L'EDPB qui regroupe les CNIL européennes avait déjà proposé des lignes directrices, lors de la première annulation des transferts EU-US (arrêt Schrems I), les European Essential Guidelines (EEG). Elles  permettent de juger si un pays a mis en place un programme de surveillance, que ce soit via les autorités judiciaires ou des services de renseignement, qui interfère raisonnablement et de manière justifiée avec les droits fondamentaux de protection des données et de respect de la vie privée. Ces recommandations prennent un certain sel aujourd'hui avec la contestation de la loi sécurité....

Cette analyse avec les EEG, ce n'est toutefois qu'une partie de l'équation dit l'EDPB pour garantir que le pays tiers est éligible à une décision d'adéquation de la Commission Européenne. Cette dernière est prévue est prévue par l'Article 45 du RGPD. Il n'y a que peu de pays reconnus ainsi mais cela n'empêche pas une entreprise d'exporter des données dans un autre pays. C'est à elle alors de s'assurer que ce pays est respectueux de la vie privée via l'article 46 du RGPD et d'en assumer la responsabilité. C'est à l'entreprise alors de s'emparer des EEG pour juger, rien de moins, les vertus de ce pays dans la surveillance de ses citoyens et des données personnelles sur son territoire.

La Cour ne donne pas de lignes directrices après avoir critiqué le programme de surveillance US. L'EDPB a donc remis à jour les siennes via les EEG pour l'aspect surveillance.

Les quatre European Essential Guidelines

Il y a 4 EEG. La première exige des règles claires en cas de surveillance pour avoir une base à contester en justice. Ce que l'EDPB appelle interférence avec le droit à la vie privée et la protection des données doit être prédictible pour prévenir des abus. Le côté prédictible ne doit pas amener la cible à prévoir ou se douter qu'il sera sous écoute. Les lois du pays doivent être suffisamment claires pour donner au citoyen la clarté sur les circonstances et les conditions dans lesquelles il pourrait être surveillé.

La deuxième EEG concerne le principe de proportionnalité et de nécessité. Un pays tiers qui n'indiquerait pas clairement les limitations au pouvoir qu'il donne à ses programmes de surveillance ne satisfera pas au principe de proportionnalité, d'après l'EDPB. Quant au principe de nécessité, dans son arrêt Schrems II, la Cour insiste sur le cas, négatif, des législations qui autorisent sur base généralisée le stockage des données personnelles de toutes les personnes transférées, sans limitation, différenciation, limitation au regard de l'objectif poursuivi et sans critère préétabli avec lequel des autorités pourraient accéder aux données. Cela rappelle évidemment l'annulation de la directive Data Retention, prise dans la foulée des attentats de Madrid, par la même cour de justice. Elle obligeait les opérateurs de stocker une grande quantité d'information sur le comportement des utilisateurs sur le Net.

La troisième EEG impose l'existence d'un mécanisme indépendant de supervision. Si programme de surveillance, il y a, il doit être supervisé et supervisable par une autorité indépendante dirigée par un juge ou un organisme indépendant. Ce n'est pas  tout de disposer d'une autorisation légale ou judiciaire, il faut vérifier que son exécution ne donne pas lieu à des abus. C'est ce que vise cet EEG. Pour la collecte en temps réel de données ou les données de localisation, cette supervision contrôlera ses limites au strict nécessaire. Seul des cas d'urgence peuvent s'en passer. La Cour Européenne des Droits de l'Homme a exprimé sa préférence pour avoir un juge qui dirige cette supervision mais elle n'exclut pas d'autres organismes pour autant qu'une indépendance soit assurée.  La manière de nommer ses membres fait la différence. Ils peuvent  l'être par un ministre s'ils sont aptes à occuper une fonction judiciaire, une manière d'esquiver le conflit d'intérêt avec un exécutif (qui est souvent le commanditaire des programmes de surveillance). La supervision doit être transparente pour le public qui doit pouvoir savoir.

Dernier EEG, le droit de recours: tout individu doit pouvoir en bénéficier. Evidemment ce droit de recours ne peut s'exercer que si le citoyen se sait être sur écoute et surveillé. Cette notification ne peut mettre en péril l'objet même de la surveillance, dit l'EDPB. Une fois la surveillance finie, la notification au citoyen peut avoir lieu (souvent lorsqu'il est poursuivi) et le recours peut s'effectuer mais que faire s'il n'y a pas ou jamais de notification car l'individu n'est pas inquiété ? L'essentiel est qu'il existe une un organisme devant laquelle on peut exercer un droit de recours.

Ces EEG forment la base pour s'assurer que le niveau d'interférence avec les droits fondamentaux reste acceptable  Ces EEG, issue de l'observation de ce qui se passe en Europe, autorisent un certain degré d'interprétation car tout ne ressemble pas à la législation européenne. En fait,  ces EEG devraient être la norme qui s'applique à tous les pays du monde dit l'EDPB. Il n'empêche : pour une entreprise, juger sur base de ces EEG si le pays est suffisamment « démocratique » est une gageure d'autant qu'il doit le faire avec le partenaire dans le pays qui recevra les données. C'est sans doute ce dernier qui se chargera de la besogne, en toute objectivité et sans pression ?

______

Pour en savoir plus : Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, Adopted on 10 November 2020, EDPB