Le nouveau décret américain a peu de chances de satisfaire à la législation européenne

07 Oct 2022

We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.

Première réaction : Le décret sur la surveillance américaine a peu de chances de satisfaire au droit européen

Plus de six mois après un "accord de principe" entre l'Union européenne et les États-Unis, le président américain Joe Biden a signé le décret tant attendu qui vise à respecter les arrêts de la Cour européenne de justice (CJUE). Il s'agit de surmonter les limitations des transferts de données entre l'UE et les États-Unis. La CJUE a exigé (1) que la surveillance américaine soit proportionnée au sens de l'article 52 de la Charte des droits fondamentaux (CFR) et (2) qu'il y ait un accès à un recours judiciaire, comme l'exige l'article 47 CFR. Le nouveau décret de Biden ne semble pas répondre à ces deux exigences. Il y a une "surveillance massive" continue et un "tribunal" qui n'est pas un vrai tribunal.

Ordre exécutif. Un Executive Order est une directive interne du président américain au sein du gouvernement fédéral, mais pas une loi. Auparavant, la question était régie par un ordre du président Obama datant de 2014, appelé PPD-28. S'il est bon de voir que notre contentieux entraîne désormais une réaction du président américain, cet ordre présidentiel interne ne résoudra probablement pas le problème :

La surveillance en masse se poursuit via deux types de "proportionnalité". Les États-Unis soulignent que le nouveau décret utilise la formulation du droit européen ("nécessaire" et"proportionné" comme dans l'article 52 du CFR) au lieu de l'ancien terme"aussi adapté que possible" utilisé dans la section 1(d) de la PPD-28. Cela pourrait résoudre le problème, si les États-Unis suivaient la même interprétation et appliquaient également le test de proportionnalité de la CJUE.

Cependant, malgré le changement de ces mots, rien n'indique que la surveillance de masse américaine changera dans la pratique. La "surveillance de masse" se poursuivra dans le cadre du nouveau décret (voir section 2 (c)(ii)) et toutes les données envoyées aux fournisseurs américains finiront toujours dans des programmes comme PRISM ou Upstream, bien que la CJUE ait déclaré à deux reprises que les lois et pratiques de surveillance américaines n'étaient pas"proportionnées"(au sens européen du terme).

Comment cela est-il possible ? Il semble que l'UE et les États-Unis se soient mis d'accord pour copier les mots"nécessaire" et"proportionné" dans le décret, mais n'ont pas convenu qu'ils auraient la même signification juridique. S'ils avaient la même signification, les États-Unis devraient limiter fondamentalement leurs systèmes de surveillance de masse pour se conformer à l'interprétation européenne de la surveillance "proportionnée".

Max Schrems, président de noyb.eu :"L'UE et les États-Unis sont désormais d'accord sur l'utilisation du mot "proportionné" mais semblent en désaccord sur sa signification. En fin de compte, c'est la définition de la CJUE qui prévaudra - ce qui risque de tuer à nouveau toute décision de l'UE. La Commission européenne ferme à nouveau les yeux sur la loi américaine, pour permettre de continuer à espionner les Européens."

le "tribunal" n'est pas un vrai tribunal. L'ordre exécutif vise également à ajouter des voies de recours. Il y aura désormais une procédure en deux étapes, la première étant confiée à un agent relevant du directeur du renseignement national et la seconde à une "Cour de révision de la protection des données". Toutefois, il ne s'agira pas d'une "Cour" au sens juridique normal de l'article 47 de la Charte ou de la Constitution américaine, mais d'un organe relevant du pouvoir exécutif du gouvernement américain. Le nouveau système est une version améliorée du précédent système de "médiateur", qui a déjà été rejeté par la CJUE. Il semble évident que cet organe exécutif n'équivaudrait pas à un "recours juridictionnel" comme l'exige la Charte de l'UE.

Le jugement par un "tribunal" est déjà prévu dans le décret. Les utilisateurs devront soulever des questions auprès d'un organisme national dans l'UE, qui à son tour soulèvera la question auprès du gouvernement américain. Comme auparavant, le gouvernement américain ne confirmera ni ne niera que l'utilisateur était sous surveillance et se contentera d'informer l'utilisateur qu'il n'y a pas eu de violation ou qu'il y a eu recours (voir section 3(c)(E) du décret). L'utilisateur n'en saura pas plus. Cela rend également inutile la possibilité de faire appel, puisqu'il n'y a tout simplement pas de raison de faire appel, du moment que l'utilisateur a reçu cette réponse automatique. La section 3(i)(d)(H) va même jusqu'à préciser ce que la "Cour" va répondre - quels que soient vos arguments ou votre cas :"soit l'examen n'a pas identifié de violations couvertes, soit la Cour de révision de la protection des données a rendu une décision exigeant des mesures correctives appropriées"

Max Schrems, président de noyb.eu :"Nous devons étudier la proposition en détail, mais à première vue, il est clair que cette 'cour' n'est tout simplement pas une cour. LaCharte exige clairement un "recours judiciaire" - il ne suffit pas de rebaptiser un organe de réclamation "tribunal" pour en faire un véritable tribunal. Les détails de la procédure seront également pertinents pour voir si cela peut satisfaire au droit européen."

