De l’accord PNR à Prism, bilan et perspectives sur les malentendus transatlantiques : lutte anti-terroriste versus protection des données personnelles

Par Sylvie Peyrou, CDRE

« La diplomatie est-elle plus importante que les droits fondamentaux ? », telle est la question, posée par Sophia In’t Veld, rapporteur du texte relatif à l’accord Passenger Name Record (PNR) entre l’Union européenne (UE) et les Etats-Unis d’Amérique (USA) sur le transfert des données des dossiers passagers. Cette interrogation est apparue légitime après l’adoption par le Parlement européen de cet accord pourtant très controversé. En effet, ce texte, jugé contraire au droit de l’UE en matière de protection des droits fondamentaux, a été finalement approuvé, puis est entré en vigueur le 1ier juin 2012. Cette capitulation de l’Europe sur des valeurs qui lui sont pourtant fondatrices, et ce au nom de la Realpolitik, semble une parfaite illustration des récents malentendus transatlantiques, l’affaire « Prism » en étant le dernier épisode.

Après la fin de la guerre froide, les attentats du 11 septembre 2001 ont marqué l’entrée du monde dans une nouvelle ère. La guerre déclarée contre le terrorisme (Global war on Terror) par les Etats-Unis, et dans leur sillage, par les autres pays occidentaux, ne traduirait-elle pas en fait la « sinistre victoire posthume de Ben Laden »[1] ? La liste est longue des entorses, sinon des violations graves, du droit humanitaire ou des droits fondamentaux, bien que commises au nom de la sécurité des populations. La mise en œuvre de législations d’exception, les exécutions ciblées par les recours aux drones, les vols secrets de la CIA, la détention prolongée de suspects sans jugement à Guantanamo, leurs conditions de détention à Abu Ghraïb, sont autant de déviances aujourd’hui couronnées par la découverte des écoutes électroniques à grande échelle.

Les atteintes au droit à la protection des données à caractère personnel sont nombreuses dans le cadre de la lutte contre le terrorisme ; cette protection devient un enjeu de discussions et d’oppositions entre Union européenne et Etats-Unis, en raison de conceptions et de priorités à tout le moins différentes. Les sujets de friction sont nombreux, et traduisent des divergences conceptuelles et politiques de part et d’autre de l’Atlantique, qui apparaissent difficilement conciliables. La protection des données, érigée en droit fondamental au sein de l’Europe (de l’UE au Conseil de l’Europe), semble passer au second plan en effet aux Etats-Unis, qui donnent priorité à la lutte contre le terrorisme, c’est-à-dire à la sécurité, au nom d’une conception qui pourrait se revendiquer de Thomas Hobbes et de John Locke.

Si l’Union européenne paraît politiquement désarmée face à la toute-puissance des Etats-Unis (les négociations de l’accord PNR l’ont montré), elle n’est toutefois pas dépourvue de tout moyen d’action. Sa faiblesse politique peut en effet être compensée par sa force juridique si elle parvient à user du levier législatif. Les récents développements de l’actualité lui donnent en effet opportunément l’occasion de se fédérer autour de projets législatifs forts, en mesure d’assurer un haut niveau de protection des droits fondamentaux en général, et de protection des données à caractère personnel en particulier. Plusieurs textes sont en effet à l’agenda du législateur, tels que le projet de règlement appelé à remplacer la directive 95/46/CE, texte majeur en matière de protection des données au sein de l’Union européenne, ou le projet de directive PNR. Ce travail législatif  en cours confronte toutefois les Institutions européennes au débat opposant sécurité et liberté, lutte contre le terrorisme et protection des droits fondamentaux. Ces deux objectifs paraissent à première vue antagonistes, mais sans doute l’Europe, où le soft power semble l’emporter sur le hard power, est-elle la mieux à même d’assurer un équilibre. Elle dispose pour cela  d’un corpus de règles fortes en matière de droits fondamentaux (CEDH et Charte des droits fondamentaux de l’Union), qui l’inspirent autant qu’elles s’imposent à elle.

L’impossible dialogue transatlantique ci-dessus évoqué (I) semble donc avoir pour corollaire un indispensable unilatéralisme européen (II) afin de résoudre au mieux le dilemme sécurité versus liberté.

I L’impossible dialogue transatlantique

Les deux rives de l’Atlantique ont vu naître ces dernières années de nombreuses confrontations, qui illustrent le difficile équilibre à atteindre entre lutte contre le terrorisme et protection des droits fondamentaux. Les divergences sont nombreuses (A), et révèlent une conception divergente des droits fondamentaux et de leur garantie (B).

A) De nombreuses divergences

De l’affaire SWIFT à PRISM, l’actualité est abondamment illustrée de frictions entre Union européenne et Etats-Unis, quant aux méthodes mises en œuvre afin de lutter contre le terrorisme, au détriment de la protection des données à caractère personnel.

1°) L’accord SWIFT

Dès 2006, les Européens découvrent que les Etats-Unis utilisaient secrètement depuis 2001 des données bancaires personnelles stockées via le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunications). Cette société de droit belge qui traite les flux financiers de plus de 8000 banques dans le monde, transmettait les données en sa possession aux autorités américaines agissant dans le cadre de leur programme de lutte contre le terrorisme (Terrorist Finance Tracking Programme, TFTP). Suite à la polémique soulevée en Europe quant à l’atteinte aux données personnelles, un accord a été conclu en 2010[2] entre l’UE et les Etats-Unis afin de donner une base légale aux échanges de données bancaires transatlantiques, et assurer par la même un niveau satisfaisant de protection des données à caractère personnel. Le Parlement européen, inquiet des lacunes en matière de protection des données a rejeté un premier accord temporaire le 11 février 2010. Un second accord a alors été proposé, négocié, conclu, puis finalement accepté par le même Parlement le 8 juillet 2010. Ont été ainsi obtenues de haute lutte un certain nombre d’améliorations, par exemple que les Européens puissent évaluer la pertinence des demandes américaines (via EUROPOL), qu’un représentant de l’UE soit présent à Washington afin de contrôler l’utilisation des données, ou enfin que les Européens puissent bénéficier de procédures judiciaires de réparation sur le sol américain[3].

2°) L’accord PNR

L’objet de l’accord PNR est le transfert au Ministère de la sécurité intérieure américain  (Department of Homeland Security, DHS) des données des passagers aériens européens à destination des Etats-Unis, afin de prévenir, détecter, enquêter ou poursuivre des actes terroristes ou des crimes transnationaux graves. Un premier accord conclu en 2006 ayant été invalidé par la Cour de Justice[4], un nouvel accord a été appliqué de manière provisoire à partir de 2007, puis finalement rejeté par le Parlement européen en mai 2010. De nouvelles négociations ont alors été menées entre l’UE et les Etats-Unis aboutissant à la conclusion d’un nouvel accord en décembre 2011[5]. Ce dernier, soumis à l’approbation du Parlement européen, a, contre toute attente, été finalement entériné en avril 2012[6], malgré les critiques nombreuses et réitérées qui avaient été formulées à son encontre. Des objections majeures avaient été soulevées, notamment envers les finalités du recueil de données (formulées de façon large ou vague, sans référence précise aux objectifs avancés de lutte contre le terrorisme et la criminalité transnationale grave), les délais de conservation des données[7], la collecte de données dites « sensibles », ou enfin les droits de recours des particuliers ressortissants de l’UE auprès des instances judiciaires américaines[8] etc. Il est apparu ainsi que des considérations politiques et diplomatiques ont pris le pas sur la protection des données à caractère personnel, illustrant non seulement le difficile dialogue transatlantique, mais aussi la problématique de l’équilibre à trouver entre lutte contre le terrorisme et protection des droits fondamentaux[9].

3°) L’affaire PRISM

Le journaliste Glenn Greenwald, chroniqueur au quotidien britannique The Guardian, a publié sur son blog le 5 juin 2013 que la NSA (National Security Agency) bénéficiait d’un accès illimité aux données de Verizon, un des principaux opérateurs américains de téléphonie et d’accès internet. L’article s’appuyait sur des informations confidentielles livrées par Edward Snowden, informaticien officiant pour différents sous-traitants de la NSA. Il a également révélé que neuf des plus grands acteurs d’internet (Apple, AOL, Facebook, Google, Microsoft, PalTalk, Skype, Yahoo, et YouTube) auraient permis au FBI (Federal Bureau of Investigation) et à la NSA d’avoir directement accès aux données de leurs utilisateurs, par le biais du système Prism, existant depuis 2007[10]. Cette collecte de données de communications de millions de citoyens, aussi bien américains qu’européens, a ainsi révélé le hiatus existant entre Etats-Unis et Europe, les premiers organisant un profilage à grande échelle dans un objectif sécuritaire, la seconde montrant son indignation face à une telle atteinte aux droits fondamentaux des citoyens (le droit à la protection de leurs données personnelles). L’UE, par la voix de Viviane Reding, vice-présidente de la Commission européenne, en charge de la Justice et des droits fondamentaux, a ainsi déclaré « il est clair que les droits fondamentaux des citoyens ne sont pas négociables »[11]. Il a été convenu de convoquer une commission d’experts de l’UE et des Etats-Unis afin d’aborder la question de Prism et celle des mécanismes de protection dont disposent les citoyens européens. Une enquête a également été initiée par le Parlement européen, sur la base d’auditions associant des représentants des autorités américaines, de la Commission européenne et du Conseil. Un rapport assorti de recommandations est attendu pour la fin de l’année 2013. Enfin, le G29, qui regroupe les autorités de contrôle européennes (dont la Commission Nationale Informatique et Liberté – CNIL française), soucieux d’évaluer l’impact du programme Prism, a adressé le 13 août 2013 un courrier à Viviane Reding, afin d’obtenir des clarifications sur la législation américaine en matière de surveillance des citoyens européens[12]. L’ampleur des réactions montre l’étendue du malentendu transatlantique, qui semble la résultante de divergences à la fois conceptuelles et politiques.

B) Des divergences conceptuelles et politiques

L’Union européenne et les Etats-Unis se distinguent par leur conception divergente des droits fondamentaux (1°) et par une hiérarchisation différente des priorités dans le débat sécurité / liberté (2°).

1°) Une conception divergente des droits fondamentaux

La protection des données à caractère personnel est un droit fondamental, proclamé, garanti et sanctionné, aussi bien pour l’Union européenne que pour le Conseil de l’Europe. Dans le cadre de l’UE, l’article 8 de la Charte des droits fondamentaux de l’Union, désormais inscrite dans le marbre des traités grâce au Traité de Lisbonne, consacre le droit de toute personne à la protection de ses données à caractère personnel. L’UE dispose par ailleurs d’une législation substantielle en matière de protection des données, dont la directive 95/46/CE (actuellement en cours de révision) constitue le cœur. Elle a, enfin, mis en place des autorités de contrôle, telles le G29, qui regroupe les différentes autorités nationales, ou le Contrôleur Européen de la Protection des Données (CEPD), chargé de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et les organes de l’UE[13]. Dans le cadre du Conseil de l’Europe, c’est le juge qui, au fil de sa jurisprudence, a donné consistance au droit à la protection des données à caractère personnel, subsumé dans le droit au respect de la vie privée garanti expressément par l’article 8 de la Convention européenne des droits de l’homme. Il convient de citer aussi la Convention 108 du 28 janvier 1981 (également en cours de refonte), spécifiquement consacrée à « la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ».

Aux Etats-Unis en revanche, le droit au respect de la vie privée a été depuis longtemps consacré par la jurisprudence de la Cour suprême[14]. Pourtant, le Privacy Act de 1974 ne concerne que les données traitées par le gouvernement fédéral, ce qui rend cette législation dépourvue de portée générale puisqu’elle ne s’applique pas aux Etats fédérés. De plus, il n’existe au niveau fédéral aucun organe de contrôle indépendant visant à assurer la protection des données personnelles. La protection des données est donc assurée par tout un ensemble de règlementations, fédérales, étatiques et sectorielles. De ce fait, le régime juridique américain de la protection des données ne satisfait pas aux exigences de « protection adéquate » imposées par la directive 95/46/CE pour le transfert de données vers des pays tiers. C’est la raison pour laquelle un accord a été conclu entre l’UE et les Etats-Unis, le Safe Harbor, qui permet ainsi le transfert de données personnelles aux entreprises américaines qui ont adhéré à ses principes.

Ces différences d’approches, fondamentales, sont aggravées par l’adoption par les Etats-Unis de législations d’exception, priorisant la lutte contre le terrorisme.

2°) La priorité donnée par les Etats-Unis à la lutte contre le terrorisme (au détriment de la protection des droits individuels)

Les attentats du 11 septembre 2001 ont montré les difficultés des services de renseignement américains à prévoir et à déjouer les menaces terroristes. C’est la raison pour laquelle un dispositif législatif a été mis en place, afin d’organiser la lutte contre le terrorisme, notamment grâce au renseignement, mais qui a pour conséquence majeure de porter atteinte aux libertés individuelles. Le texte le plus célèbre est le Patriot Act[15], loi dont la section 215 prévoit que la collecte et la surveillance des communications peuvent se faire sans mandat ni ordonnance judiciaire. Il permet la surveillance à grande échelle des communications mondiales, à nouveau dévoilée par l’affaire Prism. Ce texte a été complété par des amendements au Foreign Intelligence Surveillance Act de 1978 (FISA)[16], dont la section 702 donne une base légale au gouvernement pour collecter des informations à partir des communications entre son territoire national et l’étranger[17]. Le FISA a instauré une cour spéciale, Foreign Intelligence Surveillance Court (FISC), dont les onze juges fédéraux (choisis par le Chief Justice) statuent secrètement dans le cadre d’une procédure non contradictoire, afin de valider les demandes des services de renseignement pour les seuls citoyens américains. Cette cour, devenue une « Cour suprême parallèle » selon le New York Times[18] et suspectée d’être trop proche du pouvoir exécutif, fait l’objet de vives critiques, même aux Etats-Unis[19]. Suite à l’affaire Prism, le président Barack Obama a promis dans une conférence de presse (9 août) de respecter davantage les libertés. Il a donc proposé de modifier le Patriot Act, ainsi que la cour FISA[20], mais en déclarant : « vous ne pouvez pas avoir 100 % de sécurité, et aussi 100 % de respect de la vie privée, et zéro inconvénient. Nous avons des choix à faire en tant que société ».

