Contenu

Le Parlement européen avance sur la réforme de la protection des données et veut suspendre les accords Safe Harbor

Le 12 mars, lors d’une séance plénière, le Parlement européen a approuvé un rapport sur la protection des données personnelles ainsi qu’un rapport sur un projet de directive. Le Parlement européen a aussi décidé de mettre la pression sur les États-Unis pour arrêter la surveillance par la NSA des citoyens européens.

La réforme en quelques mots (et liens)

La résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adoptée avec 621 voix pour, 10 contre et 22 abstentions. Ce plébiscite marque une nouvelle étape dans la réforme de la protection des données dans l’Union européenne, dont la directive centrale – directive 95/46/CE – date quand même d’il y a bientôt vingt ans. En 2011, Viviane Reding, Vice-Présidente de la Commission européenne, avait donné quelques pistes quant à l’orientation de la réforme.

Entre autres, la réforme vise à instaurer et/ou renforcer un droit à l’oubli numérique ainsi qu’à l’effacement. Ce droit devrait notamment permettre d’obtenir des tiers l’effacement de liens des données dont on a demandé que leur diffusion cesse. On devrait pouvoir exiger un effacement des données si elles ont été traitées de manière illicite, si elles ne sont plus nécessaires pour la poursuite du but pour lequel elles ont été collectées et traitées, si la personne concernée s’oppose au traitement de ces données, ou (évidemment) si un juge l’exige. L’effacement devrait se faire sans délai, mais on pourra opposer aux personnes concernées le droit à la liberté d’expression, des motifs de santé publique ou de recherche (statistique, scientifique ou historique). La CNIL avait eu l’idée de consacrer un droit au déréférencement, plutôt que d’effacer les données ; cela permettrait de rendre l’accès aux données plus ardu sans détruire ces dernières.

Si cette partie de la réforme est un bon pas en avant, il en est d’autres qui ne satisfont pas.

Le projet prévoit de permettre des transferts de données sans que l’internaute n’ait à donner son accord. Pour autant que la personne qui traite les données y trouve un intérêt légitime, le consentement de la personne concernée ne sera pas nécessaire. Inutile de vous démontrer à quel point cette notion d’intérêt légitime est large et floue. Cela permettrait d’invoquer un intérêt légitime pour justifier le fait qu’on outrepasse le consentement d’une personne pour traiter ses données. C’est pour votre bien, puisqu’on vous le dit.

De plus, bien que ce ne soit pas d’une gravité alarmante, le Parlement européen a supprimé le droit à la portabilité des données. Ainsi, les internautes européens ne pourront pas exiger de Microsoft, Google, Yahoo, Apple & Consorts de transférer leurs données (e-mails et carnet d’adresses, par exemple) d’un service à un autre. Le Parlement a préféré inciter les responsables des traitements de données à permettre la portabilité.

Un autre point sensible (et potentiellement vicieux) est celui des données pseudonymisées. En effet, le texte adopté prévoit que

le profilage fondé uniquement sur le traitement de données pseudonymes devrait être présumé ne pas affecter de manière significative les intérêts, droits ou libertés de la personne concernée,

et qu’

un professionnel qui traite des données à caractère personnel relatives à la santé devrait recueillir, dans la mesure du possible, des données anonymes ou protégées par un pseudonyme, de sorte que l’identité de la personne concernée ne soit connue que du médecin généraliste ou spécialiste qui a demandé le traitement des données.

Lorsqu’on traite des données personnelles, le fait de les pseudonymiser ne les rend pas anonymes, en fonction de la quantité de données et du recoupement d’information qu’il est possible de réaliser.

Le Conseil de l’UE devra se prononcer sur cette réforme les 5 et 6 juin 2014. Dans l’intervalle, le Parlement européen sera renouvelé.

Une autre résolution : accords Safe Harbor, SWIFT, TTIP

En plus des rapports sur la réforme de la protection des données, le Parlement a adopté une résolution visant directement les États-Unis. Cette résolution n’a pas de force législative particulière, elle ne fait qu’affirmer une position qui devrait guider les États membres de l’UE ainsi que les institutions européennes. Cette résolution a été votée à une écrasante majorité : 544 voix pour, 78 contre et 60 abstentions.

Elle demande la suspension de deux accords existants (Safe Harbor et SWIFT) et conditionne l’acceptation du TTIP à l’arrêt de la surveillance par la NSA des citoyens européens.

