La décision Schrems sur la confidentialité met en péril les liens de l'UE avec le monde numérique

La décision Schrems sur la confidentialité met en péril les liens de l'UE avec le monde numérique

10 août 2020 0 Par Village FSE

Le mois dernier, la plus haute cour européenne a rendu un jugement qui menace de rompre les liens numériques de l'Europe avec le monde.

À première vue, la décision est une réprimande des pratiques de surveillance américaines et un coup dur pour les exportateurs américains.

Mais l'effet le plus durable de cette décision pourrait être d'isoler non pas les États-Unis mais l'Europe elle-même.

Il n'y a pas de solution facile ou évidente à cette crise, mais si l'UE ne peut pas trouver un moyen d'assurer la continuité des flux de données, en particulier avec des alliés partageant les mêmes idées, l'Europe risque de devenir une île dans le monde numérique.

L'économie numérique transatlantique est profondément intégrée, avec environ 300 milliards de dollars (254 milliards d'euros) d'échanges de services pouvant être fournis par voie numérique.

Alors que les États-Unis et l'Europe ont adopté des approches divergentes pour protéger les données personnelles en ligne, un cadre appelé Privacy Shield (et son prédécesseur, Safe Harbor) a permis aux entreprises de garantir la protection des données personnelles européennes lors de leur transfert aux États-Unis.

Des milliers d'entreprises américaines dépendent du bouclier de protection des données.

La liste comprend des noms familiers comme Marriott, lululemon et Shake Shack, mais la plupart sont des petites et moyennes entreprises. Fishbowl d'Alexandria, en Virginie, fournit des logiciels de marketing pour les restaurants. Pelican Parts de Harbor City, Californie, vend des pièces automobiles sur Internet directement aux consommateurs.

Ces sociétés collectent des informations de base sur leurs clients européens – nom, e-mail, etc. – et transfèrent ces données aux États-Unis pour traitement et stockage.

La décision «Schrems II» – du nom de Maximilian Schrems, un activiste autrichien de la protection de la vie privée qui a passé la majeure partie de la dernière décennie à lutter contre la libre circulation des données européennes vers les États-Unis – invalide le bouclier de protection des données, en vigueur immédiatement.

Les préoccupations de la Cour remontent à 2013, lorsque Edward Snowden a révélé la portée des pratiques de surveillance nationales aux États-Unis.

Peut-être plus important encore, la décision Schrems met en doute la plupart des autres outils juridiques de transfert de données européennes à l'étranger.

L'économie numérique mondiale fonctionne sur les données, et cette décision rend légalement risqué l'exportation de données européennes, pas seulement aux États-Unis, mais presque partout.

Du coup, les entreprises ne peuvent transférer en toute confiance que des données européennes vers des pays jugés «adéquats» par l'UE. Ces «déterminations d'adéquation», qui analysent à quel point les lois de protection des données d'un pays ressemblent à celles de l'UE, prennent généralement des années.

25 ans, seulement 12 décisions

En 25 ans, seuls 12 pays ont reçu une détermination d'adéquation, une liste qui comprend Guernesey, Jersey et l'île de Man.

Parmi les grandes économies numériques, seul le Japon a une adéquation totale (le Canada jouit d'une «adéquation partielle»); pour tous les autres, il n'y a plus de base juridique solide sur laquelle les données peuvent être transférées.

Avec cette décision, l'Europe glisse vers un système de localisation des données dans lequel les données européennes doivent rester en Europe. Les grandes entreprises peuvent probablement supporter le coût de la création de systèmes de données redondants en Europe, et pour les fournisseurs de cloud computing qui ont déjà des centres de données en Europe (comme Amazon, Microsoft et IBM), cette décision pourrait attirer de nouveaux clients.

Mais de nombreuses entreprises pourraient juger que le coût est trop élevé et éviter complètement le marché européen. Là où cela se produit, les consommateurs et les entreprises européens en souffriront.

Il est incontestable que les autorités américaines ont le pouvoir légal d'obliger les entreprises à transmettre des données. Mais les États-Unis ont également des limites juridiques significatives à ces pouvoirs.

