A l'exception des milieux spécialisés, on a fait peu de cas de la proposition, dite décision d'adéquation (EU-US Data Privacy Framework), de la Commission de déclarer à nouveau les Etats-Unis comme destination sûre pour nos données, sûre au sens du respect de la vie privée et de notre RGPD. La Commission doit tenir compte du camouflet que lui a imposé la Cour européenne de Justice lorsqu'elle a recalé la précédente décision adoubant les Etats-Unis. Elle qualifie les Etats-Unis comme peu RGDP-friendly. Ce que la Cour reprochait à la Commission et aux Etats-Unis, c'est d'avoir peu tenu compte de la liberté donnée aux agences de renseignements étasuniennes d'aller piocher dans les données personnelles des citoyens européens qui transitent aux Etats-Unis (ou n'importe où dans le monde par des instances publiques telle que la NSA, via par exemple le Cloud Act). Et cela arrive souvent quand on sait tous les services informatiques souscrits auprès d'entreprises américaines qui ont besoin de rapatrier les données pour les traiter.

Ce que la Commission a vérifié, c'est l'existence de limitations et de garde-fous pour ces agences. C'est la supervision démocratique de ces mêmes agences et c'est la possibilité pour un citoyen européen de porter plainte directement aux Etats-Unis ou via ses autorités nationales. La pierre angulaire de cet accord est l'ordre présidentiel EO14086 du président Biden du 7 octobre dernier qui vise à compléter l'arsenal législatif déjà en place (mais jugé insuffisant par la Cour européenne de Justice).

Big brother reste actif, mais avec des limitations

Les agences américaines continueront à pouvoir collecter des données des Européens et au-delà d'ailleurs sur leur territoire si le but est :

- d'évaluer les capacités, les intentions des organisations étrangères ou terroristes

- de se protéger contre les activités et capacités militaires étrangères

- de comprendre ou évaluer les menaces qui impactent la sécurité mondiale et globale et... cela inclut le changement climatique, les risques de santé publique et les menaces humanitaires !

Par contre, la collecte est explicitement interdite s'il s'agit de brider la presse ou les citoyens lorsqu'ils critiquent, ou veulent librement s'exprimer. De même, si cette collecte vise à brimer les minorités du fait de leur race, genre, préférence sexuelle ou s'il s'agit d'offrir un avantage concurrentiel aux entreprises américaines, elle est prohibée. On ne s'attendait pas à moins ! Ce n'est pas aux agences d'auto-décider les buts légitimes de la collecte de donnée. Avant de collecter des informations, les agences américaines doivent essayer de les recueillir auprès des sources diplomatiques ou publiques. L'intrusion doit venir en dernier lieu.

La collecte en masse de données est toujours autorisée, qu'on se le dise, mais uniquement quand il s'agit de se protéger contre le terrorisme, la prise d'otages et le maintien en captivité, de se protéger contre l'espionnage étranger, le sabotage et les assassinats, de se protéger enfin contre les armes de destructions massives et les technologies qui y sont reliées.

La décision d'adéquation évoque la collecte d'information à l'étranger mais à la condition que les citoyens non-étasuniens concernés se trouvent bien à l'étranger aussi. C'était déjà prévu dans la loi dite FISA mais, chaque année, il doit y avoir une certification des catégories d'information à l'étranger que les agences sont susceptibles de pouvoir aller chercher.

Quand un individu est ciblé par la NSA, en dehors des Etats-Unis, il faut sélectionner le support qui fera l'objet de la collecte : email, numéro de téléphone... Il faut que cette surveillance mène en effet à de la collecte d'information relevante et en ligne avec les certifications obtenues qui valident ce qu'on peut collecter.

