l’unification du marché européen à travers la stratégie européenne du numérique, ce développement pose également la question du respect des droits des personnes en général et des usagers en particulier.
Les utilisateurs des services en ligne sur internet, des réseaux sociaux et des nombreuses plateformes d’information et de communication disponibles confient de nombreuses informations personnelles au réseau. La protection de ces données contre des utilisations abusives, frauduleuses ou tout simplement sans lien avec l’usage initial des outils ou sites numériques constitue un enjeu majeur. L’Union européenne a développé dès les années 1990 une législation ambitieuse et novatrice, qui doit toutefois être conciliée avec d’autres, et principalement la législation américaine, pour être pleinement efficace. Ces deux législations sont actuellement en pleine évolution, et leurs réformes respectives apparaissent comme intrinsèquement liées.
Pour cette raison, nous avons jugé important de nous rendre aux États-Unis afin de rencontrer les interlocuteurs majeurs dans les différentes évolutions de la protection des données personnelles, qu’il s’agisse des législateurs eux-mêmes, des entreprises qui sont soumises à cette législation en mutation ou des acteurs publics qui doivent composer avec elle dans leurs activités d’intérêt général, et notamment de renseignement. Dans un premier temps, nous souhaitions, avec mon collègue Charles de La Verpillière, rendre compte des informations recueillies lors de cette mission quant aux plus récentes évolutions de la protection des données personnelles outre-atlantique, et dans un second temps, nous voulions montrer l’impact potentiel de celles-ci sur les changements à venir dans le cadre de l’Union européenne et des dernières négociations transatlantiques.
Le cadre législatif est en pleine mutation aux États-Unis. Nous voudrions d’abord souligner la diversité des interlocuteurs rencontrés, puisque nous avons eu des entretiens au sein de l’administration avec l’organisme indépendant Center for Democracy & Technology, aux bureaux d’Apple.
Au moment où nous faisions ce déplacement aux États-Unis, les agences étaient directement touchées par l’expiration, le 1er juin 2015, du Patriot Act relatif à la collecte de métadonnées des citoyens américains et résidents. Dans ses directives concernant la réforme des services de renseignement, le Président Obama a formulé en décembre 2013 quarante-six recommandations, avec pour objectif d’offrir plus de transparence sur l’interception et la rétention des métadonnées. Cet objectif de transparence et de meilleur ciblage des contrôles opérés devait aussi selon ces directives être étendue aux personnes non américaines.

Au moment de notre mission, deux projets de lois concurrents avaient été introduits au Congrès. L’un prolongeait tel quel le dispositif actuel du Patriot Act. L’autre, le USA Freedom Act, présenté le 28 avril avec le soutien de l’administration, proposait une réforme des pratiques dans le prolongement des engagements pris par le Président Obama, avec la fin de la collecte de masse par l’administration et l’obligation pour les agences de renseignement de cibler davantage leurs demandes d’accès aux données.
Depuis notre déplacement, c’est finalement ce second projet de loi qui a été adopté, et cela, sans surprise, car dans l’ensemble, nos interlocuteurs américains s’étaient sont montrés confiants sur le passage d’une loi d’ici le 1er juin, compte tenu du risque d’absence de base juridique auquel les services de renseignement américains seraient confrontés dans le cas contraire
Il faut relativiser les changements qu’entraînera la mise en œuvre de cette législation. Le texte qui serait adopté ne modifierait pas fondamentalement les pratiques des agences de renseignement. Le stockage des métadonnées par les opérateurs téléphoniques plutôt que par le gouvernement n’empêchera pas les services de renseignement d’y accéder, et les grands opérateurs de l’internet devraient rester peu concernés par ce texte dans la gestion des données recueillies sur le réseau.
Cette volonté d’un plus grand contrôle sur les activités des services de renseignement pourrait également avoir des répercussions sur le droit de la protection des données personnelles des Européens et un nouveau droit de recours pour les citoyens non-européens pourrait être mis en place.
En effet, une autre réforme concerne plus précisément les citoyens non-américains et semble faire l’objet d’une réflexion très actuelle. En juin 2014, l’Attorney General, Eric Holder, avait promis qu’un projet serait présenté permettant dans une certaine mesures un accès pour les citoyens n’étant ni américains, ni résidents des États-Unis, à des recours judiciaires contre l’usage fait par les autorités américaines de leurs données personnelles.
Cette promesse s’est traduite par un projet de loi introduit mi-avril à la Chambre par le Représentant Sensenbrenner, le Judicial Redress Act.
Les collaborateurs du Représentant Sensenbrenner, que nous avons rencontrés, nous ont indiqué qu’aucun calendrier pour les discussions et le vote du projet n’était prévu à ce stade, les efforts de pédagogie en direction des élus n’en étant qu’à leurs débuts. Les élus américains devraient in fine comprendre l’intérêt commercial indirect de l’adoption de cette loi. Les interlocuteurs au Département de la Justice se montrent confiants pour ces mêmes raisons : « il y a eu beaucoup de lobbying des entreprises, y compris européennes, au Congrès en faveur de ce texte ».
Google nous a confirmé cette volonté de faire pression sur les parlementaires américains pour faire adopter le Judicial Redress Act. Apple nous a indiqué que l’entreprise était prête à « rendre les clés » aux propriétaires de données personnelles, et ne souhaitait pas être l’interface entre les agences fédérales de renseignement et les clients.

