Cet article est disponible en version anglaise sur le site du Groupe d’études géopolitiques.
Nous aimerions connaître vos avis – ceux d’un ancien diplomate américain et vice-président de la Chambre de commerce américaine pour l’Europe – sur la vie privée, la protection des données personnelles, le RGPD et l’arrêt de la Cour de Justice de l’Union européenne sur le Privacy Shied, ainsi que plus généralement, votre avis sur la gouvernance mondiale des données personnelles. L’hypothèse de base qui sous-tend la conception européenne de la vie privée semble être la nécessité de protéger la dignité humaine, un concept qui renvoie au droit des individus d’empêcher la publication non autorisée d’informations privées, également connu sous le nom de « droit à l’image ». Considérez-vous que la protection de la vie privée est tributaire du contexte culturel ? Dans l’affirmative, un contexte culturel différent conduit-il à une approche différente des régimes de protection des données personnelles ?
Je suis convaincu que les êtres humains, où qu’ils soient, aiment garder une partie de leur espace personnel privée, quelle que soit leur culture d’origine. Dans ce sens, le besoin de vie privée ne dépend pas de la culture en tant que telle. Toutefois, il y a certains aspects historiques et cultures qui ont une incidence sur la manière dont la société dans son ensemble peut percevoir la vie privée dans un pays. Par exemple, aux États-Unis, la plupart des gens conçoivent d’abord la vie privée comme une protection contre toute intrusion gouvernementale. Dans ce sens, la plupart des américains ont du mal à comprendre que les pays européens exigent tous que leurs citoyens déclarent leur résidence au poste de police local ; pour la plupart des Aaméricains, cela ne regarde pas le gouvernement. Néanmoins, de nombreux citoyens européens partagent le désir de limiter l’invasion gouvernementale dans leur espace personnel, en particulier ceux qui ont fait l’objet de telles intrusions dans l’histoire récente.
Toutefois, il y a une distinction importante entre vie privée et protection des données personnelles, bien que dans l’Union, ces notions soient souvent confondues, comme elles le sont même dans votre question. Plus précisément, le Règlement Général sur la Protection des Données (RGPD) de 2016 vise essentiellement à protéger les données personnelles des individus contre la publicité peu scrupuleuse des entreprises (« la monétisation de leurs données personnelles ») ; il ne traite pas de la vie privée au sens de la protection des personnes contre le gouvernement, ce qui est plus ma définition de la vie privée. En effet, le RGPD et son ancêtre, la directive sur la protection des données de 1995, excluent explicitement les mesures de maintien de l’ordre public et de sécurité nationale de leur champ d’application.
Le débat sur les questions de vie privée a été stimulé au cours de la dernière décennie à la fois par les révélations d’Edward Snowden et le développement des plateformes numériques qui a conduit à ce que l’on appelle une « société de la surveillance ». Quelles sont les principales menaces anticipées en ce qui concerne l’utilisation (abusive) des données personnelles dans l’Union européenne ?
Les révélations d’Edward Snowden en 2013, selon lesquelles le gouvernement américain a pu accéder aà des informations personnelles détenues par des entreprises américaines, est l’une des raisons pour lesquelles ces questions de vie privée (généralement, contre le gouvernement) et de protection des données personnelles sont si souvent mélangées en Europe. Quand la plupart des Eeuropéens pensent à la notion de donnée personnelle, ils pensent aux réseaux sociaux et aux plateformes numériques qui recueillent leurs données et les utilisent ensuite pour vendre des publicités ou d’autres messages ciblés. Pour moi, le problème ne réside pas tant dans les entreprises qui collectent et traitent les données en tant que telles, mais plus précisément dans la finalité du traitement des données. Je ne suis pas convaincu que la meilleure manière de résoudre le problème des entreprises qui monétisent nos données soit de restreindre de manière générale la capacité de chacun à traiter les données. En d’autres termes, nous devrions peut-être opter pour le modèle de la publicité (et de la messagerie) ciblée plutôt que le traitement des données en tant que tel. Cela permettrait d’aborder le véritable problème anticipé par les gens.
