Jeudi 26 janvier 2023
- Présidence de M. Jean-François Rapin, président -
La réunion est ouverte à 9 heures.
Justice et affaires intérieures - Protection des données personnelles des Européens : audition de M. Maximilian Schrems, avocat, cofondateur de l'association NOYB (None Of Your Business)
M. Jean-François Rapin, président. - Nous auditionnons à distance Maître Maximilian Schrems, avocat autrichien, que nous remercions d'avoir répondu à notre invitation. Le 28 janvier, après-demain, ce sera la Journée européenne de la protection des données. Cette journée a été mise en place pour encourager chaque Européen à appliquer les bonnes pratiques pour protéger ses informations personnelles, professionnelles et bancaires : renforcer ses mots de passe, faire des sauvegardes régulières, ne pas négliger les mises à jour car elles corrigent les failles de sécurité... Ces efforts de sensibilisation sont louables, nous mesurons le prix de nos données personnelles qui sont convoitées et qui représentent l'or noir de l'économie numérique et des entreprises si puissantes qui la dominent.
Parallèlement, la Commission européenne s'attache à organiser la possibilité d'un transfert des données personnelles des Européens vers les États-Unis, dont l'intérêt économique est évident, mais elle peine à organiser ce transfert dans le respect des règles européennes en matière de protection des données, qui sont fixées par le règlement général sur la protection des données (RGPD), entré en vigueur il y a bientôt cinq ans, et par la directive européenne sur la confidentialité des communications « e-privacy », à laquelle devrait se substituer un règlement, proposé depuis 2017 mais toujours en négociation.
C'est pour protéger les données personnelles des Européens que vous vous battez, Monsieur Schrems, depuis 2009, alors que vous n'étiez encore qu'un simple étudiant autrichien. Vous vous êtes rapidement attaqué à Facebook et, en octobre 2015, vous avez obtenu l'invalidation, par la Cour de justice de l'Union européenne (CJUE), de l'accord baptisé Safe Harbor, qui encadrait le transfert des données des internautes européens vers les États-Unis et leur utilisation par de nombreuses entreprises américaines, dont les géants du Web. Vous avez co-fondé en 2017 l'association « None Of Your Business » (NOYB), qui milite pour protéger la vie privée et dont vous êtes aujourd'hui président d'honneur. En juillet 2020, la CJUE a rendu un deuxième arrêt qui porte également votre nom et qui invalide le Privacy Shield, le nouvel accord négocié entre l'Union européenne (UE) et les États-Unis pour succéder au précédent et censé mieux assurer le respect des données personnelles.
Nous nous trouvons aujourd'hui dans la phase préparatoire d'un troisième accord, qui est réclamé par les entreprises pâtissant de l'insécurité juridique actuelle, tant côté européen que côté américain : la Commission européenne se propose de prendre une décision dite d'adéquation qui reconnaîtrait la conformité de la nouvelle législation américaine adoptée à l'automne 2022 aux exigences européennes en matière de protection des données personnelles. Dès la publication de ces nouveaux textes américains, vous avez indiqué que votre association, NOYB, se tenait prête à introduire un nouveau recours devant la CJUE contre la future décision d'adéquation. Selon vous, les modifications apportées par les États-Unis à leur législation demeurent insuffisantes. C'est sur ce point que nous serions désireux de vous entendre.
Du point de vue de la procédure, la décision envisagée par la Commission ressort de son pouvoir d'exécution et échappe largement à ce titre aux parlements nationaux de l'Union européenne : elle ne leur est pas soumise ; le Parlement européen n'intervient pas non plus dans le processus d'adoption. Le projet de décision d'adéquation présenté par la Commission européenne en décembre dernier est seulement soumis à l'avis du Comité européen de la protection des données (CEPD), qui rassemble les autorités de protection des données de tous les États membres de l'Union. L'avis qu'il rendra ne sera pas contraignant. La Commission doit également consulter un comité au sein duquel tous les États membres sont représentés et qui rendra un avis à la majorité qualifiée. L'acte d'exécution ne peut pas être adopté si ce comité émet un avis défavorable. La Commission peut alors présenter dans les deux mois une version modifiée du projet.