M. Charles de La Verpillière, co-rapporteur.

Je souhaite évoquer deux projets de loi : l’un, le « Freedom Act », vient d’être voté et remplace le « Patriot Act » ; l’autre, le « Judicial Act », a une perspective d’adoption et ouvrirait des recours judiciaires aux citoyens non américains contre l’usage fait par les autorités de leurs données personnelles.
Ces évolutions devraient faciliter l’avancée, voire la conclusion de trois négociations transatlantiques :
- en premier lieu, l’accord « parapluie » qui concerne la protection des données personnelles dans tous les échanges entre les États-Unis et l’Union européenne, dans le domaine de la coopération policière et de la coopération judiciaire pénale.
- en deuxième lieu, la renégociation du Safe Harbor sur les données personnelles dans la sphère commerciale, qui permet à de nombreuses entreprises américaines, sous réserve d’une certification par la Federal Trade Commission, de bénéficier de la présomption d’un traitement des données personnelles respectant les standards européens de la directive de 1995. On voit là tout l’intérêt que trouveraient les entreprises américaines à l’approfondissement du Safe Harbour ;
- en troisième lieu, l’accord sur les données des passagers (PNR) qui reçoit un avis très favorable du département de sécurité intérieur des États-Unis, le Homeland Security, mais qui pose encore un certain nombre de problèmes au niveau européen même si les choses avancent.
En conclusion, la mission effectuée aux États-Unis du 27 au 29 avril dernier nous a permis de constater une convergence transatlantique qui s’exprime tant au niveau législatif aux États-Unis qu’au niveau des accords entre l’Union européenne et les États-Unis. Les grandes entreprises américaines jouent un rôle très important dans cette évolution législative et conventionnelle. Leur marché étant mondial alors que leur siège est aux États-Unis, ces entreprises ont intérêt à ce que les textes dissipent le soupçon d’une possible intrusion non contrôlée des autorités américaines dans les données qu’elle stockent.
Je dois avouer que sur la question des intrusions non officielles, l’audition de Google n’a pas dissipé tous mes doutes.
Donc, tout n’est pas réglé au niveau européen, s’agissant des PNR. Plus largement, la protection des données personnelles est une question qui va se reposer dans le cadre du projet transatlantique et dans l’élaboration de textes par le Parlement européen, la Commission européenne et le Conseil européen, en ce qui concerne les restrictions justifiées par un impératif de protection des intérêts économiques ou de l’intérêt général : vie privée, sécurité publique, santé publique.
Il s’agit donc d’une affaire qui a beaucoup évolué en quelques mois mais qui n’est pas terminée.

La Présidente Danielle Auroi.