Le lien avec Edward Snowden est la capacité des forces de l’ordre et des organes de sécurité nationale américains à accéder aux données détenues par les entreprises du numérique. Il s’agit bien sûr d’une préoccupation valable et importante en matière de protection de la vie privée. Mais la question n’est pas de savoir si les données sont disponibles ou peuvent être mises à la disposition de ces forces de l’ordre, car elles ont de multiples moyens d’obtenir des informations sur les personnes qui les intéressent la préoccupation devrait plutôt porter sur les limites imposées à ces agences et sur leur capacité à collecter et à traiter des informations personnelles. Aux États-Unis, cela nécessite toujours l’autorisation d’un juge via un mandat ou une citation à comparaître, même si certains en Europe estiment que les tribunaux américains appliquant la loi sur la surveillance et sur le renseignement (Foreign Intelligence Surveillance Act) ont été trop indulgents (ils l’étaient, avant Snowden, ils se sont manifestement resserrés depuis). Pour revenir à la différence de perception entre les États-Unis et l’UE, la capacité des forces de l’ordre françaises à accéder aux données des citoyens (qui, là encore, n’est pas régie par le RGPD) est beaucoup plus large et moins restreinte qu’aux États-Unis, et ce serait même inimaginable selon les normes américaines.
Depuis son adoption en 2016, le RGPD est largement sur le devant de la scène, recevant sa part d’éloges et de critiques. Pensez-vous qu’il représente un bon modèle de gouvernance mondiale des données ?
Pour moi, votre question est d’abord une question de bonne pratique réglementaire. C’est-à-dire que si un gouvernement doit adopter une loi ou un règlement, il doit savoir quel problème sociétal il cherche à résoudre. Autrement dit, il devrait y avoir une théorie du préjudice. Dans le domaine de la protection des données personnelles, un exemple clair est celui des données médicales. Cette information est clairement très privée et doit être protégée par la loi. Il est donc certainement approprié de réglementer la protection de certaines données personnelles, si l’abus de ces données peut causer un préjudice.
Pour moi, le RGPD est écrit de façon tellement large qu’il est difficile de trouver une théorie du préjudice sous-jacente. Le RGPD commence par le concept d’information concernant une personne physique identifiée ou identifiable, c’est-à-dire toute information pouvant être rattachée à une telle personne. Votre nom, votre adresse, peu importe. Il s’agit là d’un large spectre d’informations, et le RGPD veut réglementer tout « traitement » de ces données. Si le RGPD cherchait uniquement à aborder le « préjudice » causé par l’utilisation de vos données pour créer votre « profil » et ensuite l’utiliser, cela serait compréhensible. Cependant, cela ne reviendrait pas à réguler tout le traitement de toutes les informations se rapportant à une personne physique identifiée ou identifiable, ce que fait le RGPD.
On peut donc penser à une bonne politique publique qui impliquerait la protection d’un certain nombre d’informations personnelles, mais il ne s’agit pas de protéger tout ce qui est fait avec toutes les informations personnellement identifiables. L’étendue de la réglementation devrait dépendre de la manière dont les données sont utilisées autant que d’autres choses.
Deuxièmement, lorsque le champ d’application d’un règlement comme le RGPD est si étendu, il est presque, par définition, impossible à appliquer. Et si une loi est impossible à appliquer, cela encourage les gens à commencer à l’ignorer, ce qui est l’opposé d’une bonne politique publique.
Un domaine où la logique du RGPD s’effondre véritablement est celui où il pose des règles catégoriques. Bien que le champ d’application du RGPD me semble beaucoup trop vaste, le règlement est beaucoup plus souple que ne l’admettent de nombreux fonctionnaires de l’UE. En d’autres termes, il est davantage axé sur les risques et n’est donc pas aussi contraignant que certains le pensent. Le RGPD, par exemple, autorise explicitement le marketing direct, alors que selon la logique de certains défenseurs de la vie privée, il ne devrait pas le permettre. Cependant, le RGPD devient extrêmement rigoureux lorsqu’il s’agit des pays tiers car il interdit le transfert de toute donnée à caractère personnel vers des pays tiers qui ne respectent pas certaines normes.
Pour être véritablement significatif, le RGPD, comme toute loi, doit être applicable et appliqué. Or, l’UE créé souvent ce que nous appelons des « mandats non financés – elle élabore de grandes lois, mais laisse ensuite aux États membres le soin de les appliquer. Cette approche crée une vulnérabilité pour le droit européen, compte tenu des contraintes budgétaires et des capacités limitées des autorités nationales dédiées des États membres.
Dans ce sens, le RGPD commence seulement à être testé. Les autorités de protection des données ont le droit d’infliger des amendes, mais les entreprises auxquelles ces amendes ont été infligées ont ensuite le droit d’aller en justice. Au fur et à mesure des procédures judiciaires, il sera intéressant de voir comment le RGPD sera appliqué.
