Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La protection des données personnelles dans les flux transatlantiques : quid de la législation américaine ?

juillet 2016 par Muriel Assuline, avocate du cabinet Assuline & Partners

Dans l´affaire « Schrems » devant la Cour de justice de l´Union européenne (CJUE, 6 octobre 2015, Affaire C-362/14, Maximillian Schrems c/Data Protection Commissionner), le niveau insuffisant de protection des données personnelles aux États-Unis a été le motif principal de l´annulation du « Safe Harbor » du 26 juillet 2000 permettant les transferts transatlantiques des données. Néanmoins, après les révélations d´Edward Snowden, une tendance a commencé à émerger aux États-Unis qui est celle de l´encadrement législatif de la surveillance de masse ainsi que du renforcement du droit à la protection des données personnelles.

Il faut tout d´abord rappeler que le Patriot Act du 26 octobre 2001, adopté à la suite des attentats du 11 septembre 2001, était une loi antiterroriste qui autorisait les services de sécurité d´accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs. Cette loi renforçait considérablement les pouvoirs des différentes agences gouvernementales des États-Unis (FBI, CIA, NSA). Le dispositif anti-terroriste a été critiqué pour son aspect liberticide. Son contenu était en conflit tant avec des droits substantiels que processuels. La loi mettait à mal au total six amendements de la Constitution américaine. Le Patriot Act a été prolongé par le vote du Congrès du 26 mai 2011 jusqu´au juin 2015 et certaines de ses dispositions ont été reconduites dans le Freedom Act du 2 Juin 2015.

Freedom Act : fin de la surveillance de masse ?

Le Patriot Act a été remplacé par le Freedom Act de 2 Juin 2015. Le Freedom Act est plutôt positif pour une simple raison : il est pratiquement impossible d’être plus attentatoire aux libertés que ne le fut le Patriot Act. Même si les Etats-Unis sont toujours engagés dans une guerre contre le terrorisme, ce sont plutôt les révélations d’Edward Snowden qui ont motivé la préparation de cette loi. Néanmoins, le Freedom Act n´abroge pas la loi de 2001, puisque beaucoup des dispositions du Patriot Act ont été prolongées. L´apport le plus important de ce texte consiste dans la limitation des pouvoirs de l´Agence nationale de sécurité américaine (NSA) ce qui met partiellement fin à la surveillance de masse instituée par le Patriot Act. En vertu de la nouvelle loi, les services de renseignement n’auraient accès aux données des américains que lorsqu’un tribunal jugera qu’il existe une suspicion légitime de lien avec le terrorisme international. Néanmoins, certaines associations américaines de défense des droits des citoyens (American Civil Liberties Union ; Electronic Frontier Foundation) estiment que cette loi ne va pas assez loin dans la mesure où l´essentiel des mesures inscrites dans le Patriot Act ont été prolongées. Ainsi, certains estiment qu´en réalité ce texte ne met pas fin à la surveillance de masse, mais à contrario élargit les critères spécifiques qui aboutissent à une collecte de masse. Malheureusement, ce texte ne concerne que la collecte des données aux États-Unis et n´aura aucun effet sur la surveillance pratiquée par la NSA à l´étranger. En effet, la loi autorise toujours la NSA à espionner les communications qui entrent ou sortent du territoire américain.

LEADS Act et les « warrant cases »

C´est le LEADS (Law Enforcement Access to Data Stored Abroad) Act qui va encadrer les hypothèses dans lesquelles le Gouvernement américain pourrait avoir accès à des données en provenance des pays étrangers. Cette loi n´autorise l´utilisation des mandats de perquisition extraterritoriale que si le Gouvernement cherche à obtenir le contenu des communications électroniques appartenant à un national des États-Unis.
Soutenu par le « United States House Committee on the Judiciary » le projet de loi est actuellement en discussion au Congrès des États-Unis. A l´origine de ce projet de loi se trouve notamment l´affaire Microsoft Corporation v/ United States of America de 2016. En l´espèce, le tribunal de district de New York a émis en décembre 2013 un mandat demandant à Microsoft de produire tous les e-mails et les informations privées associés à un compte hébergé par Microsoft sur un serveur situé à Dublin. Le Gouvernement américain justifiait cette demande par le fait que l´individu titulaire du compte était en relation avec le trafic de drogue. Microsoft a rejeté la demande et est actuellement impliqué dans un litige devant une cour d’appel fédérale. Microsoft soutient en effet que le juge américain n´a pas le pouvoir d´émettre un mandat ordonnant la production des informations stockées à l´étranger. C´est à ce type des demandes que le LEADS Act entend mettre fin. D´ailleurs sur le plan interne, le juge fédéral s´est efforcé de limiter le pouvoir du Gouvernement d´accéder aux données personnelles dans le cadre d´une enquête pénale. Ainsi dans le jugement Riley v/Californie de 25 Juin 2014, la Cour suprême des États-Unis a décidé que la perquisition sans mandat judiciaire (warrant) et la saisie de contenus numériques d´un téléphone lors d´une arrestation sont inconstitutionnelles (violation du 4ème Amendement de la Constitution américaine).

De même, dans l’affaire Apple c/FBI, une ordonnance du Magistrat James Orenstein de la "Federal District Court" pour le District Est de l’État de New York datant du 29 février 2016, a refusé d’ordonner à Apple d´aider le FBI à débloquer l’iPhone de l´un des terroristes de la fusillade de San Bernardino. Pour justifier une telle décision, le juge Orenstein a considéré que le gouvernement réclamait une autorité presque illimitée pour contraindre Apple de coopérer avec les autorités de police.

Le Judicial Redress Act et la protection des droits des citoyens européens Enfin, le Judicial Redress Act de Février 2016 ouvre aux citoyens européens la possibilité d´agir en justice devant les tribunaux américains sur le fondement de Privacy Act de 1974. En étendant la protection offerte aux citoyens américains par le Privacy Act de 1974 aux citoyens européens, cette loi fait partie intégrante du processus de négociation du « Privacy Shield » qui remplacera le « Safe Harbor » annulé par la Cour de justice dans une décision de 6 octobre 2015 (CJUE, 6 octobre 2015, Affaire C-362/14, Maximillian Schrems c/Data Protection Commissioner).

En outre, le Judicial Redress Act prévoit la conclusion d´un « umbrella agreement » entre les États-Unis et l´Union européenne. L´accord conclu le 2 Juin 2016 prévoit la mise en place d´un cadre pour la protection des données pour les données personnelles transférées aux fins de la prévention, la détection, l’investigation et la poursuite d’infractions pénales, y compris le terrorisme. Cet accord offre également aux citoyens européens le droit de contester la façon dont leurs données sont utilisées par les autorités américaines.

Quant au « Privacy Shield » conclu entre l´Union européenne et les États-Unis le 2 février 2016, il est actuellement examiné par les États membres dans le cadre de la procédure de « comitologie », en conformité avec l’article 31 de la directive 95/46 / CE. Il devra être adopté jusqu´au 8 juillet. Néanmoins, autant le G29 que le Contrôleur européen de la protection des données (CEPD) ont rendu des avis négatifs sur ce projet de décision d´adéquation. Si la Commission européenne ne tiendra pas compte des recommandations du G29 et du CEPD, il n´est pas exclu que le nouveau mécanisme de transfert transatlantique des données soit annulé par la Cour de justice de l´Union européenne.




Voir les articles précédents

    

Voir les articles suivants