Le Gouvernement français va donc devoir se positionner et valider ou non la décision d'adéquation que propose la Commission. C'est dans cette perspective qu'il nous a paru utile de vous auditionner : il nous semble important que le Sénat contribue ainsi au contrôle de l'action européenne du Gouvernement.
M. Maximilian Schrems, avocat, cofondateur de l'association NOYB. - En ce qui concerne le cadre juridique, la nécessité de passer des accords d'adéquation avec des pays tiers se justifie, pour l'Union européenne, au nom de la protection des données personnelles : le transfert de ces dernières vers des pays tiers ne doit se faire que si ces pays assurent une protection des données équivalente. C'est une exigence de l'article 8 de la Charte des droits fondamentaux de l'Union européenne, qui prévoit aussi une double exigence de confidentialité des communications (article 7) et d'accès à un recours judiciaire pour porter plainte (article 47). Du côté américain, le Quatrième amendement à la Constitution prévoit également la confidentialité et le droit impose qu'un juge valide les éventuels dispositifs de surveillance des communications mis en place. Des deux côtés de l'Atlantique, il y a donc un consensus sur la nécessité d'une protection des données. Cependant, aux États-Unis, le droit protège seulement les citoyens américains ; le Quatrième amendement ne s'applique pas aux étrangers, ce qui autorise de fait à surveiller les données des citoyens d'autres nations - je le dis à grands traits, mais dans le droit américain, on fait « un peu ce qu'on veut » avec les données qui concernent des étrangers. Dès lors, les règles appliquées ne satisfont pas aux critères européens de protection des données personnelles et aux garanties demandées.
Le président américain peut prendre ce qu'on appelle des executive orders, qui sont contraignants mais ne créent pas de droits tiers, comme le font les législations secondaires dans l'Union européenne. L'excutive order 12333, qui porte sur la surveillance à l'étranger en général, ne répond pas aux garanties demandées par l'Union. Lee Federal Intelligence Surveillance Act (FISA) oblige notamment les fournisseurs de services de communications électroniques et les entreprises de télécommunications à coopérer avec les autorités américaines et à leur permettre d'accéder aux données en leur possession, ceci dans des conditions qui ne sont pas transparentes. Le hiatus est très important entre la réglementation américaine et les règles européennes, et aucun texte supplémentaire, du côté européen, ne pourra venir le combler.
La décision d'adéquation dont nous parlons aujourd'hui, en réalité, répond à un objectif politique. Bruxelles l'a reconnu en faisant le lien avec la guerre en Ukraine et le fait que les Américains nous demandent à cette occasion de nous allier avec eux et de leur ouvrir l'accès aux données des Européens. Voilà bien ce qui paraît la base de ce nouveau processus.
La CJUE a établi, par deux fois, que le droit américain violait la Charte, en particulier au regard de la proportionnalité - les règles américaines ont échoué au test de proportionnalité réalisé par la CJUE. La solution paraissait donc qu'à tout le moins, le président américain prenne un executive order qui impose cette proportionnalité : mais il faudrait que chacun mette la même chose sous ce vocable. Les Américains et les Européens sont tombés d'accord pour inscrire ce terme dans les textes américains, mais l'interprétation américaine est loin de coïncider avec celle de l'Union européenne. Si l'on était d'accord des deux côtés de l'Atlantique sur l'interprétation, les Américains devraient cesser leurs pratiques de surveillance généralisée. Or, ce n'est pas ce qu'ils vont faire. Ainsi, on s'est accordé sur l'utilisation du mot « proportionnalité », mais pas sur sa signification. Je suis convaincu que la CJUE ne va pas accepter l'interprétation américaine.
La question de l'accès à des voies de recours, donc celle de l'application effective des droits garantis, est plus complexe. Le Privacy Shield prévoyait la possibilité de s'adresser à un médiateur (de même qu'en France, on peut s'adresser à la Commission nationale de l'informatique et des libertés (CNIL)). Cependant, aux États-Unis, le médiateur n'est pas contraint à autre chose que de dire, formellement, si la loi américaine a été respectée - et donc, on peut très bien avoir été surveillé sans que l'administration américaine soit tenue de le dire. C'est ce qui a conduit la CJUE à considérer que le Privacy Shield ne garantissait pas le droit à l'accès à la justice, d'autant qu'en outre, le médiateur est rattaché au ministère des affaires étrangères américain, plutôt qu'à celui de la justice, et n'est pas indépendant.