Dans son arrêt Schrems II rendu en juillet 2020, la Cour de Justice de l’UE a déclaré invalide la décision de la Commission européenne selon laquelle les données à caractère personnel des européens pouvaient être transférées à des sociétés aux États-Unis qui adhéraient à l’accord UE-USA sur le Privacy Shield, en raison des programmes de surveillance américains invasifs, rendant ainsi illégaux les transferts de données à caractère personnel sur la base du Privacy Shield. Quelle est votre analyse de cette décision et quelles sont ses conséquences prévisibles sur les flux de données transatlantiques ?
Les conclusions de la CJUE dans cette affaire, ainsi que dans la première affaire Schrems d’octobre 2015, sont profondément problématiques car elles affirment que les données à caractère personnel ne peuvent être transférées vers des pays tiers que si ces derniers bénéficient des protections contre l’intrusion gouvernementale garanties par la Charte européenne des droits fondamentaux. En d’autres termes, bien que la directive sur la protection des données et le RGPD excluent explicitement les actions des gouvernements européens en matière d’ordre public et de sécurité nationale, la CJUE les a fait revenir pour les pays étrangers. La CJUE explique que les pays européens soumis au RGPD sont également soumis à la Charte, et par conséquent la Commission ne peut considérer qu’un pays étranger assure une protection « adéquate » des données personnelles des européens que si le gouvernement de ce pays agit comme s’il était également soumis à la Charte.
Cela présente un certain attrait, car la protection des données à caractère personnel est censée être un « droit fondamental ». Mais elle se heurte rapidement à de réels problèmes pratiques, lorsque, comme dit la CJUE dans l’affaire Schrems I, le transfert de toute information relative à une personne physique identifiée ou identifiable vers un pays qui n’est pas adéquat « doit être interdit ». Pour moi, cela pousse la logique du RGPD à un extrême illogique.
En effet, je ne comprends pas comment, en vertu des deux arrêts Schrems, il est possible d’envoyer des données à caractère personnel à la Russie, à la Chine, à la Turquie ou même à Israël, qui bénéficie d’une décision d’adéquation antérieure à l’arrêt Schrems. Dans tous ces cas, les gouvernements sont encore plus aptes que la NSA américaine à lire les communications privées qui contiennent des informations permettant d’identifier des personnes physiques – aucune restriction ne s’applique à leur accès à ces informations. Si, en effet, les autorités européennes de traitement des données décident d’interdire les transferts de données à caractère personnel (c’est-à-dire même l’envoi d’un courriel qui porte bien sûr votre nom) vers des pays qui ne veulent pas soumettre leurs procédures de sécurité intérieure à une évaluation européenne, cela créera de graves problèmes pour l’économie et la société européennes.
En ce qui concerne plus particulièrement le Privacy Shield : il faut se rappeler que l’accord UE-États-Unis sur le Privacy Shield a été élaboré après que la CJUE eut déclaré invalide l’accord précédent, le Safe Harbor, dans l’affaire Schrems I. Après que la CJUE ait introduit dans ces décisions d’adéquation la question des contraintes sur l’accès d’un gouvernement aux informations détenues par des entreprises privées, l’administration Obama a pris de nombreux engagements pour garantir que les agences américaines de maintien de l’ordre public et de sécurité nationale ne puissent accéder aux données à caractère personnel des Européens détenues par des entreprises que sur la base de certaines procédures judiciaires. Dans l’arrêt Schrems II, la CJUE estime que ces engagements ne sont pas suffisants, et que même des mécanismes tels que les « clauses contractuelles types » ne sont pas suffisants dans le cas des États-Unis.
C’est un problème. Je doute sérieusement que le gouvernement américain apporte des changements significatifs aux engagements qu’il a pris en acceptant le Privacy Shield. Ces engagements vont déjà bien au-delà de ce que la plupart des gouvernements des États membres accepteraient concernant leurs propres agences de maintien de l’ordre public et de sécurité nationale. Washington pourrait accepter une certaine amélioration de la procédure de « médiateur » par laquelle les résidents européens peuvent contester l’utilisation de leurs données personnelles par le gouvernement américain, mais c’est à peu près tout. Donc, si un nouvel accord est trouvé, cet accord ne sera pas très différent de celui du Privacy Shield. La Commission fera valoir que l’alternative consistant à interdire tous les transferts de toutes les données à caractère personnel vers les États-Unis serait disproportionnée – et elle aura raison.
