“Libre propos – L’annonce d’un nouveau Privacy Shield”
par Aurélien BOUGEARD
Introduction : Le retour (attendu) de Max Schrems
Que penser de cette annonce, finalement assez peu surprenante, d’une nouvelle mouture du Privacy Shield ?
L’objectif n’est pas de revenir sur l’historique et le contenu de ces tentatives d’accords entre les États-Unis et l’Union européenne sur les transferts de données hors UE, symbolisées successivement par le Safe Harbor (invalidé par la CJUE dans une décision C-362/14 du 6 octobre 2015) et le Privacy Shield (invalidé par la CJUE dans une décision C-311/18du 16 juillet 2020).
Cependant, il est à noter que les États-Unis ont toujours cherché à essayer d’encadrer ces transferts de données hors UE de la manière la plus large possible afin de pouvoir nourrir ces Gargantua de la donnée que sont les GAFAM, en quelque sorte de remplir un rôle de lobbyiste des acteurs étasuniens du numérique. Ce qui semble finalement assez normal de la part de l’État que de défendre les intérêts économiques de ses entreprises.
Il faut tout de même souligner que le gouvernement étasunien ne joue pas uniquement pour les intérêts des acteurs nationaux du numérique, mais indirectement pour son propre compte. En effet, autoriser et favoriser les flux de données vers les États-Unis permet également à l’administration fédérale d’avoir accès à ces volumes de données sur son territoire en vertu de normes comme par exemple le Cloud Act ou encore la récente décision de la Cour suprême FBI v. Fazaga qui abonde en ce sens.
Ce type de normes autorise l’État à avoir accès aux volumes de données collectées par les acteurs privés et, en conséquence, de pouvoir être investi d’un savoir sur les circulations dans l’espace numérique, via ces données. Un savoir, qui par le prisme et l’origine de ces volumes, permettrait de couvrir et connaître numériquement d’autres territoires (ce qui est déjà le cas globalement), voire, dans le cas d’un éventuel Privacy Shield 2.0, serait spécifique et intrusif des circulations européennes.
Cependant, ne soyons pas surpris, l’arrivée d’une nouvelle proposition d’accord était attendue. Il semblait évident que les États-Unis allaient s’efforcer de trouver un moyen de proposer une nouvelle version du Privacy Shield, à savoir à quel moment.
- Les États-Unis contre-attaquent
C’était une proposition finalement prévisible de la part des États-Unis que d’essayer de trouver une voie d’exception pour ses entreprises dans les transferts de données transatlantiques. Une forme de pression ainsi qu’un jeu de négociation pour faire face aux différents règlements (RGPD) et propositions de règlements (DSA, DMA, DGA, Data act, directive 2019/1024 …) que l’Union européenne s’est efforcée de mettre en place, notamment pour affirmer sa défiance face à ces transferts hors UE aux profits des géants du numérique.
Cette démarche étasunienne, d’une recherche d’accord, semble également avoir pour objectif de contester d’une certaine manière cette dynamique normative qui a pour finalité de proposer et encadrer la vision européenne d’un marché unique de la donnée dans une perspective assumée d’une recherche (assez vaine je dois le dire) de souveraineté numérique européenne.
Alors, si la recherche d’une souveraineté est la finalité de l’UE, pourquoi plier le genou maintenant alors que son intention normative n’abondait pas dans ce sens ces dernières années ? Est-ce que désormais, pour les institutions européennes, le cadre réglementaire apparaît comme suffisamment robuste pour protéger les européens de ces transferts hors UE ou de la prédation des acteurs majeurs du secteur ?
Quelles que soient les raisons en amont qui ont amené l’annonce d’un nouveau projet de Privacy Shield, certains articleset certaines réactions n’ont pu s’empêcher de faire différents parallèles avec le moment choisi, celui d’un contexte de dépendance énergétique qu’il faut repenser en s’empressant de saisir la main tendue des États-Unis qui veulent aider à cette transition (qui leur est favorable) à la condition que…
2. Une résistance de l’Union Endorpéenne ?
Surtout, cette annonce publique dans ce contexte européen tendu interroge plus profondément la notion de souveraineté dont l’UE veut se draper, composée à la fois d’une recherche d’autonomie et d’un marché intérieur concurrentiel, également d’une dépendance à des services extérieurs que l’on ne peut trop froisser. C’est cette volonté d’une souveraineté, en partie brimée ou celle d’un manque de courage dans le projet qu’elles portent, que les institutions européennes proposent avec l’annonce du Privacy Shield 2.0.
Toutefois, il ne faut pas s’enthousiasmer dans un sens comme dans l’autre, rien n’est encore fait. Le projet d’un Privacy Shield 2.0 est dans les tiroirs depuis l’échec de son prédécesseur. Et même si un accord de principe a été trouvé, la procédure qui se présente sera longue et truffée de recours judiciaires. Si les arguments de transferts restent identiques ou reposent sur les mêmes bases, il y a de fortes chances que le projet suive le même chemin que son aîné.
Même s’il propose des arguments et des critères qui renforcent la sécurité et limitent drastiquement l’accès aux volumes de données au tiers et au gouvernement étasunien, nombre d’européens, dont je fais partie, sont juste opposés à l’idée d’une gestion transatlantique de nos données. Le marché européen des acteurs transatlantique du numérique doit être territorialisé et délimité.
Il est déjà difficile de percevoir, estimer et comprendre le potentiel de ces volumes de données en circulation, ou même de caractériser un acte de copie de ces volumes de données vers l’extérieur de l’UE. Alors si un accord les autorise, il semble d’autant plus compliqué de comprendre comment nous bâtirons une forme de souveraineté numérique européenne autrement que d’apparence. Surtout, comment se prévaloir d’une réelle action sur ces flux une fois sortis du territoire de l’UE, dès lors que l’on feint la surprise à chaque fois que l’on découvre qu’un acteur majeur à copié, collecté, sorti du territoire des données qu’il n’aurait pas dû sortir… trop tard.
Toujours est-il que l’annonce de cet accord, même s’il est encore entouré d’un flou ambiant quant à son contenu, laisse supposer le retour d’âpres débats et de procédures judiciaires. Surtout, cela annonce une phase d’opposition sans doute encore menée par l’infatigable Max Schrems.
Pour conclure et sans faire dans le grandiloquent, il est difficile d’envisager les raisons justifiées ou non d’un tel cadeau. Cet accord est une dissonance sur le chemin emprunté par l’Union européenne et ses citoyens au cours notamment de ces 2, 3 dernières années. De plus, la finalité économique recherchée par cet accord n’a pas pour objectif d’être favorable au développement de l’entrepreneuriat européen dans le monde du numérique. Même si je ne suis pas d’accord avec le fondement de certaines normes européennes récentes qui ont pour objet de libérer des flux de données ou d’en favoriser la circulation, il y a un souhait compréhensible de la part des institutions européennes de solliciter la concurrence entre les acteurs du numérique sur le territoire de l’Union européenne.
Cet accord à son stade d’annonce sonne comme un blanc-seing pour le traitement de nos données à l’étranger et cela malgré les éventuels garde-fous que l’on pourrait imaginer, élaborer et mettre en place.
Formidable