Intervention de Maximilian Schrems

En ce qui concerne le cadre juridique, la nécessité de passer des accords d'adéquation avec des pays tiers se justifie, pour l'Union européenne, au nom de la protection des données personnelles : le transfert de ces dernières vers des pays tiers ne doit se faire que si ces pays assurent une protection des données équivalente. C'est une exigence de l'article 8 de la Charte des droits fondamentaux de l'Union européenne, qui prévoit aussi une double exigence de confidentialité des communications (article 7) et d'accès à un recours judiciaire pour porter plainte (article 47). Du côté américain, le Quatrième amendement à la Constitution prévoit également la confidentialité et le droit impose qu'un juge valide les éventuels dispositifs de surveillance des communications mis en place. Des deux côtés de l'Atlantique, il y a donc un consensus sur la nécessité d'une protection des données. Cependant, aux États-Unis, le droit protège seulement les citoyens américains ; le Quatrième amendement ne s'applique pas aux étrangers, ce qui autorise de fait à surveiller les données des citoyens d'autres nations - je le dis à grands traits, mais dans le droit américain, on fait « un peu ce qu'on veut » avec les données qui concernent des étrangers. Dès lors, les règles appliquées ne satisfont pas aux critères européens de protection des données personnelles et aux garanties demandées.

Le président américain peut prendre ce qu'on appelle des executive orders, qui sont contraignants mais ne créent pas de droits tiers, comme le font les législations secondaires dans l'Union européenne. L'excutive order 12333, qui porte sur la surveillance à l'étranger en général, ne répond pas aux garanties demandées par l'Union. Lee Federal Intelligence Surveillance Act (FISA) oblige notamment les fournisseurs de services de communications électroniques et les entreprises de télécommunications à coopérer avec les autorités américaines et à leur permettre d'accéder aux données en leur possession, ceci dans des conditions qui ne sont pas transparentes. Le hiatus est très important entre la réglementation américaine et les règles européennes, et aucun texte supplémentaire, du côté européen, ne pourra venir le combler.

La décision d'adéquation dont nous parlons aujourd'hui, en réalité, répond à un objectif politique. Bruxelles l'a reconnu en faisant le lien avec la guerre en Ukraine et le fait que les Américains nous demandent à cette occasion de nous allier avec eux et de leur ouvrir l'accès aux données des Européens. Voilà bien ce qui paraît la base de ce nouveau processus.

La CJUE a établi, par deux fois, que le droit américain violait la Charte, en particulier au regard de la proportionnalité - les règles américaines ont échoué au test de proportionnalité réalisé par la CJUE. La solution paraissait donc qu'à tout le moins, le président américain prenne un executive order qui impose cette proportionnalité : mais il faudrait que chacun mette la même chose sous ce vocable. Les Américains et les Européens sont tombés d'accord pour inscrire ce terme dans les textes américains, mais l'interprétation américaine est loin de coïncider avec celle de l'Union européenne. Si l'on était d'accord des deux côtés de l'Atlantique sur l'interprétation, les Américains devraient cesser leurs pratiques de surveillance généralisée. Or, ce n'est pas ce qu'ils vont faire. Ainsi, on s'est accordé sur l'utilisation du mot « proportionnalité », mais pas sur sa signification. Je suis convaincu que la CJUE ne va pas accepter l'interprétation américaine.

La question de l'accès à des voies de recours, donc celle de l'application effective des droits garantis, est plus complexe. Le Privacy Shield prévoyait la possibilité de s'adresser à un médiateur (de même qu'en France, on peut s'adresser à la Commission nationale de l'informatique et des libertés (CNIL)). Cependant, aux États-Unis, le médiateur n'est pas contraint à autre chose que de dire, formellement, si la loi américaine a été respectée - et donc, on peut très bien avoir été surveillé sans que l'administration américaine soit tenue de le dire. C'est ce qui a conduit la CJUE à considérer que le Privacy Shield ne garantissait pas le droit à l'accès à la justice, d'autant qu'en outre, le médiateur est rattaché au ministère des affaires étrangères américain, plutôt qu'à celui de la justice, et n'est pas indépendant.

L'objectif était donc d'améliorer ce système : le rattachement ministériel a été modifié et la procédure est décrite dans le nouvel executive order ; l'avis du médiateur est contraignant pour l'administration. Mais il reste que la réponse du médiateur aux particuliers reste formelle, elle indique s'il y a eu violation de la loi, mais cela ne constitue pas un droit au recours effectif. Ainsi, les critères européens d'accès à la justice ne paraissent guère satisfaits : le médiateur est une sorte de cour dont on peut dire d'avance la décision.

Pour s'adapter mieux au droit européen, une sorte de cour d'appel a aussi été ajoutée, mais ce n'est pas une vraie cour de justice, dont la création nécessiterait une loi, votée au Congrès. Or une loi uniquement à l'avantage d'étrangers n'aurait aucune chance d'être votée, aux Etats-Unis. Or, cette « cour d'appel » non plus ne correspond pas aux standards européens, puisque ses membres sont désignés par l'exécutif et qu'ils ne sont donc pas, de ce fait, indépendants au sens de l'article 47 de la Charte. En réalité, les critiques de la CJUE n'ont pas été résolues.

Ce qui est problématique, pour l'UE, c'est que l'indépendance de la justice fait débat à l'intérieur même de l'Union, on le voit avec la Pologne et la Hongrie par exemple, où la notion d'indépendance de la justice fait débat. Or, là, l'Union européenne change son approche et accepte une définition de l'indépendance de la justice qui ne correspond pas à la définition européenne habituelle. Il peut bien sûr y avoir des restrictions des droits, par exemple en matière de terrorisme ou pour protéger des secrets d'État - mais ces restrictions sont proportionnées. Ce n'est pas le cas avec le système américain ; un système de surveillance qui reste secret constitue une exception est bien trop large et contredit les critères européens d'accès à la justice.

Les fondements juridiques de l'accord qui prévaut entre les États-Unis et l'UE sont donc bien fragiles et peu tenables à long terme. Des deux côtés de l'Atlantique, je les dis, on diverge sur la conception même de la surveillance, puisque les Américains appliquent des règles différentes selon qu'il s'agit de citoyens américains, ou étrangers, ce qui n'est pas le cas en Europe Il faudrait donc parvenir à un accord qui protège les données des citoyens y compris étrangers.