Hier, la Commission européenne a annoncé qu'elle ne suspendra pas l'accord sur la confidentialité des données signé en 2000 avec les États-Unis, malgré la pression du Parlement européen. Mais, après les révélations sur les programmes de collecte de renseignements à grande échelle mis en oeuvre par le gouvernement américain, la Commission veut faire adopter une série de propositions pour renforcer cet accord.
Conclu en 2000, le traité bilatéral sur la sécurité des données, dit « Safe Habor Data Privacy Agreement », avait, à l'époque, fait l'objet de nombreux débats. En premier lieu, l'accord est entièrement basé sur le volontariat et a pour but d'inciter les entreprises américaines à souscrire à un ensemble de règles visant à protéger la confidentialité des données de clients situés sur le sol européen. Dans ce cas, ces entreprises sont autorisées à afficher un logo attestant qu'elles adhèrent aux dites règles. Surtout, le Département américain du Commerce et la US Federal Trade Commission ont autorité pour les obliger à les respecter. Fin septembre, au dernier décompte, 3 246 entreprises basées aux États-Unis avaient signé l'accord. Mais il s'avère que des centaines d'entreprises utilisent illégalement le logo et n'ont aucune intention de respecter leurs engagements en matière de confidentialité des données.
Un accord vide aux vues des pratiques américaines
Le Safe Harbor a des limites dans la protection des données, et des dérogations sont possibles dans des affaires mettant en cause la sécurité nationale des États-Unis, mais la Commission estime que la collecte à grande échelle et le traitement des renseignements personnels opérés par les programmes de surveillance américains posent problème. Mardi soir, Cecilia Malmström, la commissaire européenne chargée des Affaires intérieures, a déclaré lors d'une conférence à Bruxelles : « La NSA (National Security Agency) est devenue un monstre incontrôlable ». La Commission a le droit de suspendre ledit accord en cas de défaillance systémique du côté américain pour assurer la conformité.
Cependant, Mme Malmström a déclaré mercredi qu'une amélioration du système était préférable à sa suspension et qu'elle attendait des solutions concrètes des États-Unis d'ici l'été 2014. La Commission demande à ce que les entreprises auto-certifiées rendent publiques leurs politiques de confidentialité, y compris dans les contrats avec leurs sous-traitants, les fournisseurs de services cloud notamment. Les politiques de confidentialité devraient également inclure des informations sur les dérogations permettant aux autorités américaines de recueillir et d'exploiter les données de leurs clients et dans quelles circonstances elles seraient amenées à permettre l'accès à ces données, pour la sécurité nationale, l'intérêt public ou en raison d'obligations légales.
Un manque d'informations sur les pratiques des firmes US
La Commission souhaite également que le Département du commerce américain affiche sur son site Internet la liste de toutes les entreprises qui ne sont pas adhérentes et qu'il informe l'autorité européenne compétente en matière de protection des données en cas de doute sur la conformité d'une entreprise ou si elle fait l'objet de poursuites. « Chaque fois que la non-conformité est établie, suite à une plainte ou à une enquête, l'entreprise devrait faire l'objet d'un suivi spécifique pendant une année », indique le communiqué de la Commission. « Comme l'ont montré les révélations sur les programmes de collecte américains, cette obligation est cruciale, parce que ces programmes affectent des données stockées dans le cloud », a déclaré Mme Malmström.
Selon la Commission, le nouveau règlement sur la protection des données de l'U.E - il devrait être finalisé l'année prochaine - doit également permettre de renforcer la confiance des consommateurs dans les entreprises situées hors de l'Union européenne, car il « établit clairement les conditions dans lesquelles les données peuvent être transférées hors de l'UE. Les transferts ne peuvent être autorisés que si les conditions, très strictes, qui protègent les droits des individus européens sont remplies ». Le nouveau règlement veillera aussi à ce que « les sociétés non européennes, proposant des biens et des services aux consommateurs européens, respectent le droit de l'UE sur la protection des données ». Depuis mars 2011, l'U.E et les États-Unis négocient un accord sur la protection des données dans le domaine de la coopération policière et judiciaire. Les deux parties se sont engagées à achever ces négociations avant l'été 2014.
Un droit de recours aux USA pour les Européens
Les révélations faites cette année par l'ancien consultant de la NSA Edward Snowden sur la collecte massive et à grande échelle de données par l'agence américaine ont suscité la controverse des deux côtés de l'Atlantique. Selon les renseignements communiqués par le consultant, depuis des années, la NSA espionne les communications téléphoniques des Américains et les communications Internet à l'étranger. « La confiance des citoyens européens a été ébranlée par l'affaire Snowden, et de graves préoccupations demeurent encore suite aux allégations de généralisation de l'accès aux données personnelles par les agences de renseignement américaines », a déclaré Mme Malmström. La commissaire européenne chargée des Affaires intérieures veut des droits applicables, notamment le droit à un recours juridictionnel pour les citoyens européens qui ne résident pas aux États-Unis.
« Tout accord sur la protection des données devrait également inclure des détails sur la manière dont les données peuvent être transférées et dans quel but, comment elles seront exploitées et combien de temps elles seront conservées », a-t-elle ajouté. Celle-ci a également déclaré que la protection des données ne ferait pas partie des négociations en cours sur le commerce et l'investissement, le TTIP (Transatlantic Trade and Investment Partnership), un accord commercial bilatéral actuellement négocié en secret entre l'UE et les États-Unis. Le second cycle de ces négociations a eu lieu à Bruxelles du 7 au 13 octobre dernier.