Recherche complémentaire et contestation éventuelle. noyb et ses partenaires analyseront les documents plus en détail dans les jours à venir et publieront une analyse juridique détaillée dans les jours et semaines à venir. Si la décision de la Commission n'est pas conforme au droit européen et aux arrêts de la CJUE, noyb intentera probablement une nouvelle action devant la CJUE. Entre-temps, le Congrès américain devra autoriser à nouveau la loi FISA 702 en 2023, ce qui pourrait permettre au législateur américain de mettre en œuvre des limitations significatives respectant le droit à la vie privée des personnes non américaines.

Max Schrems :"Nous allons analyser ce paquet en détail, ce qui prendra quelques jours. À première vue, il semble que les questions essentielles n'ont pas été résolues et que le dossier reviendra tôt ou tard devant la CJUE."

Des pays ayant des protections similaires de la vie privée ne peuvent pas produire un accord stable ? Il ne semble pas logique que deux pays démocratiques, qui s'accordent tous deux sur les principes juridiques fondamentaux de la protection de la vie privée, puissent aboutir à un troisième accord bancal d'affilée :

Le quatrième amendement de la constitution américaine consacre le droit à la vie privée et exige une cause probable et une approbation judiciaire pour toute mise sur écoute. De même, la CJUE exige que la surveillance soit ciblée et qu'il y ait une approbation ou un contrôle judiciaire dans le cadre de la Charte des droits fondamentaux de l'UE.

La seule différence semble être que, tandis que l'UE considère la vie privée comme un droit de l'homme qui s'applique à tout être humain, le quatrième amendement ne s'applique qu'aux citoyens américains ou aux résidents permanents. Aux yeux des États-Unis, les Européens n'ont aucun droit à la vie privée. La loi FISA 702 utilise cette différence dans la législation américaine et permet une surveillance qui est illégale en vertu du quatrième amendement, à condition qu'aucun Américain ne soit visé.

Max Schrems :"Il est étonnant que l'UE et les États-Unis soient d'accord sur le fait que les écoutes téléphoniques nécessitent une cause probable et une approbation judiciaire. Cependant, les États-Unis considèrent que les étrangers n'ont pas de droit à la vie privée. Je doute que les États-Unis aient un avenir en tant que fournisseur de clouds du monde si les personnes non américaines n'ont aucun droit en vertu de leurs lois. Il me semble contradictoire que la Commission européenne travaille sur un accord qui accepte que les Européens soient des citoyens de 'seconde classe' et ne méritent pas les mêmes droits à la vie privée que les citoyens américains."

Les entreprises américaines ne sont pas tenues de se conformer au GDPR. Ce qui est frappant, c'est que la Commission européenne n'a pas demandé que les "principes du bouclier de protection de la vie privée" soient alignés sur le GDPR, qui est en vigueur depuis 2018. Ces principes sont en grande partie les mêmes que les précédents principes "Safe Harbor", qui ont été rédigés en 2000 et qui continueront à être utilisés dans le nouveau cadre. Cela signifie que les entreprises américaines peuvent continuer à traiter les données européennes sans se conformer au GDPR. Par exemple, elles n'ont même pas besoin d'une base juridique pour le traitement, comme le consentement. Dans le cadre du Privacy Shield, les entreprises américaines doivent seulement proposer une option de retrait aux utilisateurs. Et ce, bien que la CJUE ait souligné la nécessité de disposer de protections "essentiellement équivalentes" aux États-Unis.

Prochaines étapes. Maintenant que les États-Unis ont publié leur décret, la Commission européenne doit rédiger une "décision d'adéquation" en vertu de l'article 45 du GDPR. Une fois le projet de décision publié, la Commission doit entendre le Comité européen de protection des données (EDPB), mais n'est pas liée par ses conclusions. En outre, les États membres européens doivent être entendus et pourraient bloquer l'accord. Ce processus peut prendre quelques mois. Toutefois, même les déclarations négatives du CEPD et des États membres ne sont pas contraignantes pour la Commission. Une fois la décision publiée, les entreprises pourront s'y fier lorsqu'elles enverront des données aux États-Unis et les utilisateurs pourront la contester devant les tribunaux nationaux et européens. Cette décision n'est pas attendue avant le printemps 2023, même si elle était initialement envisagée à l'automne 2022.