Ma question concerne la nécessaire convergence, par le haut si possible, entre les États-Unis et l’Union européenne s’agissant des réglementations et des standards en matière de protection des données personnelles.
Le Parlement européen vient d’adopter, le 14 avril dernier, le nouveau règlement sur la protection des données personnelles.
La Commission européenne a annoncé début février avoir conclu un « accord-cadre de principe » avec les États-Unis, baptisé Privacy Shield, pour une nouvelle réglementation du transfert des données personnelles entre les deux continents.
Mais, pour les CNIL européennes, regroupées dans ce que l’on appelle le « G 29 », cet accord est insuffisant.
D’une part, les principes clés de la protection européenne des données, comme la finalité limitée ou la limitation de la durée de conservation, n’ont pas leur équivalent dans cet accord. D’autre part, les autorités américaines n’apportent pas d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens.
Que veulent la France et l’Union européenne : transcrire ce dispositif insatisfaisant dans le futur traité ou faire en sorte que les États-Unis partagent, dans ce traité, les normes européennes adoptées le 14 avril dans le nouveau règlement ?
La hiérarchie des normes juridiques imposera que le nouveau règlement européen et les lois américaines respectent les normes du futur traité en matière de protection des données personnelles.
Nous souhaitons tous que le traité conduise à aligner les lois américaines sur le règlement européen. Mais il faut clairement dire qu’au contraire le traité peut aboutir à nous obliger à réduire notre protection pour l’aligner sur les normes qu’il définit, ce qui serait en totale contradiction avec les objectifs du nouveau règlement européen et ceux de la loi pour une République numérique que nous sommes en train d’adopter en France. Mieux vaudrait, dans ces conditions, ne pas inclure les données personnelles dans un tel traité.
Ma question est simple : quelles mesures le Gouvernement français compte-il prendre pour que les accords de libre-échange garantissent un niveau de protection des données personnelles équivalent au niveau exigé par l’Union européenne ?