La situation n'est pas si différente en Europe: presque tous les États membres de l'UE ont des lois qui permettent au gouvernement d'exercer une surveillance dans certaines circonstances.

La loi française sur la surveillance, par exemple, donne à l'État une large autorité pour surveiller les appels téléphoniques et les courriels sans mandat, et oblige les sociétés Internet à collecter les données des citoyens et à les partager avec les services de renseignement et les forces de l'ordre.

Pendant ce temps, les réformes mises en œuvre aux États-Unis depuis les révélations de Snowden ont produit des garde-fous plus clairs et plus stricts que la plupart.

Le Royaume-Uni fait l'expérience de ce double standard de première main.

Lorsqu'il faisait partie de l'UE, les programmes de surveillance nationaux du Royaume-Uni étaient sa propre affaire: la Commission européenne n'a pas le pouvoir d'exploiter les pratiques de sécurité des États membres.

Brexit

Après le Brexit, l'UE évalue actuellement les lois du Royaume-Uni et, compte tenu du jugement sévère des règles et des pratiques américaines, il est possible que le Royaume-Uni se voit refuser l'adéquation, mettant en danger le commerce numérique à travers la Manche.

Là où l'état de droit ne peut pas assurer la sécurité des données, restreindre la libre circulation des données peut avoir un sens.

Compte tenu de l'état de surveillance profonde en Chine et en Russie et de la primauté du parti sur la loi, il y a de bonnes raisons de croire que les données personnelles transférées à Moscou ou à Shanghai ne sont ni privées ni sécurisées.

Mais regrouper les États-Unis, l'Australie, l'Inde, la Corée et potentiellement le Royaume-Uni dans cette même catégorie n'a aucun sens.

Et tenir d'autres pays à un niveau plus élevé que celui que l'UE impose à ses propres États membres viole un principe fondamental du système commercial international – un régime auquel l'Europe professe une grande loyauté.

Il n'y a pas de solution miracle à cette énigme: l'argument de la Cour est fondé sur la Charte de l'UE et la décision est effectivement constitutionnelle. Bricoler le bouclier de protection des données à la marge ne débouchera probablement pas sur un accord qui résistera au contrôle judiciaire européen.

La Cour a effectivement exigé que les autres pays harmonisent leurs lois avec celles de l'Europe – et deviennent ainsi éligibles à l'adéquation – ou soient coupés du commerce numérique avec l'UE.

C'est irréalisable et probablement autodestructeur.

Lorsque les négociateurs américains et européens ont mis au point le bouclier de protection des données, ils l'ont fait parce que des sociétés différentes – même celles qui avaient des valeurs communes – adoptent inévitablement des approches différentes pour relever les mêmes défis. Sans mécanismes d'interopérabilité, cette diversité crée des obstacles au commerce et au commerce.

Alors que certains militants de la protection de la vie privée applaudi la décision Schrems, les gains largement théoriques en matière de confidentialité des données peuvent se faire au prix d'une souffrance économique très réelle. L'Europe est profondément dépendante du commerce: ses exportations et ses importations représentent 90% de son PIB.

Avec de plus en plus de commerce passant au domaine numérique, l'Europe ne peut pas se permettre de se couper. Pendant ce temps, la Chine continue d'avancer une vision pour un Internet fractionné le long des frontières nationales et contrôlé par les gouvernements.

La décision Schrems, ainsi que la poussée plus large de l'Europe en faveur de la «souveraineté technologique», est un double coup dur en faveur de ce modèle descendant.

Résoudre la crise actuelle prendra du temps et suscitera un engagement sérieux de la part des gouvernements qui recherchent une économie numérique ouverte et mondiale avec des valeurs démocratiques en son cœur.

Si les Européens espèrent participer à cette économie, l'UE doit opter pour l'interopérabilité plutôt que pour l'harmonisation, et doit éviter de contraindre les autres gouvernements à respecter des normes qu'elle ne peut imposer à ses propres États membres.

Les économies européenne et américaine sont toutes deux construites sur une base d'ouverture et de commerce d'après-guerre – l'une avec l'autre, plus qu'avec n'importe qui d'autre.

Un autre 75 ans de prospérité dépendra du réengagement envers ces priorités.