Je vous remercie pour ce travail approfondi et le caractère prudent de vos conclusions. L’accord TIPP ne doit pas faire oublier l’accord France-Etats-Unis sur la lutte contre la criminalité grave et le terrorisme, qui a suscité quelques débats me semble-t-il au sein du Sénat en juin dernier. De nombreuses voix s’élèvent en France sur les risques que coure la protection des libertés individuelles dans le cadre de la lutte nécessaire contre le terrorisme. La protection des données personnelles s’inscrit dans ce contexte difficile et certains sujets demeurent source d’inquiétude pour ce qui est des Etats-Unis. Par exemple, les États-Unis ne disposent pas d’autorité indépendante équivalente à la CNIL. La question d’une structure indépendante de l’État se pose-t-elle outre-Atlantique ?
De surcroit, malgré les annonces du Président Obama, aucune acte législatif du Congrès n’a été pris. Et on découvre un scandale d’écoutes en outre sans réelles protestations du côté européen.
À cet égard, l’accord-parapluie achoppe sur la question de l’octroi d’un recours juridictionnel pour les citoyens européens. Là aussi, le droit à un recours juridictionnel effectif est garanti par nos textes fondamentaux, au niveau national et européen. Un accord avec les États-Unis pourrait-il remettre en cause un tel principe ? Ce serait alors un recul inadmissible.
Ces questions essentielles de libertés publiques ont occupé en France le débat sur le projet de loi relatif au renseignement et les prérogatives de la commission nationale du contrôle de techniques de renseignement et de droit au recours devant le Conseil d’État.
Ces deux insuffisances majeures ont, à mon avis, du sens et doivent être traités dans les négociations du traité transatlantique. Je souhaite être éclairée sur ces deux points.

Mme Audrey Linkenheld.

Je vais poser une question simple et probablement naïve, sur un sujet dont je ne suis pas spécialiste, mais qui m’intéresse. Est évoqué un foisonnement législatif aux États-Unis, mais la vraie question ne devrait-elle pas être la suivante : la législation américaine est-elle à un niveau équivalent ou à niveau supérieur en matière de protection par rapport à la législation européenne relative aux données personnelles ?

Mme Marietta Karamanli, co-rapporteure.

La communication n’avait pas pour objet de faire une étude de droit comparé entre les États-Unis et l’Union européenne. Pour le rapport d’information sur les données personnelles en revanche, une telle comparaison sera faite. Ce qui nous a paru intéressant de noter est la différence de fonctionnement, la différence culturelle entre l’Europe et les États-Unis sur ces questions. Les Américains privilégient plus l’autorégulation que la législation. L’introduction de textes en matière de libertés pour les consommateurs et les citoyens revêt un caractère inédit. Le Judicial Redress Act d’initiative parlementaire, qui permet dans une certaine mesure un accès pour les citoyens n’étant ni américains, ni résidents des États-Unis , à des recours judiciaires contre l’usage fait par les autorités américaines de leurs données personnelles, s’inspire en grande partie des propositions des ONG.
Il faut savoir par ailleurs que les États-Unis ont une culture différente de celle prévalant en Europe sur la surveillance. L’influence des grandes entreprises est réelle car celles-ci souhaitent désormais « donner les clés » aux propriétaires des données et non aux agences fédérales de renseignement.

Ces dernières n’ont pas manqué de réagir face à cette volonté. Par ailleurs, je rejoins la Présidente dans la prudence, et sur l’avenir de ces projets de textes. Les entreprises américains qui ont une activité importantes hors des frontières américaines ont des interrogations sur ces sujets.

Dans le cadre des négociations du TTIP, la question des données personnelles se pose de manière différente des deux côtés de l’Atlantique. L’Europe parle de données personnelles et les Etats-Unis parlent de données commerciales. Avec Charles de La Verpillière, nous avons constaté cette différence de culture. C’était tout l’intérêt de cette mission. Même si tel n’était pas l’objet de notre déplacement aux États-Unis, la question de la protection des données personnelles se pose donc fortement dans le cadre du projet de traité transatlantique.
En effet, la question des données n’est pas mentionnée dans le mandat européen de négociation du TTIP. Les États-Unis poussent cependant à un renforcement de la libre circulation des données entre les entreprises européennes et américaines , soit le « cross-border data flows ».

M. Charles de La Verpillière, co-rapporteur.

Il est effectivement difficile de comparer les législations européennes et les législations américaines. On note cependant un certain rapprochement , le Freedom Act qui a été adopté étant incontestablement plus encadrant que le Patriot Act qu’il remplace. De la même façon, le Judicial Redress Act, si il est adopté, serait également un progrès. Il reste qu’il n’y a pas d’alignement pour les raisons culturelles évoquées par Mme Marietta Karamanli. Mais le rapprochement est en cours et devrait faciliter les négociations transatlantiques.

La Présidente Danielle Auroi.

Je rappelle qu’une communication n’est pas un rapport d’information, il s’agit d’un rapport d’étape. Je remercie les rapporteurs pour leurs conclusions prudentes .