Comment l’Europe laisse la protection des données informatiques des Européens en pâture<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Europe
Comment l’Europe laisse la protection des données informatiques des Européens en pâture
©DR

Renonciation

En acceptant de transférer les données personnelles de ses citoyens vers des data centers aux Etats-Unis, l'Union européenne a renoncé à sa souveraineté. Une décision qui pourrait être lourde de conséquences.

Jean-Gabriel Ganascia

Jean-Gabriel Ganascia

Jean-Gabriel Ganascia est professeur à l'université Pierre et Marie Curie (Paris VI) où il enseigne principalement l'informatique, l'intelligence artificielle et les sciences cognitives. Il poursuit des recherches au sein du LIP6, dans le thème APA du pôle IA où il anime l'équipe ACASA .
 

Voir la bio »

Atlantico : Ce lundi, se tient une réunion du G29 (groupe de travail sur la protection des données) sur la décision de la Commission européenne d'adopter un nouveau cadre juridique pour régir les transferts de données personnelles des citoyens européens vers les data centers situés aux Etats-Unis. Selon la commissaire européenne à la Justice, Vera Jourova, "Ce nouveau cadre rétablira la confiance des consommateurs dans le contexte du transfert transatlantique de données". Les données des Européens seront-elles vraiment protégées d’un accès abusif ?

Jean-Gabriel Ganascia : Pour bien comprendre les enjeux de cette réunion, rappelons d’abord que GT29 signifie Groupe de travail "article 29" : ce groupe de travail a été institué par l’article 29 de la directive européenne du 24 octobre 1995 sur la protection des données et leur libre circulation. En conséquence, contrairement à ce que cette dénomination laisse penser, ce groupe de travail rassemble non pas 29 membres, mais 28 qui correspondent aux 28 autorités indépendantes nationales de protection des données, c’est-à-dire aux 28 équivalents de la CNIL (Commission nationale de l'informatique et des libertés) en France, des 28 États membres de l’Union européenne. 

Cette réunion fait suite à une première réunion qui s’était tenue le 13 avril dernier pour examiner le projet de "bouclier vie privée" (EU-US Privacy Shield) entre l’Union européenne et les États-Unis qui a été annoncé le 2 février 2016. Ce projet d’accord entre l’Europe et les Etats-Unis répond aux avis de la Cour de Justice de l’Union européenne qui, dans son arrêt du 6 octobre 2015, déclarait invalide les textes dits de Safe Harbour régissant jusque-là la sécurité des données. En effet, ceux-ci ne se conformaient pas aux textes européens sur la protection de la vie privée, en particulier à l’article 8 de la Convention européenne des droits de l’homme et aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne. Il s’agit donc là de mettre en conformité la législation qui s’applique aux données des citoyens européens "aspirées" vers les Etats-Unis avec les principes juridiques de la communauté européenne. Dans ce contexte, il y a là incontestablement un apport positif et on conçoit aisément que la commissaire européenne Věra Jourová exprime sa satisfaction et tente de nous rassurer. Toutefois, la première réunion du GT29 en avril dernier avait mentionné les imprécisions des nouveaux textes qui portent sur deux points essentiels. Le premier tient à l’usage commercial des données privées des citoyens européens qui risque de ne pas se conformer aux lois européennes, avec en particulier la possibilité pour les États-Unis de céder ces données à des pays tiers qui ne respectent pas les mêmes règles de protection. Quant au second point, il porte sur les possibilités d’exploitation de ces données à des fins de surveillance de masse "indiscriminée" par l’administration américaine. 

En transférant les données des citoyens européens aux Etats-Unis, l’Union européenne n’a-t-elle pas renoncé à sa souveraineté sur les données personnelles de ses citoyens ? Quels dangers cela représente-t-il ?

Pour éviter tout malentendu, précisons que le "bouclier vie privée" entre l’Union européenne et les États-Unis ne vise pas à transférer les données des citoyens européens aux États-Unis, mais à poser un cadre juridique compatible avec la législation européenne, en particulier avec la convention sur les droits de l’homme et avec la charte des droits fondamentaux, sur les données des citoyens européens qui sont transférées aux États-Unis, par exemple sur les requêtes qu’ils font sur les moteurs de recherche américains ou sur les données qu’ils stockent sur leurs comptes dans les réseaux sociaux américains comme Facebook. L’Europe ne renonce pas explicitement à sa souveraineté avec cette nouvelle loi, mais elle laisse la porte ouverte à une forme de renonciation pour deux raisons. D’une part, il semble que rien dans la loi actuelle ne limite le transfert de données. En particulier, il n’existe pas de demande de consentement éclairé, libre et explicite des utilisateurs pour s’assurer qu’ils sont bien d’accord pour que leurs données personnelles soient transférées. Insistons sur la liberté : est-il toujours possible d’utiliser Google ou Facebook, voire même les ordinateurs avec des systèmes d’exploitations américains comme Microsoft ou Apple, en demandant que ses données personnelles ne soient pas transférées vers les États-Unis ? D’autre part, on peut craindre que les lois européennes sur la vie privée ne restreignent l’exercice de la souveraineté des États européens sur les ressortissants des autres États européens, alors qu’aux termes du "bouclier vie privée" UE-EU, les États-Unis seraient en mesure d’exercer leur souveraineté nationale sur les données des citoyens européens à des fins de sécurité intérieure ou de défense nationale. Bref, on peut craindre que les États-Unis puissent mieux exploiter les données des citoyens européens que les États européens eux-mêmes…

L’Union européenne avait-elle d’autres choix que de renoncer à sa souveraineté ? Quelles étaient les alternatives envisageables ? 

A titre personnel, je crois qu’on ne peut plus discuter des questions de données personnelles en partant des grands principes de proportionnalité et de finalité, comme le font la plupart des autorités indépendantes nationales de protection des données des pays européens et, en particulier, la CNIL. En effet, ces principes s’opposent aux fondements épistémologiques sur lesquels reposent actuellement les sciences et les techniques du traitement des données.

En revanche, il faudrait partir d’une réflexion sur l’exercice des fonctions régaliennes des États et de l’Union européenne dans la société numérique, en réfléchissant à leur compatibilité — et aux éventuels compromis — avec les principes de protection de la vie privée. 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !