Dans son communiqué de presse du 12 mars 2013, le parlement européen fait part de sa résolution qui appelle à suspendre certains accords de coopération avec les États-Unis. Émise le même jour que le vote en première lecture du règlement européen sur la protection des données à caractère personnel, cette décision fait suite à six mois d’enquête déclenchés par les révélations d’Edward Snowden, que le parlement conclut ici de manière frontale par : « mettre fin à la surveillance massive ou faire face aux conséquences ».
Les accords SWIFT et l’accord commercial TTIP visés
Le parlement européen estime ainsi que « la lutte contre le terrorisme ne peut justifier une surveillance de masse secrète et illégale » et menace, d’une part, de ne pas donner son approbation à l’accord commercial TTIP UE-États-Unis qui prévoit une zone de libre-échange transatlantique et d’autre part de suspendre les accords SWIFT et les principes du Safe Harbor.
Les accords SWIFT, qui permettent aux autorités américaines d’accéder aux données bancaires européennes stockées sur le réseau du même nom afin de lutter contre le terrorisme sont remis en cause par le parlement car les américains ont outrepassé les conditions de protection de la vie privée des citoyens prévus dans ces accords. Quant au Safe Harbor, il postule que les sociétés américaines y adhérant garantissent un niveau de protection des données équivalent à celui du droit européen. Cependant, il ne s’agit que d’un postulat théorique…
Safe Harbor, un accord obsolète ?
En effet, les révélations sur les capacités d’écoute et d’action de la NSA aux États-Unis (PRISM) démontrent, de fait, les limites de protection des données à caractère personnel transférées aux États-Unis. Par ailleurs, l’accord Safe Harbor date des années 2000, époque à laquelle il n’avait pas été envisagé le quasi-monopole des acteurs américains sur Internet et donc le transfert de données massif inhérent à cette position dominante. Enfin, cet accord est souvent critiqué parce qu’il repose trop sur le bon vouloir des entreprises et que les moyens de contrôle relatifs à son application sont trop faibles.
Ce n’est pas le premier coup de semonce porté par le parlement européen sur le sujet, qui réaffirme ici sa position : la nécessité d’un nouveau Safe Harbor afin d’en faire une réglementation contraignante.
Un Safe Harbor 2.0 est-il possible ?
À ce titre le parlement européen a formulé treize recommandations à destination des États Unis afin de faire évoluer le fonctionnement de cet accord. En synthèse, ces propositions appellent à plus de transparence, de contrôle et de sanction et réaffirment les principes forts du règlement européen (loyauté, proportionnalité, …). Toutefois, si le besoin de renforcer la sécurité des données à caractère personnel stockées outre atlantique est incontestable, les évolutions à venir doivent faire preuve de pragmatisme et concilier des approches parfois antagonistes entre les deux continents. Les américains comprennent ainsi difficilement certaines notions comme le « droit à l’oubli » et centrent principalement la protection des données via la protection du consommateur. L’approche américaine est ainsi avant tout économique quand celle des européens est avant tout protectrice.
Une modification du Safe Harbor ne peut donc se faire sans une étroite coopération transatlantique sous peine de blocage économique important… affaire à suivre.