Le futur accord Etats-Unis – Union européenne relatif aux données à caractère personnel dans le cadre de la lutte contre le terrorisme : avancées décisives et soft power européen.

Sylvie Peyrou, CDRE Bayonne 

« Point n’est besoin d’espérer pour entreprendre ni de réussir pour persévérer » … Cette maxime, attribuée à Guillaume  Ier d’Orange Nassau, pourrait illustrer la position de l’UE dans les difficiles négociations entamées avec les Etats-Unis depuis 2010, en vue de conclure un accord général (« umbrella agreement ») relatif à la protection des données à caractère personnel dans le cadre de leur coopération en matière de lutte contre le terrorisme et la criminalité. Ce sont en effet des avancées décisives qui viennent de se produire à Athènes le 25 juin, lors de la rencontre ministérielle « Justice et Affaires intérieures » entre l’UE et les Etats-Unis (Statement/14/208).

La Commission européenne a entamé des négociations avec les autorités américaines, sur la base d’un mandat qui lui a été accordé par le Conseil le 3 décembre 2010 (IP/10/1661). La coopération policière et judiciaire en matière pénale s’est en effet développée et intensifiée entre les deux rives de l’Atlantique, notamment depuis le 11 septembre 2001, et le partage d’informations en constitue une pièce maîtresse. Toutefois,  les négociations menées et les accords conclus entre les deux partenaires sur des points spécifiques, tels l’accord PNR (Passenger Name Record, données des dossiers des passagers aériens) et l’accord TFTP (Terrorist Finace Tracking Programme, programme de surveillance du financement du terrorisme) ont révélé des divergences dans leur approche respective en matière de protection des données.

L’accord-cadre actuellement en cours de négociation ne vise pas pour autant à se substituer aux accords sectoriels existants et ne fournira pas une base juridique à d’éventuels transferts de données entre l’UE et les Etats-Unis. Il a pour ambition de fixer un cadre général, posant un certain nombre de principes, afin de garantir un niveau de protection des données satisfaisant aux exigences européennes en la matière.

Ces dernières se font d’autant plus pressantes qu’elles trouvent désormais un ancrage « constitutionnel » dans la Charte des droits fondamentaux de l’UE (article 8), dont la CJUE s’est emparée dans une démarche dynamique et constructive, contribuant à un renforcement du droit à la protection des données dans le cadre de l’UE (voir les récents arrêts Digital Rights Ireland Ltd, Commission c. Hongrie et Google Spain, commentés ici-même).

Les principes posés s’agissant de la protection des données à caractère personnel sont donc devenus consubstantiels à l’UE et ils s’imposent  au législateur sous la vigilance du juge. Un arrêt crucial de la CJUE est d’ailleurs attendu sur un problème en relation avec le thème abordé ici : la Cour suprême irlandaise (sur la base de plaintes déposées contre Facebook  pour atteinte à la protection des données personnelles) vient en effet d’interroger la Cour par la voie préjudicielle sur la question de savoir si le transfert de données personnelles par des entreprises, sur la base de l’accord Safe Harbour UE-USA de 2000 est légal au regard du droit de l’UE (Europolitique n° 4890, jeudi 19 juin 2014).

Il s’agit, pour le futur accord général UE/Etats-Unis, d’assurer que les transferts et les  traitements de données personnelles par les autorités compétentes dans le cadre de la coopération en matière pénale respectent un certain nombre de principes fondamentaux.

Sont visés en particulier : la proportionnalité, la limitation des finalités, la durée de conservation au strict nécessaire. L’application des normes en la matière doit en outre être placée sous le contrôle d’autorités publiques indépendantes (la CJUE en a rappelé l’importance). Et, last but not least, il s’agit d’assurer aux citoyens de l’UE des recours administratifs ou juridictionnels équivalents à ceux dont disposent les citoyens américains (recours dont les citoyens de l’UE sont actuellement privés).

Ce dernier point était le plus controversé dans les négociations en cours. Le droit de recours est néanmoins indispensable afin d’assurer aux citoyens européens que les droits figurant dans l’accord aient un caractère exécutoire. C’est cet obstacle majeur dans les négociations UE-USA qui vient d’être levé à Athènes le 25 juin dernier, lors de la rencontre ministérielle UE-USA. L’Attorney général des Etats-Unis, M. Eric Holder, a en effet annoncé la volonté de l’administration Obama d’étendre aux citoyens européens les garanties du Privacy Act (loi américaine relative à la protection de la vie privée) dont seuls les citoyens américains bénéficient aujourd’hui (voir Statement/14/208).

Madame Reding, vice-présidente de la Commission, en charge de la justice, des droits fondamentaux et de la citoyenneté en a souligné l’importance, déclarant que l’établissement, par le Congrès américain, d’un recours judiciaire au bénéfice des citoyens européens ouvrait la porte à la conclusion de l’accord-cadre sur la protection des données (Statement/14/208). Ceci devrait contribuer en particulier à « rétablir la confiance » entre les deux rives de l’Atlantique, comme la Commission en avait exprimé le souhait (voir COM(2013) 846 final du 27.11. 2013), cette confiance ayant été largement entamée suite aux révélations de l’affaire PRISM. Du reste, les conclusions du sommet UE/Etats-Unis du 26 mars 2014 notaient la volonté commune de résoudre les questions en suspens, y compris celle du recours judiciaire (Presse 190/26 mars 2014).

Si la Commission est désormais dans l’attente d’une traduction législative par le Congrès américain de cette avancée décisive ainsi promise, il semble donc que l’accord soit en bonne voie de conclusion. Ce que l’on peut qualifier de victoire pour l’UE est ainsi une illustration bienvenue du « soft power » européen, au rayonnement duquel le juge européen contribue pour une large part sans doute, par la fermeté qu’il a manifestée dans des affaires récentes.

Mais ce progrès inattendu ne doit pas pour autant cacher les craintes relatives aux renégociations en cours de l’accord « Safe Harbour », qui permet le transfert de données personnelles entre entreprises européennes et américaines dans un but commercial.

Cette renégociation, initiée suite aux recommandations de la Commission (« Restoring Trust in EU-US data flows », Memo/13/1059), bute en effet sur la question de l’accès à ces données par les autorités publiques américaines, dans des buts de sécurité nationale. Sans doute l’UE doit-elle rester vigilante encore dans le cadre des négociations transatlantiques, guidée par la devise du même Guillaume d’Orange-Nassau cité de façon liminaire : « Je maintiendrai »….