C’est une logique différente qui semble prévaloir au sein des Institutions européennes, plus favorables à la protection des droits fondamentaux. Leur approche des dossiers SWIFT et PNR en est l’illustration. Elles ont ainsi vivement réagi à l’affaire Prism, on l’a vu, que ce soit la Commission par la voix de Viviane Reding, le Parlement européen, qui a instauré une commission d’enquête, ou encore le G29 qui a manifesté publiquement son inquiétude en saisissant la Commission. Comme conséquence de cette « rupture anthropologique (…) par le fait de notre condition de toute part interconnectée»[23], il serait pertinent qu’un « habeas corpus numérique »[24] vienne compenser l’érosion continue des libertés publiques liée à la politique antiterroriste, aussi bien aux Etats-Unis qu’en Europe. L’Europe, plus attachée à la défense des droits fondamentaux, semble disposer dans ce contexte d’une occasion pour faire avancer diverses réformes favorables à la protection des données à caractère personnel.

II) L’indispensable unilatéralisme européen

Les divergences transatlantiques montrent plus que jamais la nécessité pour l’Europe d’adopter un certain nombre de législations en matière de protection des données (A), qui soient à même de concilier les deux termes, légitimes, de la dialectique sécurité /liberté (B).

A) L’opportunité de faire progresser les réformes européennes

Un vaste chantier législatif a été entrepris début 2012 afin de définir de nouvelles règles en matière de protection des données, pour répondre aux objectifs du « Programme de Stockholm »[25], tout en tenant compte des nouvelles contraintes et opportunités issues du Traité de Lisbonne. L’affaire Prism peut constituer l’électrochoc nécessaire pour faire avancer des réformes politiquement et économiquement sensibles, qui rencontrent nombre de blocages.

1°) La révision de la directive 95/46/CE

La directive 95/46/CE du 24 octobre 1995 constitue le cœur de la législation européenne relative à la protection des données à caractère personnel. Son actualisation s’avère cependant indispensable, afin de tenir compte à la fois des évolutions technologiques et de la mondialisation. Ce sont les raisons pour lesquelles, dans le droit fil des objectifs définis par le Programme de Stockholm, un vaste chantier de réforme législative a été lancé. La proposition de règlement présentée le 25 janvier 2012[26], appelé à remplacer la directive de 1995, a ainsi vocation à poser un nouveau cadre général pour l’UE en la matière. Compte tenu des nouvelles exigences résultant, notamment, de l’article 8 de la Charte des droits fondamentaux de l’Union, l’ambition affichée de la Commission est de renforcer les droits des personnes, Elle se traduit par des dispositions relatives à la transparence, à un meilleur contrôle des données (avec l’apparition de nouveaux concepts tels « le droit à l’oubli »), à l’interdiction de mesures fondées sur le profilage, au concept de « privacy by design » (respect de la vie privée dès la conception), à un renforcement du rôle des autorités de protection des données, etc.[27] Cette proposition a suscité un intense lobbying auprès des institutions de l’Union, parfait indicateur des progrès qu’elle représente en matière de protection des données. Selon M. Peter Hustinx, CEPD, ce lobbying «  a été exceptionnel »[28], ce pourquoi il invite le législateur européen « à se prémunir contre toute pression indue de l’industrie et des pays tiers visant à abaisser le niveau actuel de protection des données »[29].

En sus de la pression des entreprises, un certain nombre d’Etats membres se sont opposés au texte, comme le Royaume-Uni et les Pays-Bas, hostiles aux coûts que la réforme ferait porter sur les petites et moyennes entreprises (PME) ou aux sanctions financières prévues en cas de non-respect des obligations de transparence. L’Allemagne (RFA) n’a guère témoigné d’intérêt pour la réforme (le Ministre allemand n’était pas présent au dernier Conseil JAI réuni le 6 juin pour en discuter). Quant au Parlement européen, son calendrier est bouleversé par le travail occasionné par les 3000 amendements qui ont été déposés. Dans ce contexte, le rejet du texte par le Conseil Justice et Affaires Intérieures (JAI) le 6 juin à Luxembourg ne saurait surprendre[30].

Toutefois, la conjonction de l’affaire Prism et des élections législatives en RFA semble donner une nouvelle chance au texte, la Chancelière allemande se déclarant désormais très favorable à « un accord européen sur la protection des données »[31]. Viviane Reding s’en est félicitée, la nouvelle législation étant « la meilleure façon d’assurer une solide protection des données personnelles des citoyens de l’UE, également en ce qui concerne les entreprises de pays tiers opérant dans l’UE »[32].

Cette nouvelle législation, est aussi d’une grande importance pour le développement du cloud computing, l’affaire Prism permet d’en prendre la mesure.

2°) Les enjeux juridiques du cloud computing

La Commission européenne, dans le cadre de sa « stratégie numérique pour l’Europe » présentée en 2010, a publié une communication portant sur « l’informatique en nuage » (cloud computing)[33], « innovation révolutionnaire » dont le déploiement à grande échelle pose des problèmes inédits au législateur européen, notamment en matière de protection des données. La Commission, eu égard aux enjeux du cloud computing, y a d’ailleurs consacré une étude spécifique[34].

Le futur règlement général sur la protection des données contient des dispositions spécifiques intéressant le cloud computing. Le point essentiel est relatif au champ d’application territorial du règlement, un progrès notable devant être souligné par rapport au droit existant. En effet, le règlement devrait s’appliquer au traitement de données appartenant à des personnes ayant leur résidence sur le territoire de l’Union, y compris par un fournisseur qui n’est pas établi dans l’Union, dès lors que ces activités sont liées « à l’offre de biens ou de services » à ces personnes ou « à l’observation de leur comportement »[35]. Perter Hustinx (CEPD) salue cette avancée[36] et souligne son importance dans le cadre du cloud computing[37] : un fournisseur de services d’informatique en nuage non basé dans l’UE pourra ainsi à l’avenir se voir appliquer la législation de l’UE en matière de protection des données, dès lors qu’il offrira « des biens ou des services » à des personnes résidant à l’intérieur de l’UE.

L’affaire Prism a révélé que les services de sécurité américains avaient eu accès à des données européennes stockées dans le « cloud » d’entreprises, telles que Microsoft®, Amazon® ou Google®. Fleur Pellerin juge donc « pertinent le fait de localiser des data centers et des serveurs sur le territoire national, afin de mieux garantir la protection des données traitées dans des clouds »[38]. Se pose ainsi l’intérêt de la création d’un cloud souverain, avis partagé par la présidente de la CNIL, favorable à « l’émergence d’entreprises nationales ou européennes de cloud »[39]. Ainsi, une « fenêtre de tir » semble opportunément s’ouvrir pour les initiatives de la Commission européenne en faveur du développement du cloud computing.

3°) Le PNR européen

La lutte contre le terrorisme est une préoccupation commune aux deux côtés de l’Atlantique. C’est la raison pour laquelle l’UE souhaite se doter d’une directive « PNR », l’utilisation de telles données n’étant toujours pas règlementée au niveau européen et nécessitant une harmonisation entre les Etats membres. Une proposition de directive en ce sens a été présentée le 2 février 2011[40]. Si nul ne conteste la légitimité de la lutte contre le terrorisme, des voix s’élèvent cependant (comme celle du G29) pour contester celle des mesures restrictives de libertés induites par la législation PNR. Est plus particulièrement visée ici l’utilisation « proactive » de données, véritable « profilage », dont la conformité aux exigences de l’article 8 de la CEDH (ou de la Charte des droits fondamentaux de l’UE) fait question. Ainsi, en dépit des incontestables points positifs que recèle le texte s’agissant de la protection des droits, il a été rejeté par la Commission des Libertés civiles du Parlement européen le 24 avril 2013, soucieuse sans doute de se démarquer de son précédent – et très contesté –  vote relatif à l’accord PNR avec les Etats-Unis.

En tout état de cause, le contexte politique des relations avec les Etats-Unis (affaire Prism, accord PNR) est sans doute favorable à l’adoption d’une législation conforme aux standards européens de protection des données, susceptible ensuite de servir de modèle, ou de base, pour de futures négociations internationales.

Toutes les conditions semblent donc remplies pour l’adoption de diverses législations européennes, à même de trouver le juste équilibre entre intérêts apparemment contradictoires.

B) La nécessaire prise en compte d’intérêts divergents

L’affaire Prism est révélatrice de l’érosion des libertés publiques qui accompagne la politique antiterroriste des Etats-Unis, au travers des lois d’exception évoquées ci-dessus. A l’opposé, le souci majeur de défense des droits fondamentaux qui se manifeste en Europe à cette occasion semble bien illustrer l’allégorie de Robert Kagan, opposant le « Mars » américain à la « Vénus » européenne[41]. Le débat sécurité / liberté, perçu différemment en Europe et aux Etats-Unis (1°) donne matière à réflexion au législateur européen, confronté au défi de la conciliation de ces deux préoccupations (2°) pas moins légitimes l’une que l’autre.

1°) « Mars » et « Vénus », sécurité versus liberté ?

Selon le politologue Robert Kagan, la philosophie politique américaine serait marquée par la vision du monde de Thomas Hobbes et de John Locke, où « la sécurité est considérée comme l’objet même de l’engagement en société »[42], ce qui légitime l’usage de la force. L’Europe d’aujourd’hui à l’inverse, aurait une filiation marquée avec la philosophie kantienne de « La Paix perpétuelle », dans un monde régi par le droit et les institutions.

L’impossible dialogue transatlantique apparaît dès lors comme une traduction de la conciliation présupposée impossible entre sécurité et liberté. Force est de constater ici que la sécurité ne peut être rangée dans le catalogue des droits fondamentaux, dans la mesure où il n’existe « pas de droit constitutionnellement ou conventionnellement reconnu pour les individus d’exiger de l’Etat une protection de leur propre personne et de leurs biens contre les atteintes résultant de menaces »[43]. La sécurité doit être vue bien davantage comme un « devoir » de l’Etat, devant être concilié avec la protection des droits fondamentaux (« la liberté ») qui jouissent quant à eux d’une proclamation constitutionnelle et conventionnelle forte.

La question de la conciliation entre sécurité et liberté s’est posée et se pose encore avec force pour l’Union européenne, qui, depuis le Traité de Maastricht, a mis en place un espace de « liberté, sécurité (et justice) ». Une analyse fine de ces curieuses noces entre carpe et lapin, conduit à penser en réalité que « la mise en place et le développement de la politique de sécurité intérieure européenne est un moyen détourné mais efficace d’affirmer de manière irréversible la place des droits de l’Homme au cœur de l’action de l’Union européenne. […] Ils sont une part indissociable de cette politique sécuritaire, ce qui en fait même un facteur de légitimation de l’intervention législative de l’Union. Parce qu’ils l’animent autant qu’ils l’encadrent, les droits de l’Homme peuvent être alors présentés comme un facteur décisif de l’engagement de l’Union […] Les droits de l’Homme deviennent alors le ciment de l’Union. Ils sont un élément déterminant de son identité »[44].

Ceci permet de comprendre l’ampleur des réactions évoquées ci-dessus face aux révélations de l’affaire Prism. Cette indignation manifestée au niveau des institutions européennes semble au demeurant partagée par l’opinion, alors qu’aux Etats-Unis, des sondages ont montré que les Américains renoncent volontiers à toute protection de leur vie privée dès lors qu’ils entrent dans l’espace numérique[45].

Il reste à savoir où le législateur européen placera le curseur entre lutte contre le terrorisme et protection des droits fondamentaux, lors de l’adoption des nombreux textes en chantier relatifs à la protection des données.

2°) Le défi pour le législateur européen : la conciliation de principes antagonistes

Il va sans dire que l’objectif de sauvegarde des droits fondamentaux s’impose dans une Union européenne dotée d’une Charte des droits fondamentaux inscrite dans les traités, et en passe d’adhérer à la Convention européenne des droits de l’homme. Mais l’objectif de la lutte contre le terrorisme, qui vise à préserver la sécurité des citoyens, n’en est pas moins légitime. Le législateur européen est dès lors inévitablement confronté à cette difficile conciliation entre objectifs antagonistes.

Il y est confronté, d’abord, s’agissant du projet de règlement appelé à remplacer la directive 95/46/CE. L’enjeu est ici de construire des garanties solides afin d’éviter que les données personnelles des citoyens européens ne soient transférées hors d’Europe sans aucun contrôle ni aucune garantie. Il est donc primordial de réunir un véritable consensus politique sur l’édiction de règles communes assurant un niveau élevé de protection. Or, ceci ne semble pas acquis compte tenu de l’opposition sérieuse de certains pays, particulièrement le Royaume-Uni, très attaché aux principes du libéralisme économique et du « laissez-faire » et donc hostile à tout règlementation susceptible d’entraver ou de pénaliser les entreprises.

Il y est confronté, ensuite, en matière de développement du cloud computing. Les efforts de règlementation, qui doivent assurer une garantie optimale en matière de protection des données, ne peuvent imposer des contraintes financières trop lourdes aux entreprises européennes, qui risqueraient d’y perdre en compétitivité.

Il y est confronté, enfin, avec la proposition de directive PNR. Ce texte le met en effet face à une ironique contradiction, qui consiste, en somme, à faire la même chose que les Américains, mais en mieux ! Il s’agit ainsi d’adopter des mesures afin de lutter contre le terrorisme – dans un contexte où l’exigence de sécurité se fait de plus en plus forte au sein des opinions publiques – tout en préservant un haut niveau de protection des droits qui fait partie intégrante de « l’ADN » de l’Union européenne…

Au final, les relations houleuses entre les Etats-Unis et l’Union européenne quant au débat entre lutte contre le terrorisme et protection des droits fondamentaux illustrent la confrontation qui traverse tous les pays occidentaux de l’après 11 septembre 2001. L’Union européenne n’y échappe pas, mais, de par son histoire, semble être mieux armée pour réagir face à ce que la psychanalyse appelle une « real Angst », une peur réelle face à « un système de surveillance sans garde-fou juridique (…), la crainte que les barrières du droit [ne] soient renversées laissant la porte ouverte à tous les débordements »[46]. Une dernière question mériterait enfin d’être posée, celle du statut des « whistleblowers », ces lanceurs d’alerte, véritables « chiens de garde de la démocratie », qui bénéficient de bien peu de garanties….


[1] Selon les mots de Nathalie Nougayrède, in « Guantanamo et Prism, perversions de l’antiterrorisme », Le Monde, 12 août 2013.

[2] Accord du 28 juin 2010, suite à la décision du Conseil du 24 juin 2010, Décision du Conseil relative à la conclusion de l’accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme, 11222/1/10, REV 1.

[4] Pour défaut de base juridique adéquate. Voir l’arrêt de la Cour de Justice du 30 mai 2006, aff. C-314/04 et C-318/04, Parlement européen c/ Conseil et Commission.

[5] Voir 3135e session du Conseil Justice et affaires intérieures des 13 et 14 décembre 2011, 18498/11.

[6] Feu vert de la commission des libertés civiles du parlement européen le 3 avril 2012, puis adoption en séance plénière le 19 avril 2012, par 409 voix contre 226.

[7] Données conservées dans une base de données active pendant cinq ans maximum, sachant qu’après six mois, les données sont « dépersonnalisées et masquées ». Mais au-delà, les données sont transférées dans une base de données « dormante » pour dix années supplémentaires et peuvent à tout moment être « repersonnalisées ». Au-delà, les données sont censées être entièrement « anonymisées » et leur période de conservation est alors infinie.

[8] Le Privacy Act américain n’est en effet pas applicable aux données PNR.

[9] Voir notre article : « Droits fondamentaux versus diplomatie, ou le pot de terre contre le pot de fer : réflexions sur la conclusion de l’accord PNR entre les Etats-Unis et l’union européenne », EUROP n° 7, juillet 2012, étude 8. Voir aussi notre article dans le blog du GDR-ELSJ, http://www.gdr-elsj.eu/2012/05/03/cooperation-policiere/diplomatie-ou-droits-fondamentaux-la-conclusion-de-laccord-pnr-entre-les-etats-unis-et-lunion/

[10] Un autre outil moins connu, vient compléter celui-ci, il s’agit de XKeyscore, qui permet de rechercher dans les données amassées par la NSA (grâce à Prism), quantité d’informations (messages privés échangés sur Facebook, historique de navigation…) et de les croiser dans une perspective de profilage.

[11] « I made it clear that the basic rights of citizens are not negotiable », Conférence de presse, 14 juin 2013, SPEECH/13/536, prononcée à l’issue de sa rencontre avec le Procureur général des Etats-Unis, Eric Holder.

[13] Il fournit à ce titre bon nombre d’avis, notamment sur les projets législatifs, très argumentés et éclairants.

[14] Elle l’a dégagé des troisième, quatrième, neuvième et quatorzième amendements.

[15] Cette loi du 26 octobre 2001, initiée par George Bush a été adoptée par le Congrès américain. Elle vise notamment à lutter contre le terrorisme en renforçant les pouvoirs des agences gouvernementales de renseignement et d’enquête, telles la CIA, le FBI ou la NSA.

[16] Adopté en 1978, il a été modifié en 2001 par le Patriot Act, puis en 2008 et enfin en 2012 (prorogation jusqu’à 2017).

[17] Cf. Le Monde, « Prism, Snowden, surveillance : 7 questions pour tout comprendre », 2 juillet 2013.

[18] New York Times du 7 juillet 2013.

[19] « Even hawks worry that the FISA court order gives the FBI and NSA carte blanche to surveil Americans », TIME Magazine, 8 juillet 2013, in « Watching the watchers », by Massimo Calabresi.