Le Safe Harbor est un accord entre la Commission européenne et le Département du commerce américain. Il s’agit en réalité d’une série de principes concernant la protection des données personnelles. Les sociétés américaines peuvent (ou non) adhérer à ces principes ce qui leur permet de collecter et traiter des données provenant de l’UE (et de la Suisse, qui a son propre Safe Harbor).

Les grands principes sont repris de la directive 95/46/CE :

  • sécurité des données ;
  • information des personnes concernées ;
  • consentement explicite des personnes concernées pour recueillir des données sensibles ;
  • intégrité des données ;
  • droit d’accès et de rectification des données ;
  • possibilité de s’opposer à un transfert des données à un tiers, ou à l’utilisation des données pour un but différent de celui annoncé lors de la collecte ;
  • mise en place de moyens pour l’application de ces principes.

[Ces principes] ne permettent pas d’assurer une protection suffisante pour les citoyens de l’Union, affirment les députés. Ils invitent instamment les États-Unis à proposer de nouvelles dispositions sur les transferts d’informations personnelles, qui répondent aux exigences européennes de protection des données.

En effet, la section 702 de la loi FISA autorise la NSA et d’autres agences américaines à analyser les données provenant de l’étranger si elles sont stockées sur territoire américain. Pour plus de détails, voir cet article.

L’accord SWIFT concerne les données bancaires. Signé en 2010, cet accord autorise les autorités américaines à accéder aux données bancaires (dans leur intégralité) des citoyens européens sur le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunications). Le but à l’origine était de lutter contre le terrorisme en surveillant son financement.

Aussi louable soit ce but, les Américains y auraient accédé illicitement. Le Parlement européen aurait justement eu vent d’allégations selon lesquelles les autorités américaines ont accès aux banques de données de citoyens européens en dehors de l’accord.

La lutte contre le terrorisme ne peut justifier une surveillance de masse secrète et illégale.

Les révélations de l’année passée concernant notamment l’ampleur de la surveillance américaine ont beaucoup inquiété les élus européens (lire dès la page 250 de ce document qui liste les textes adoptés par le Parlement européen le 12 mars 2014).

L’accord TTIP (partenariat transatlantique de commerce et d’investissement) pourrait lui aussi être remis en cause. Le Parlement a décidé de ne pas donner son approbation à cet accord “à moins qu’il ne respecte pleinement les droits fondamentaux de l’UE”.

[…] la protection des données devrait être exclue des négociations commerciales. L’approbation du Parlement “pourrait être menacée tant que les activités de surveillance de masse et l’interception des communications au sein des institutions et des représentations diplomatiques de l’Union européenne n’auront pas été complètement abandonnées”.

Propositions diverses

En plus de ces déclarations politiques, le Parlement a fait quelques propositions (en fait, il a repris celles de la commission des libertés civiles [LIBE]) pour rendre la tâche plus compliquée à la NSA :

  1. privilégier les logiciels libres ;
  2. chiffrer les télécommunications ;
  3. développer des solutions alternatives au cloud américain.

Cette proposition est assortie de demandes de clarification aux autorités nationales des États membres pour la surveillance et le renseignement. On sait que certaines agences nationales collaborent plus ou moins étroitement avec la NSA.

De plus, le Parlement européen souhaiterait également mettre sur pied un

programme européen de protection des lanceurs d’alerte, qui accorde une attention particulière à la complexité du lancement d’alertes dans le domaine du renseignement. De plus, les États membres sont invités à examiner la possibilité d’octroyer aux lanceurs d’alerte une protection internationale contre les poursuites.

Commentaire

L’adoption en première lecture du rapport de Jan Philipp Albrecht concernant le règlement général sur la protection des données est une bonne chose. A la lecture des textes adoptés, les élus européens ne se seraient pas trop laissé influencer par les lobbies.

On regrettera que les élus n’aient pas décidé d’apporter leur soutien à Edward Snowden. Mais le signal fort envoyé aux États membres et à la Commission européenne sur les accords SWIFT, Safe Harbor et TTIP est une avancée que le Parlement européen renouvelé devra tenir et pousser encore plus loin.

Alors que plusieurs exécutifs nationaux d’États membres avaient minimisé la surveillance massive (américaine comme européenne), le Parlement déclare que la violation massive des droits fondamentaux des citoyens européens ne peut pas être acceptée et qu’elle aura des conséquences concrètes.