L'objectif était donc d'améliorer ce système : le rattachement ministériel a été modifié et la procédure est décrite dans le nouvel executive order ; l'avis du médiateur est contraignant pour l'administration. Mais il reste que la réponse du médiateur aux particuliers reste formelle, elle indique s'il y a eu violation de la loi, mais cela ne constitue pas un droit au recours effectif. Ainsi, les critères européens d'accès à la justice ne paraissent guère satisfaits : le médiateur est une sorte de cour dont on peut dire d'avance la décision.
Pour s'adapter mieux au droit européen, une sorte de cour d'appel a aussi été ajoutée, mais ce n'est pas une vraie cour de justice, dont la création nécessiterait une loi, votée au Congrès. Or une loi uniquement à l'avantage d'étrangers n'aurait aucune chance d'être votée, aux Etats-Unis. Or, cette « cour d'appel » non plus ne correspond pas aux standards européens, puisque ses membres sont désignés par l'exécutif et qu'ils ne sont donc pas, de ce fait, indépendants au sens de l'article 47 de la Charte. En réalité, les critiques de la CJUE n'ont pas été résolues.
Ce qui est problématique, pour l'UE, c'est que l'indépendance de la justice fait débat à l'intérieur même de l'Union, on le voit avec la Pologne et la Hongrie par exemple, où la notion d'indépendance de la justice fait débat. Or, là, l'Union européenne change son approche et accepte une définition de l'indépendance de la justice qui ne correspond pas à la définition européenne habituelle. Il peut bien sûr y avoir des restrictions des droits, par exemple en matière de terrorisme ou pour protéger des secrets d'État - mais ces restrictions sont proportionnées. Ce n'est pas le cas avec le système américain ; un système de surveillance qui reste secret constitue une exception est bien trop large et contredit les critères européens d'accès à la justice.
Les fondements juridiques de l'accord qui prévaut entre les États-Unis et l'UE sont donc bien fragiles et peu tenables à long terme. Des deux côtés de l'Atlantique, je les dis, on diverge sur la conception même de la surveillance, puisque les Américains appliquent des règles différentes selon qu'il s'agit de citoyens américains, ou étrangers, ce qui n'est pas le cas en Europe Il faudrait donc parvenir à un accord qui protège les données des citoyens y compris étrangers.
M. Jean-François Rapin, président. - Merci pour ces propos, votre détermination m'impressionne, c'est important d'avoir un allié comme vous sur la question du transfert des données. On comprend que les données représentent un intérêt commercial majeur, mais la volonté de capter les données vous paraît-elle tenir à d'autres facteurs ?
M. Maximilian Schrems. - Oui, il y a un intérêt commercial énorme, le transfert des données dans différents pays permet un traitement en continu, 24 heures sur 24.
Mais les arguments sont parfois à double sens : depuis une dizaine d'années, de plus en plus de données, y compris de grands fournisseurs américains, sont hébergées en Europe. Quand on leur demande pourquoi ce n'est pas davantage le cas, ils répondent que c'est coûteux, qu'il faudrait doubler les équipes pour en avoir une aux États-Unis et une en Europe... C'est vrai pour les petites entreprises.
Par ailleurs, les grandes entreprises hébergeant des données européennes en Europe pourraient refuser de les fournir et renvoyer les services de renseignement américains vers les autorités européennes compétentes. Mais il n'y a pas eu jusque-là de volonté politique d'appliquer notre réglementation sur la protection des données, même si la CJUE travaille très sérieusement.
En réalité, la solution la moins coûteuse serait que les États-Unis changent leurs lois pour s'aligner sur les règles que nous - mais comme ils s'y refusent, le coût pèse sur les entreprises.
M. Jean-Yves Leconte. - La protection des données représente un enjeu essentiel pour la liberté, il est donc essentiel d'avoir un cadre de protection large. La base de nos difficultés tient à ce que la loi américaine protège les Américains, mais pas le reste du monde. Cependant, dans la hiérarchie des normes, une convention internationale dûment signée et ratifiée, devrait l'emporter sur le droit interne, y compris sur la Constitution : n'est-ce pas le cas ici ? Dès lors, la difficulté n'est-elle plus que celle de l'application ?