Seule une autre décision de la CJUE peut rectifier cela, en déclarant qu’une interdiction totale du transfert de toute donnée personnelle n’est pas ce que le RGPD, la Charte ou même la CJUE ont voulu dire. Elle constatera plutôt que les restrictions doivent être appliquées de manière proportionnée, en fonction des risques, ce que la Commission fait actuellement valoir – contre les agences de protection des données de l’UE, qui sont beaucoup plus strictes. Il est possible qu’un arrêt de la CJUE sur la nouvelle décision d’adéquation de la Commission concernant le Royaume-Uni puisse nous donner une réponse, mais ce ne sera certainement pas facile.
À la lumière de l’arrêt Schrems II, peut-on s’attendre à ce qu’une amélioration des flux de données personnelles transatlantiques provienne de l’évolution de la législation fédérale américaine en matière de protection de la vie privée ? Voyez-vous une fenêtre d’opportunité pour la coopération entre l’UE et les États-Unis en matière de protection des données personnelles ?
Les États-Unis disposent d’une législation étendue en matière de protection de la vie privée et des données personnelles, mais pas d’un seul RGPD qui couvrirait l’ensemble des traitements de toute information personnelle. Par exemple, les États-Unis ont des dispositions pénales pour la divulgation de données sanitaires et financières. Il existe cependant un consensus croissant parmi les sénateurs et les membres du Congrès, tant républicains que démocrates, contre la manière dont les données à caractère personnel sont utilisées pour générer des profils et vendre de la publicité ciblée, en particulier par les grandes entreprises du numérique. Je pense que nous aurons aux États-Unis une loi protégeant les données à caractère personnel contre ce genre d’ « abus ». Je pense qu’elle sera plus adaptée que le RGPD et ne contiendra très probablement pas de dispositions concernant les transferts vers des pays tiers.
En termes de coopération, je vois une fenêtre maintenant. Il ne fait aucun doute que beaucoup de choses concernant le RGPD ont eu un impact positif sur le débat aux États-Unis. Outre l’avantage pour l’UE d’être le premier à agir, il y a aussi un coût, à savoir que les gens vont regarder ce que le premier à agir a fait et voudront le faire mieux. Ainsi, dans trois ans, vous verrez peut-être les européens dire que la version américaine du RGPD est meilleure que celle de l’UE.
Au moment où nous parlons, 76 % des pays du monde entier ont mis en place ou sont en train d’élaborer une législation sur la protection des données personnelles. Dans quelle mesure la tendance à adopter une législation sur la protection des données est-elle stimulée par le RGPD ? Toutes les juridictions qui adoptent une législation sur la protection de la vie privée similaire au RGPD le font-elles pour les mêmes raisons ?
En effet, la notion européenne selon laquelle les individus devraient avoir le pouvoir de contrôler l’utilisation de leurs données personnelles a eu une influence mondiale. De nombreux pays ont copié le RGPD, et ses échos se font de plus en plus sentir dans les autres camps réglementaires des États-Unis et de la Chine – ce qu’Anu Bradford a appelé « l’effet Bruxelles ».
Et si les gouvernements comprennent réellement que les gens peuvent et doivent avoir des espaces privés et que ceux-ci doivent être protégés, c’est une tendance positive. Cependant, précisément parce que le RGPD ne protège pas les citoyens contre les gouvernements autoritaires abusifs, il ne fait pas ce qui est nécessaire dans de nombreux endroits pour protéger la vie privée des citoyens.
Ce qui est peut-être plus significatif, c’est que l’essentiel n’est pas seulement la loi en tant que telle, mais aussi son application.
L’UE a un besoin systémique de réglementer car elle cherche à supprimer les obstacles à la libre circulation des personnes, des biens, des services et des capitaux entre les États membres imposés par les gouvernements. La réglementation est le seul instrument de politique publique dont dispose l’UE, compte tenu de sa capacité financière relativement faible. Cependant, comme nous l’avons déjà mentionné, si la loi n’est pas correctement appliquée et que cela empêche les citoyens d’y croire, c’est un problème. Par conséquent, la transposition du RGPD dans de nombreux pays peut sembler créer un bien public, mais elle ne le fera en fin de compte que si ces pays l’appliquent correctement.
La gouvernance mondiale des données personnelles fait partie intégrante de la gouvernance de l’internet. Elle est généralement comprise comme la gouvernance des flux de données transfrontaliers par le biais de normes, de principes et de règles appliqués à divers types de données. L’UE est-elle sur le point de fixer des normes de gouvernance des données au niveau mondial ?
