Alors que les négociations sur le traité de libre-échange viennent de débuter entre les Etats-Unis et l'Union européenne, le scandale PRISM pourrait remettre en cause cette coopération commerciale transatlantique, et relance le débat sur la protection des données personnelles. La puissance des entreprises comme Facebook ou Google repose sur cette collecte des données, mais aussi sur la confiance qu'ont les utilisateurs en la préservation de la confidentialité de celles-ci. Si les données des citoyens, mais également des entreprises européennes sont accessibles par les autorités gouvernementales américaines, l'enjeu pour l'Europe n'est plus seulement éthique, mais devient aussi économique.

Un programme sous l'égide du Protect America Act

Révélé par un ancien de la NSA, désormais fugitif, le scandale PRISM n'a pas fini de faire sentir ses effets sur les relations entre l'Europe et les Etats-Unis. Pour mémoire, on rappellera brièvement que derrière cet acronyme, se cache le programme mis en place par les autorités américaines, leur permettant d'exiger des sociétés de communication la transmission des contenus en provenance de personnes résidant hors du territoire des Etats-Unis.

Si ce programme qui s'inscrit dans le cadre du Protect America Act de 2007 soulève d'évidentes questions en matière de protection de la vie privée et de respect des droits fondamentaux, ses conséquences économiques ne doivent également pas être négligées.

Une jurisprudence récente qui éclaire le scandale PRISM

Contexte légal : On sait à ce jour peu de choses du contexte légal dans lequel les Etats-Unis ont autorisé la mise en place du programme PRISM. Une décision de la Cour américaine de révision compétente en matière de surveillance des communications étrangères (United States Foreign Intelligence Court of review) en date du 22 août 2008 a cependant été rendue publique et permet de mieux cerner le schéma juridique mis en ?uvre avec PRISM.

Saisi par les autorités américaines d'une demande d'accès aux communications en provenance de l'étranger, un opérateur de télécommunications (la société Yahoo a priori - le nom du requérant étant classé confidentiel) a adressé un recours à la Foreign Intelligence Surveillance Court (FISC). La FISC ayant rejeté le recours de la requérante, celle-ci s'est adressée à la Cour de révision dont la décision du 22 août 2008 a été publiée.
Au terme d'un raisonnement juridique classique, la Cour compare les intérêts protégés par les dispositions du Protect America Act avec les atteintes éventuelles aux règles constitutionnelles américaines.

Légalement, les autorités américaines peuvent demander un accès aux communication de l'étranger

En l'espèce, les dispositions critiquées du Protect America Act étaient celles autorisant les autorités américaines à exiger des fournisseurs de services de communication un accès aux communications en provenance de l'étranger, sans avoir à produire de mandat émis par un juge. Une telle disposition paraît, a priori, contrevenir au quatrième amendement qui impose l'émission d'un mandat énumérant de manière précise les biens pouvant faire l'objet d'une saisie, mandat ne pouvant en outre être émis que sur la base d'éléments rendant probables l'existence d'une violation de la loi.

Après avoir examiné les arguments invoqués par les différentes parties, la Cour estime que le Protect America Act prévoit, au regard de la nécessité de protéger la sécurité nationale, suffisamment de garde-fous pour limiter le risque d'atteinte injustifiée aux intérêts des individus. Le recours est donc écarté et la requérante se voit contrainte de donner accès aux informations en provenance des non-résidents américains.

La confiance, l'élément constitutif du commerce de données

Il ressort de cette jurisprudence qu'une entreprise européenne qui transfère les données personnelles de ses clients vers une société américaine, ne dispose plus d'aucune garantie de confidentialité. Or, comme le soulignait la Commissaire Viviane Reding: « C'est seulement quand les clients seront certains que leurs données sont bien protégées qu'ils les confieront aux entreprises dédiées et aux autorités.». En d'autres termes, le commerce des données personnelles est dépendant de la confiance des consommateurs envers les récipiendaires de ces données.