[20] Il est intéressant de remarquer que Barack Obama, alors qu’il était simplement sénateur, avait présenté de nombreuses mesures pour encadrer et limiter la surveillance de la NSA., engagements écartés aujourd’hui puisqu’en 2011, il a signé la reconduction du Patriot Act pour quatre ans.

[21] Voir Le Monde, « Renseignement : Obama promet de mieux respecter les libertés », 10 août 2013.

[22] Voir Le Monde, « Quand Obama Président donne raison à Obama sénateur », 29 août 2013.

[23] Voir Eric Sadin (écrivain et philosophe), « « Pour un ‘habeas corpus’ numérique », Le Monde, 17 juin 2013.

[24] Ibidem.

[25] Il définit les orientations de l’UE dans le cadre de l’espace de liberté, sécurité et justice pour la période 2010-2014.

[26] Cf. COM(2012)11/4, 25 janvier 2012.

[27] Voir notre étude : « Un nouveau cadre juridique général pour la protection des données au sein de l’UE : une réforme législative ambitieuse », Revue des Affaires Européennes, 2012/1, pp. 149-162.

[28] Voir Editorial, « Une période intéressante pour la protection des données en Europe », L’Observateur de Bruxelles, n°93, juillet 2013, pp. 5-6.

[29] Ibid.

[30] Cf. Europolitique, « Un accord sur la protection des données, une échéance encore lointaine », 6 juin 2013.

Voir aussi le communiqué de presse de la 3244e session du Conseil JAI, 6-7 juin 2013, PRESSE 234.

[31] Cf. Europolitique, « Nouveau souffle pour la protection des données… grâce à Berlin », 15 juillet 2013. Angela Merkel a aussi souhaité que « les sociétés de l’internet, Facebook, Google et d’autres, soient obligées d’indiquer aux pays européens à qui elles transmettent les données » de leurs utilisateurs.

[32] Ibid. “Such common European rules are indeed the best way to ensure a solid protection of the personal data of EU citizens, also with regard to companies from third countries operating in the EU”.  Les entreprises américaines qui ne respecteraient pas les nouvelles règles relatives au transfert des données personnelles en dehors de l’UE pourraient se voir infliger des sanctions allant jusqu’à 2 % de leur chiffre d’affaires mondial (Google et Facebook sont par exemple visées).

[33] Cf. Communication du 18 décembre 2012, « Une stratégie numérique pour l’Europe : faire du numérique un moteur de la croissance », COM(2012) 784 final.

[34] Cf. Communication de la Commission du 27 septembre 2012, COM(2012) 529 final, « Exploiter le potentiel de l’informatique en nuage en Europe ». Ce texte est présenté comme intéressant également l’Espace Economique Européen (EEE).

[35] Cf. article 3, § 2 alinéas a) et b).

[36] Dans son avis du 7 mars 2012 sur la proposition de règlement général sur la protection des données (http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_FR.pdf).

[37] Cf. avis du 16 novembre 2012, « Opinion of the European Data Protection Supervisor on the Commission’s Communication on ‘Unleashing the potential of Cloud Computing in Europe ».

http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-11-16_Cloud_Computing_EN.pdf

[38] Cf. les déclarations de Fleur Pellerin, Ministre déléguée à l’économie numérique, lors du débat organisé à l’Assemblée nationale sur internet et la protection des données le 11 juin 2013, http://www.usine-digitale.fr/article/avec-l-affaire-prism-la-necessite-d-avoir-un-cloud-souverain-se-pose-selon-fleur-pellerin.N199156

[39] Cf. Isabelle Falque-Pierrotin, « Affaire Prism, il faut accélérer notre adaptation au numérique », Le Monde, 15 juillet 2013.

[40] Cf. COM(2011)32 final, proposition de directive « relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière ».

[41] Voir son célèbre article, « Power and Weakness », Policy Review, N°113, 2002.

[42] Marcel GAUCHET, La démocratie contre elle-même, Gallimard, Collection Tel, 2002, p. 215.

[43] Voir l’article de Marc-Antoine Granger, « existe-t-il un droit fondamental à la sécurité ? », Revue de Sciences Criminelles 2009, p. 273.

[44] Cf. Henri Labayle, « Droits de l’Homme et sécurité intérieure de l’Union européenne, l’équation impossible », Revue des Affaires Européennes, 2006/1, p. 93

[45] Cf. « Le Vieux continent face à Big Brother », Le Monde 11 juin 2013.

[46] Cf. l’analyse du sociologue allemand Harald Welzer, in « Les Allemands ont raison de se révolter contre la NSA »,  Le Monde 20 août 2013.