M. Jean Michel Houllegatte. - Pensez-vous que la loi américaine puisse évoluer prochainement ? Avez-vous des alliés dans ce sens ? Je pense au procureur général Merrick Garland, qui semble déterminé dans ce sens... Ensuite, si la décision d'adéquation aboutissait, quel contrôle en serait-il possible et quel rôle le Parlement européen pourrait-il y prendre ?
M. Pierre Ouzoulias - Merci pour vos propos, je comprends qu'il y a deux conceptions du droit en présence, fondée sur la liberté de l'individu, en Amérique, et fondée sur le droit des citoyens, en Europe. Les États-Unis portent l'essentiel de l'effort militaire en Ukraine et, comme la géopolitique et l'économie sont liées, les États-Unis veulent profiter de leur investissement massif pour faire accéder les entreprises américaines aux données, qui sont l'or noir du 21ème siècle. L'enjeu pour nous, Européens, est de savoir si l'on pourra résister. Cependant, si l'on fait exception pour les États-Unis, il faudra aussi le faire pour la Pologne et la Hongrie, et finalement l'enjeu, essentiel, c'est ce que pourrait être une citoyenneté numérique européenne... Une question : s'il parait plus difficile d'agir pour les données détenues par les entreprises américaines, peut-on imaginer une voie nationale de protection des données collectées par les services publics ?
M. Maximilian Schrems. - Le système de Privacy Shield n'est pas fondé sur un accord international mais il relève du droit civil. Il n'y a pas, en la matière, de traité qui s'impose au droit interne. Les États-Unis ont publié une liste de principes, que les entreprises peuvent s'engager à suivre - c'est une sorte de contrat. Sur cette base, les entreprises américaines peuvent développer des activités en Europe avec des contraintes moindres que les entreprises européennes ; elles peuvent être poursuivies par la juridiction américaine si elles ne respectent pas ces principes. Des clauses précisent qu'il ne doit pas y avoir de conflit avec le droit américain. Côté européen, la décision d'adéquation établit une conformité à notre droit - mais là encore, il n'y a pas de contrainte juridique pour les Américains, il n'y a en fait qu'un accord entre États, via l'UE côté européen, et cet accord ne prime pasle droit américain.
S'agissant de la portée de la surveillance, il faut définir quelles données peuvent être légalement saisies. Or, si l'accord est facile à trouver en matière, par exemple, de terrorisme ou d'espionnage, il l'est moins quand les États-Unis considèrent légal de saisir « toute donnée pertinente pour la conduite des affaires internationales des États-Unis », ce qui est vague et très large. Dans certains cas, des réseaux de diplomatie belge ont été hackés par les Américains !Tout un chacun peut ainsi être surveillé à ce titre, qu'il s'agisse de politiques, de journalistes, de responsables économiques... dans le strict respect de la loi américaine.
Comment changer les choses ? Si nos règles européennes étaient bien appliquées, il y aurait un impact commercial sur les entreprises américaines. Les États-Unis demandent à ce qu'on leur confie les données, sans qu'on puisse rien décider pour les protéger ni régler leur utilisation, un peu comme, autrefois, on était invité à placer son or en Suisse sans plus avoir, ensuite, le droit d'y accéder ... Cependant, la position américaine est difficile à tenir, à le long terme. Le FISA comprend des clauses d'extinction (les sunset clauses), en vertu desquelles la loi doit être renouvelée tous les deux ans pour rester en vigueur. S'il y avait suffisamment de friction internationale, le législateur américain devrait réviser ces normes. Cela dit, la situation ne paraît guère urgente aux yeux des Américains et il semble que ce soient plutôt les Européens qui cherchent un nouvel accord, quitte à ce qu'il soit de nouveau invalidé par la CJUE.
Comment les cours vont-elles interpréter la proportionnalité ? Aux États-Unis, nous ne le saurons pas, puisque l'instruction est secrète et qu'elle est entre les mains d'inspecteurs administratifs - alors que l'interprétation de la proportionnalité est décisive, elle ne sera pas rendue publique, il est donc illusoire de compter sur ce critère.
Quelles alliances nouer ? Nous travaillons avec des organisations américaines de défense des droits, comme l'American Civil Liberties Union, mais elles n'ont pas suffisamment de pouvoir dans le système américain.