Afin de rassurer les clients et utilisateurs, l'Union européenne et les Etats-Unis ont conclu, en 2001, l'accord « Safe Harbor ». Ce dernier a pour objectif d'encadrer et de sécuriser le transfert de données personnelles entre ces deux signataires, en garantissant un « niveau de protection adéquat » au sein des entreprises américaines (conformément à la Directive européenne de 1995).

La monétisation des données personnelles repose sur le Cloud

Or, ce système repose sur le volontariat des sociétés américaines participantes, qui certifient elles-mêmes respecter le degré de protection des données personnelles exigé par la législation communautaire, tout en restant simultanément contraintes de respecter les obligations américaines en matière de communication de telles données.

Les « Big four » que sont Google, Apple, Facebook et Amazon, dont le modèle économique intègre en grande partie la collecte, la gestion et le commerce des données personnelles, via leurs propres régies publicitaires, ont adhéré au « Safe Harbor ». Cette économie de la monétisation des données personnelles et de la publicité personnalisée, repose majoritairement sur le système du « Cloud ». Le « Cloud », selon le « Vocabulaire de l'informatique et de l'Internet » paru au Journal Officiel le 6 juin 2010, est « un mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire ».

Des données difficiles à localiser

Les consommateurs européens des « Big Four » utilisent ainsi des services, souvent américains, dérogeant aux règles communautaires en matière de protection. Par ailleurs, les données conservées sur les Cloud sont souvent transférées quotidiennement de pays en pays selon les capacités de stockage des serveurs dédiés, ce qui rend très difficile leur localisation, et donc la régulation de l'activité.

Le scandale PRISM révèle que les sociétés basées aux Etats-Unis sont tenues de communiquer aux autorités américaines compétentes les données personnelles collectées auprès de leurs clients. Ce constat ne peut qu'ébranler la notion même de « Safe Harbor » et remet en cause le lien de confiance instauré entre les ressortissants européens et les entreprises américaines.

Pour protéger les données, privilégier le cloud "made in France"

En effet, certaines failles viennent entacher l'accord « Safe Harbor ». Tout d'abord, un cadre légal ouvre accès à la transmission des données des entreprises au gouvernement américain, au nom de la lutte contre le terrorisme et la cybercriminalité, à travers le « Patriot Act » et le « Homeland Security Act » de 2002. Par ailleurs, le scandale PRISM illustre également que des captations illégales des données personnelles peuvent être institutionnellement commises, sans que les intéressés n'en soient informés.

Si les clients européens n'ont plus de garantie quant à la protection de leurs données personnelles, l'économie de l'information risque fortement d'en pâtir. L'alternative pour les utilisateurs est de se tourner désormais vers des services en ligne bénéficiant de serveurs implantés physiquement sur le sol national (Cloudwatt de Orange/Thales, Numergy de SFR/Bull...). L'assurance d'une protection efficace des données, encadrée par les législations françaises et européennes, devient ainsi un argument commercial de premier ordre.

La crise de confiance déborde sur les relations commerciales

Cette crise de confiance peut également se répercuter sur les relations commerciales entre les Etats-Unis et la France, en influençant les négociations sur l'accord de libre-échange. Si la France a finalement accepté d'ouvrir les discussions à la date prévue malgré le scandale PRISM, les réticences des politiques français et du Parlement européen risquent cependant d'en entraver les avancées.

Comme le rappelait le président de la République dans son discours de Berlin du 3 juillet 2013: "Il ne peut pas y avoir d'ouverture de négociations commerciales sans qu'il y ait dans le même temps, à la même date, l'ouverture de discussions et de vérifications avec les États-Unis sur l'activité des services de renseignement américains dans nos pays et la protection des données privées."
 

*Benjamin Galic est avocat associé IP/IT du cabinet CAPE CODE (Rennes); Henri Leben est avocat associé IP/IT au cabinat COLBERT