Intervention de Marietta Karamanli

Le secteur du numérique connaît aujourd'hui une expansion sans précédent, qui est aussi vectrice de nouveaux enjeux. Car au-delà des enjeux techniques et du problème de l'unification du marché européen à travers la stratégie européenne du numérique, ce développement pose également la question du respect des droits des personnes en général et des usagers en particulier.

Les utilisateurs des services en ligne sur internet, des réseaux sociaux et des nombreuses plateformes d'information et de communication disponibles confient de nombreuses informations personnelles au réseau. La protection de ces données contre des utilisations abusives, frauduleuses ou tout simplement sans lien avec l'usage initial des outils ou sites numériques constitue un enjeu majeur. L'Union européenne a développé dès les années 1990 une législation ambitieuse et novatrice, qui doit toutefois être conciliée avec d'autres, et principalement la législation américaine, pour être pleinement efficace. Ces deux législations sont actuellement en pleine évolution, et leurs réformes respectives apparaissent comme intrinsèquement liées.

Pour cette raison, nous avons jugé important de nous rendre aux États-Unis afin de rencontrer les interlocuteurs majeurs dans les différentes évolutions de la protection des données personnelles, qu'il s'agisse des législateurs eux-mêmes, des entreprises qui sont soumises à cette législation en mutation ou des acteurs publics qui doivent composer avec elle dans leurs activités d'intérêt général, et notamment de renseignement. Dans un premier temps, nous souhaitions, avec mon collègue Charles de La Verpillière, rendre compte des informations recueillies lors de cette mission quant aux plus récentes évolutions de la protection des données personnelles outre-atlantique, et dans un second temps, nous voulions montrer l'impact potentiel de celles-ci sur les changements à venir dans le cadre de l'Union européenne et des dernières négociations transatlantiques.

Le cadre législatif est en pleine mutation aux États-Unis. Nous voudrions d'abord souligner la diversité des interlocuteurs rencontrés, puisque nous avons eu des entretiens au sein de l'administration avec l'organisme indépendant Center for Democracy & Technology, aux bureaux d'Apple.

Au moment où nous faisions ce déplacement aux États-Unis, les agences étaient directement touchées par l'expiration, le 1er juin 2015, du Patriot Act relatif à la collecte de métadonnées des citoyens américains et résidents. Dans ses directives concernant la réforme des services de renseignement, le Président Obama a formulé en décembre 2013 quarante-six recommandations, avec pour objectif d'offrir plus de transparence sur l'interception et la rétention des métadonnées. Cet objectif de transparence et de meilleur ciblage des contrôles opérés devait aussi selon ces directives être étendue aux personnes non américaines. Au moment de notre mission, deux projets de lois concurrents avaient été introduits au Congrès. L'un prolongeait tel quel le dispositif actuel du Patriot Act. L'autre, le USA Freedom Act, présenté le 28 avril avec le soutien de l'administration, proposait une réforme des pratiques dans le prolongement des engagements pris par le Président Obama, avec la fin de la collecte de masse par l'administration et l'obligation pour les agences de renseignement de cibler davantage leurs demandes d'accès aux données. Depuis notre déplacement, c'est finalement ce second projet de loi qui a été adopté, et cela, sans surprise, car dans l'ensemble, nos interlocuteurs américains s'étaient sont montrés confiants sur le passage d'une loi d'ici le 1er juin, compte tenu du risque d'absence de base juridique auquel les services de renseignement américains seraient confrontés dans le cas contraire.

Il faut relativiser les changements qu'entraînera la mise en oeuvre de cette législation. Le texte qui serait adopté ne modifierait pas fondamentalement les pratiques des agences de renseignement. Le stockage des métadonnées par les opérateurs téléphoniques plutôt que par le gouvernement n'empêchera pas les services de renseignement d'y accéder, et les grands opérateurs de l'internet devraient rester peu concernés par ce texte dans la gestion des données recueillies sur le réseau.

Cette volonté d'un plus grand contrôle sur les activités des services de renseignement pourrait également avoir des répercussions sur le droit de la protection des données personnelles des Européens et un nouveau droit de recours pour les citoyens non-européens pourrait être mis en place.

En effet, une autre réforme concerne plus précisément les citoyens non-américains et semble faire l'objet d'une réflexion très actuelle. En juin 2014, l'Attorney General, Eric Holder, avait promis qu'un projet serait présenté permettant dans une certaine mesures un accès pour les citoyens n'étant ni américains, ni résidents des États-Unis, à des recours judiciaires contre l'usage fait par les autorités américaines de leurs données personnelles. Cette promesse s'est traduite par un projet de loi introduit mi-avril à la Chambre par le Représentant Sensenbrenner, le Judicial Redress Act.

Les collaborateurs du Représentant Sensenbrenner, que nous avons rencontrés, nous ont indiqué qu'aucun calendrier pour les discussions et le vote du projet n'était prévu à ce stade, les efforts de pédagogie en direction des élus n'en étant qu'à leurs débuts. Les élus américains devraient in fine comprendre l'intérêt commercial indirect de l'adoption de cette loi. Les interlocuteurs au Département de la Justice se montrent confiants pour ces mêmes raisons : « il y a eu beaucoup de lobbying des entreprises, y compris européennes, au Congrès en faveur de ce texte ». Google nous a confirmé cette volonté de faire pression sur les parlementaires américains pour faire adopter le Judicial Redress Act. Apple nous a indiqué que l'entreprise était prête à « rendre les clés » aux propriétaires de données personnelles, et ne souhaitait pas être l'interface entre les agences fédérales de renseignement et les clients.