Il y a effectivement une différence des deux côtés de l'Atlantique dans la conception même du droit, entre une conception fondée sur les droits humains qui prévaut en Europe depuis la deuxième guerre mondiale, et une conception fondée des droits attachés à la citoyenneté, qui apparait dans la Constitution américaine : en Europe, les étrangers sont aussi protégés par la Charte, tandis qu'aux États-Unis, pour simplifier, les droits concernent les citoyens américains.
La géopolitique compte, c'est certain, et il paraît bien que le président Biden et la présidente von der Leyen aient convenu d'une sorte d'échange gaz liquéfié américain contre données européennes. Tout ceci n'a bien sûr pas été dit comme tel, mais on constate que des dossiers qui n'avançaient pas depuis au moins 18 mois ont été débloqués quand les Américains ont annoncé qu'ils nous fourniraient du gaz. M. André Reichardt. - Pour avoir déjà obtenu deux succès devant la CJUE, - et j'espère bientôt un troisième -, vous êtes devenu un expert du droit des données et de ces questions sensibles : avez-vous été consulté à ce titre par la Commission européenne ? Quelles sont vos propositions pour trouver une solution ?
Ensuite, Pascale Gruny, qui ne peut être parmi nous, m'a chargé de vous poser cette question sur la proposition de règlement européen, préparé par la Commission européenne, qui prévoit un consentement explicite des personnes pour le transfert et l'utilisation de leurs données de santé par les entreprises américaines : cette proposition vous semble-t-elle réaliste, au regard des nombreuses infractions au RGPD intervenues en matière de santé, je pense à cette entreprise qui a recueilli des données personnelles de santé en pharmacie, sans aucun consentement ?
M. Maximilian Schrems. -Je me rends souvent à Bruxelles, où j'ai de nombreux interlocuteurs, et je crois qu'il faut bien faire la différence entre les techniciens et les politiques : ceux qui rédigent techniquement les accords ont conscience des failles, les fonctionnaires de la Commission sont bien au fait des enjeux, mais ils ne décident pas, ce sont les politiques qui prennent les décisions. Dans une réunion informelle récente, le commissaire à la Justice, Didier Reynders, a parlé du sujet en évoquant d'abord le business model des entreprises concernées, c'est décevant mais cela donne une idée de la façon dont ces questions sont regardées par la Commission, d'un point de vue politique.
Quelles sont les solutions ? Je crois qu'il n'y en a pas qu'une seule, mais que nous avons plusieurs options pour avancer. Il y a l'hébergement des données en Europe, ce n'est pas la meilleure solution mais elle a l'avantage d'être réaliste ; il y a le changement de la législation américaine, qui interviendra en réalité seulement si les entreprises américaines le demandent, donc si les frictions deviennent telles que les entreprises considèreront qu'il est dans leur intérêt de changer les règles. Il y a des différences culturelles qui se traduisent dans le droit, nous n'avons par exemple pas la même conception de la liberté d'expression et de ses conséquences : en Europe, nier l'holocauste est un délit ou un crime, alors qu'on est en droit de le faire outre-Atlantique, au nom de la liberté d'expression. Ces décalages sont bien ancrés et nous aurons à les traiter dans les années, voire dans les décennies à venir.
Il faudra également réguler les plateformes, il y a aussi des différences importantes sur ce point, nous avons déjà avancé et nous ne sommes plus en terrain inconnu - nous pouvons donc progresser, à petits pas et patiemment.
La mise en oeuvre de nos principes est elle-même un problème. Il y a quelque 800 affaires pendantes sur la protection des données en Europe, certaines depuis bientôt dix ans, mais les régulateurs ne prennent pas les décisions, même quand la CJUE a statué sur le principe. Il faut compter aussi avec le fait que les recours judiciaires sont onéreux et qu'ils demandent du temps.
Côté américain, le contentieux relève du département du commerce et, dans les faits, les requêtes sont tout simplement mises de côté, ajournées. En réalité, très peu est fait pour appliquer les normes. Il faut donc penser qu'on n'avancera que progressivement et que le chemin à parcourir est encore long.
M. Jean-François Rapin, président. - Merci pour cet échange, nous serons très vigilants sur ce qui va se passer dans les prochains jours, bonne chance pour vos plaidoiries, nous sommes vos alliés dans ces affaires ! (Applaudissements)
La réunion est close à 10 heures.