Privacy Shield : les défenseurs des libertés s’inquiètent

Le 28 février, une coalition d’ONG européennes et internationales, parmi lesquelles La Quadrature du net , European Digital Rights (EDRI), le Chaos Computer Club, Civil Liberties Union for Europe, Electronic Frontier Foundation (EFF) et Access Now, a publié une lettre ouverte à la commissaire Věra Jourová en charge du suivi de l’accord Privacy Shield. Elle lui demande de s’assurer que « _les États-Unis réforment cette année et de manière conséquente leurs lois sur le renseignement afin de protéger les droits des personnes non américaines, notamment des européens ».

Controversé dès sa signature en juillet 2016, le Privacy Shield est l’accord encadrant le transfert vers les États-Unis des données personnelles des utilisateurs européens. Il remplace le défunt Safe Harbor, invalidé en octobre 2015 par la Cour de justice de l’Union européenne (CJUE). Elle avait considéré, suite aux révélations d’Edward Snowden, qu’en raison des pratiques de surveillance de masse des agences de renseignement américaines, la protection des données des ressortissants étrangers n’était pas « substantiellement équivalente » aux exigences du droit européen. Une loi, le FISA Amendments Act (Foreign Intelligence Surveillance Act) votée en 2008 sous la présidence Bush et proprogée en 2012, permet en effet à des agences comme la NSA de fouiller les données de communication des européens et d’à peu près n’importe qui sans autorisation judiciaire. Elle devrait arriver à échéance en décembre 2017, mais au vu de la politique menée par le nouveau locataire de la Maison blanche, sa prorogation est beaucoup plus probable que sa suppression.

C’est la disposition dite « Section 702 », pointée par Sowden, qui inquiète le plus la coalition. « La Section 702 est très large, explique-t-elle, autorisant les programmes de surveillance PRISM et UPSTREAM qui violent les normes internationales relatives aux droits de l’homme. Sans réforme significative, la section 702 continuera à menacer la libre circulation de l’information outre-Atlantique, et aura une incidence négative sur la protection des données et de la vie privée au niveau mondial. Par conséquent, la réforme de la section 702 est un prérequis, même si insuffisante en elle-même, pour être en accord avec les principes de la Cour. » Une réforme est envisagée mais elle protègerait les citoyens américains sans restreindre la surveillance ciblant des centaines de millions de personnes dans le reste du monde. En attendant, la coalition demande donc la suspension du Privacy Shield.

La « section 702 » est loin d’être le seul sujet d’inquiétude. Un article du fameux décret régulant l’immigration signé par Trump en janvier stipule que « les services (de police et de renseignement) devront s’assurer, dans la limite autorisée par la loi en vigueur, que leur politique de protection des données exclut les personnes qui ne sont pas citoyens américains ou résidents légaux permanents du champ des mesures du Privacy Act s’appliquant aux informations personnelles identifiables ». La Commission européenne a bien tenté de rassurer en affirmant que les deux textes n’étaient pas liés et que la mesure n’aurait aucun impact sur l’application du Privacy Shield. Mais pour Isabelle Falque-Pierrotin, présidente de la Cnil et du groupe des Cnil européennes G 29, des éclaircissements s’imposent et un courrier a été envoyé au gouvernement américain. « Au regard de ce que nous pourrions redouter, et de la tonalité non favorable aux non-Américains, nous souhaitons la confirmation écrite des autorités américaines qu’il n’y a pas de remise en cause des engagements pris », avait-elle déclaré au Monde mi-février.

Une récente affaire impliquant Google n’est pas faite pour rassurer non plus. Un juge de Philadelphie a ordonné à Google de communiquer au FBI les mails de certains utilisateurs non américains stockés sur des serveurs hors du territoire, estimant qu’il n’y avait là aucune « interférence significative » avec « l’intérêt propriétaire » des titulaires du compte sur ces données. Ce jugement allant à l’inverse d’une précédente décision de juillet 2016, où le juge de la cour d’appel avait estimé que Microsoft n’avait pas à obéir à une requête similaire, Google a annoncé son intention de faire appel. Mais là encore les intérêts nationaux américains priment sur le respect des lois nationales ou des accords internationaux. Et la multiplication des transgressions donne raison à tous ceux qui estimaient déjà que les garanties de protection offertes par le Privacy Shield étaient insuffisantes et à ceux qui réclament sa suspension tant que le gouvernement américain n’a pas clairement défini jusqu’où il entendait scruter la vie privée des « étrangers ».