Les sociétés qui reçoivent des directives FISA de surveillance peuvent continuer à publier des rapports de transparence pour expliquer combien de demandes elles ont reçu et ce qui a été examiné. Ces rapports sont précieux en effet pour voir si les autorités américaines ne se mettent pas à déraper sur ce qu'elles surveillent et pourquoi. Cela permet aux entreprises de jauger le risque d'accepter que des données partent outre-Atlantique en laissant la protection de ces dernières aux mains de leurs fournisseurs américains. Pour réellement mener une surveillance électronique de quelqu'un, les agences de renseignement devront toujours en faire la demande auprès d'un tribunal, le FISC. La collection de données peut s'étendre auprès de sociétés de transport (location de voiture, train, avion, hôtel) ou d'entreposage (service de stockage) pour savoir qui a loué quoi ou qui est parti où.

Comment l'information peut être exploitée

A côté de mesures élémentaires comme avoir des mesures de sécurité suffisantes pour protéger ces données et du personnel autorisé, dûment compétent pour les manipuler, on apprend tout de même que ces données pourraient être disséminées même vers des gouvernements étrangers, ce dont la commission prend acte sans broncher.

Supervision

En matière de supervision, il y en a pour tous les goûts : l'ordre présidentiel EO14086 impose une surveillance accrue. On verra des Privacy and Civil Liberties Officers et les Inspectors General vérifier que les agences de renseignement se préoccupent suffisamment de vie privée et de libertés fondamentales. La présidence des Etats-Unis a, en son sein, un Intelligence Oversight Board (IOB) pour vérifier l'alignement avec la Constitution. Les agences de renseignement sont soumises à la supervision d'un Privacy and Civil Liberties Oversight Board (PCLOB), une agence indépendante dans la branche exécutive. Et bien sûr le Congrès américain a lui-même différentes commissions de surveillance qui font plus la une de l'actualité car indépendantes de l'exécutif justement. Cela fait, si nous comptons bien, il y a 5 niveaux de supervision. Est-ce suffisant ou... trop au risque de se perdre et diluer.

Obtenir réparation

La Commission considère de manière un peu optimiste qu'aux Etats-Unis, les citoyens avaient déjà la possibilité de mener une action juridique en cas d'atteinte supposée à leur vie privée et à leurs droits. Et de citer les lois en la matière, qui cadrent le renseignement dans ce but (EO 14086, Section 702 FISA, EO 12333). Le EO 014086, c'est vrai, prévoit une nouvelle cour de dernier recours pour les Européens, quel luxe !

Les citoyens européens pourront, pour porter plainte aux Etats-Unis, passer par les autorités de leur pays, par exemple la CNIL. Une suspicion de violation de la vie privée par les agences de renseignement américaines suffit (on se demande bien sur quoi la suspicion sera basée). Le citoyen devra tout de même donner un peu d'information : les données qui ont été transférées aux Etats-Unis, du moins le pense-t-il, l'identité des entités gouvernementales américaines fautives et trop curieuses. Le Civil Liberties Protection Officer du Director of National Intelligence (qui chapeaute toutes les agences de renseignement) déterminera s'il y a eu violation, et si oui, décidera d'un remède approprié, comme l'arrêt de la collecte des données, leur destruction, ainsi que des informations obtenues à partir des données. Mais comment le dommage est réparé, il n'est nullement question. Ce qui gêne ici, c'est qu'on reste toujours dans l'idée d'un méditauer-ombudsman et qu'il n'y a pas vraiment de recours à un tribunal, malgré que le EO14086 a étendu le rôle et les pouvoirs statutaires de l'agent traitant la demande de recours aux Etats-Unis.

Prochaines étapes

Pour que cette décision d'adéquation soit adopté, il faut encore l'avis de l'Europan Data Privacy VBoard qui regroupe toutes les CNIL européennes. Elle doit ensuite être approuvée par les Etats membres, et le Parlement européen peut intervenir. Tout cela va prendre du temps. La Commission n'aura en tout cas pas ménagé ses efforts pour convaincre que cette fois, c'est la bonne.