«Les CNIL européennes ne demandent pas un Safe Harbor 2»

Isabelle Falque-Pierrotin, chair of the Article 29 working party and head of French data protection authority CNIL, with EU Justice Commissioner Vera Jourova

Isabelle Falque-Pierrotin [European Commission]

Les États-Unis doivent répondre aux inquiétudes des juges européens, qui estiment que la protection des données des citoyens stockées de l’autre côté de l’Atlantique n’est pas suffisante. 

Isabelle Falque-Pierrotin dirige la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité française de protection des données, et est présidente du Groupe de travail « Article 29 », un organe de surveillance dédié à la protection des données dans l’UE.

L’accord sur le partage des données et la sphère de sécurité entre l’UE et les États-Unis, Safe Harbor, a été invalidé par la Cour de justice européenne en octobre 2015. Le Groupe de travail « Article 29 » a alors exhorté la Commission à conclure un nouvel accord sur le sujet avec les États-Unis d’ici fin janvier 2016.

>> Lire : Washington fustige la position de la CJUE sur la protection des données

Comment votre travail à la tête du Groupe de travail « Article 29 » a-t-il changé depuis la décision de la CJUE d’invalider l’accord de Safe Harbor ?

Mon travail n’a pas changé de manière extraordinaire. Le mois dernier, le groupe 29 est devenu un cadre de discussion sur les dossiers et les décisions politiques et stratégiques des autorités chargées de la protection des données (APD). C’est une situation plutôt nouvelle. Avant cela, on y parlait surtout des décisions techniques ou très juridiques. Cela ne veut évidemment pas dire que nous ne nous intéressons plus aux discussions juridiques, mais, en plus de ces sujets, nous avons de plus en plus le pouvoir de définir des décisions stratégiques et opérationnelles pour les 28 ADP.

Comment cela fonctionne-t-il ?

Il est très important que les APD restent unies sur ces questions sensibles, il est donc essentiel de coopérer étroitement pour prendre des décisions communes et des risques collectifs. Quand nous avons appelé à une période de transition jusqu’en janvier, c’était un risque que nous avons pris ensemble. Les décisions de la Cour sont en effet des décisions qui prennent effet immédiatement. Nous avons décidé de cette phase de transition afin de permettre à tous les acteurs du secteur de prendre leurs responsabilités. Je pense que cette coopération était très intéressante, parce que nous nous sommes mis d’accord sur cette phase et sur le risque collectif à prendre.

Les APD allemandes ont annoncé qu’elles n’autoriseraient plus de nouveaux contrats pour les règles d’entreprises contraignantes ou clauses contractuelles types, qui sont des moyens alternatifs de transférer des données vers les États-Unis.

Oui, mais nous avons décidé d’autoriser quand même les règles d’entreprise contraignantes et les clauses contractuelles pour l’instant, et donc de ne pas encore les considérer comme illégales. Les Allemands ont décidé de ne pas en émettre de nouvelles, mais ils ne mettent pas un terme à celles qui sont en cours et qui permettent des transferts en ce moment même.

>> Lire : La CNIL allemande interdit aux géants du net de stocker leurs données hors d’Europe

Julie Brill, membre de la commission fédérale du commerce américaine, a rappelé la semaine dernière que depuis 15 ans que l’accord de Safe Harbor est appliqué, seules quatre plaintes ont été transmises à sa commission par les APD européennes. Ces dernières auraient-elles dû aider davantage la commission fédérale en lui transmettant plus de plaintes ?

Il est vrai que nous n’avons pas transmis beaucoup de plaintes à la commission fédérale du commerce. Je pense toutefois qu’il y en a eu plus que quatre, parce que nous avons souligné plusieurs problèmes de conformité possibles. Ceux-ci ne provenaient pas de plaintes, mais d’inspection en ligne des sites des entreprises concernées. Nous avons transféré ces informations à la commission fédérale il y a quelques années, mais ils ont eu du mal à les traiter, parce qu’ils ne travaillent pas de la même manière que nous. Je n’ai pas besoin d’une plainte ou d’un certain nombre de plaintes pour enquêter sur une affaire. En revanche, cette commission doit avoir un certain nombre de plaintes – et les évaluations externes ne comptent pas – pour lancer une enquête. Ils n’ont donc rien fait des informations que nous leur avons transférées.