PC : Le succès apparent du RGPD alimente le désir de l’UE d’établir les normes mondiales pour un internet centré sur l’humain, une IA éthique, des espaces de données communs et d’autres notions similaires. Actuellement, l’UE a pour ambition de créer des structures de gouvernance universelles pour toutes les données, et pas seulement pour les données à caractère personnel. Lorsque les gens à Bruxelles discutent de la gouvernance des données, ils envisagent des cadres législatifs pour toutes les données qui peuvent être collectées et mesurées, même si elles ne concernent pas directement une personne physique. Selon moi, créer des règles pour toutes les données que nous pouvons traiter n’est pas une approche judicieuse.
Lorsque nous parlons de gouvernance des données et de gouvernance mondiale des données, nous devons faire très attention à ne pas commettre l’erreur du RGPD en essayant de décider dans un seul instrument comment toutes les données doivent être gouvernées. Ce que nous devrions faire, c’est proposer des réglementations acceptées au niveau international pour des secteurs spécifiques où nous pouvons définir un préjudice sociétal qui doit être abordé.
Pensez-vous que nous nous dirigeons vers une plus grande balkanisation de l’internet, ou que la coopération internationale peut être réalisée par le biais d’institutions multilatérales ?
C’est une question différente de la gouvernance de l’internet. La balkanisation de l’internet existe déjà, puisque la Chine s’est déjà coupée de l’internet. Les filtres en Chine sont si puissants que l’expérience de l’internet en Chine est très différente de celle que nous en avons en Europe. Je crains que beaucoup d’autres gouvernements ne veuillent utiliser quelque chose de similaire aux nombreuses technologies que la Chine a créées pour la mise en place du great firewall. Ils préféreraient eux aussi pouvoir censurer l’internet pour empêcher la diffusion d’informations critiques à l’égard de ces gouvernements. C’est pour moi une préoccupation sérieuse car cela va directement à l’essentiel de la démocratie – la relation entre l’individu et le gouvernement, et la capacité de l’individu à remettre en question et même à changer le gouvernement. Beaucoup de personnes travaillant dans l’administration publique dans différents pays n’aiment pas que le public remette en question le fonctionnement du gouvernement. Dans ce sens, je crains qu’il n’y ait une balkanisation de l’internet, mais ce ne sera pas une balkanisation causée par des différences dans les règles de protection des données mais plutôt une balkanisation menée par des gouvernements qui veulent être en mesure d’empêcher ou de censurer les critiques à leur égard.
Pour moi, cela est au cœur de la question de la gouvernance de l’internet, parce qu’il y a une réelle différence au sein de l’Union international des télécommunications et ailleurs, sur la question de savoir si les gouvernements devraient ou non pouvoir censurer tout ou partie des contenus disponibles sur l’internet. En revanche, vous avez la théorie selon laquelle l’internet offre un accès à l’information à n’importe qui, n’importe où. J’aime cette idée libérale. J’aime l’idée que je puisse lire les journaux de l’Inde, du Brésil et d’autres endroits dans le monde, sans qu’un gouvernement ne contrôle cela.
Bien qu’il existe plusieurs institutions internationales multipartites qui coordonnent le processus de gouvernance de l’internet, la lutte est aujourd’hui largement politique. Quel est le rôle de l’UE dans la gouvernance de l’internet et comment voyez-vous les liens entre son pouvoir normatif dans la définition des normes de protection des données personnelles et son leadership dans la gouvernance de l’internet ?
L’UE s’efforce constamment de constituer des coalitions de pays qui soutiennent l’internet ouvert et l’applicabilité du droit international au cyberespace. D’une manière générale, il s’agit d’une bonne approche, et l’UE est sur la bonne voie.
Cependant, en raison de l’effet du RGPD sur les transferts de données personnelles, je pense que l’UE sera confrontée à un problème majeur pour construire des coalitions sur la gouvernance de l’internet avec d’autres pays.
En particulier, l’affaire Schrems II a révélé la tension entre le bon sens général de l’UE sur ce qu’est et devrait être la gouvernance de l’internet, et l’application très restrictive du RGPD. Vous ne pouvez pas dire, d’une part, qu’un pays est « inadéquat » pour recevoir des données à caractère personnel de l’UE, parce qu’il n’adhère pas aux normes de la Charte de l’UE, et, d’autre part, demander à ce même pays de soutenir votre approche de la gouvernance de l’internet.
L’UE doit s’attaquer à cette tension et, pour ce faire, elle doit être prête à apporter une plus grande proportionnalité à l’application du RGPD et de la Charte aux transferts internationaux de données. De cette façon, en échappant aux parties les plus catégoriques, la RGPD peut devenir une meilleure loi et fournir un meilleur modèle de gouvernance mondiale de l’internet.