Nous pourrions donc améliorer la manière dont nous travaillons pour mieux collaborer sur le suivi de Safe Harbor. Cette différence d’approche n’est cependant pas l’essentiel du problème souligné par les juges européens. Essayons donc de nous concentrer sur leur message principal, qui n’est pas le type de coopération, mais la situation des données quand elles sont aux États-Unis et que les services de renseignement y ont accès. Les juges estiment qu’ils ne bénéficient alors pas d’assez de garanties sur la protection des données pour que la situation soit conforme au droit européen.

Nous aurions toutefois pu réagir de manière plus énergique, parce que certaines études sur le Safe Harbor indiquaient déjà que l’accord n’était pas aussi protecteur que les lois européennes. Vous avez entendu parler du rapport de Chris Connolly ? Tout le monde savait que Safe Harbor devait être amélioré.

Vous voudriez mettre en place un nouvel accord d’ici la fin du mois de janvier. Pensez-vous qu’il est possible d’avoir un nouvel accord si tôt après la décision de la CJUE ?

Les États-Unis doivent faire un geste politique en ce qui concerne les garanties de protection des données des citoyens européens. Nous avons donc souligné la nécessité de mettre en place un accord intergouvernemental ou des mesures contraignantes dans le cadre des lois américaines sur les services de renseignement.

>> Lire : La Commission promet un nouveau Safe Harbor pour début 2016

Je ne sais pas s’il sera possible de finaliser tout cela avant fin janvier, mais nous devons au moins recevoir un signe qu’ils ont compris le message des juges. Il ne s’agit pas de produire un Safe Harbor numéro deux. Il faut réellement tenir compte des arguments du juge, qui s’inquiète de la protection des données des citoyens européens aux États-Unis, quand les services de renseignement y ont accès. 

>> Lire : Les eurodéputés réclament aussi un nouvel accord de Safe Harbor

Le gouvernement américain est en train de prendre une série de mesures, notamment l’acte de recours judiciaire. Estimez-vous qu’il est sur la bonne voie ?

L’acte de recours judiciaire est intéressant, mais il ne couvre pas les services de renseignement et la sécurité publique. Il montre cependant que les pouvoirs publics américains comprennent qu’ils doivent accorder une certaine liberté et certaines garanties. Certaines associations de défense des libertés publiques ont écrit au gouvernement américain après la décision de justice européenne sur Safe Harbor, afin de lui demander une réglementation contraignante ou un accord intergouvernemental entre l’UE et les États-Unis, afin que les garanties nécessaires existent, justement.

La société civile, le groupe 29 et quiconque souhaite que cette question soit réglée exercent donc une pression politique. Nous souhaitons tous que les transferts de données continuent, parce qu’ils sont associés à des intérêts économiques et politiques très importants. Mais ils ne continueront pas à n’importe quel prix. Washington est de plus en plus consciente de cette pression.

Un nouvel accord sur le partage des données mettra-t-il l’accent sur une coopération renforcée entre les APD européennes et la commission fédérale américaine du commerce?

Nous pouvons évidemment améliorer la coopération entre le groupe 29 et la commission fédérale du commerce. Nous n’y sommes pas opposés. Sur toute une série de sujets, nous avons d’ailleurs déjà une bonne coopération. Récemment, nous avons par exemple collaboré sur les données génétiques. Pour Safe Harbor, nous pourrions coopérer davantage. Je soutiens cette idée. Il faut cependant noter qu’une coopération renforcée entre le groupe 29 et la commission fédérale du commerce ne permettra pas de répondre aux critiques de la Cour européenne. L’accès des services de renseignement américains aux données des citoyens européens n’a rien à voir avec la commission et le groupe 29.

>> Lire : Peut-on encore reprendre le contrôle de nos données ?

Subscribe to our newsletters

Subscribe

Envie de savoir ce qu'il se passe ailleurs en Europe? Souscrivez maintenant à The Capitals.