Mme Marie-Noëlle Lienemann interpelle Mme la Première ministre sur le lancement par la Commission Européenne du processus d’adoption de la décision d’adéquation1 concernant le cadre de protection des données entre l’Europe et les USA.
Concrètement, ce lancement de procédure fait suite à la signature du décret du 7 octobre 2022 par Joe Biden (pour limiter l’accès aux données par les services de renseignements américains), ainsi qu’aux règlements adoptés par le procureur général des États-Unis, afin de transposer l’accord de principe signé par Mme Ursula Van der Leyen en mars 2022. La Commission européenne et sa présidente estiment donc que le cadre juridique américain « offre des garanties comparables à celles de l’UE » et concluent qu’ils « assurent un niveau de protection adéquat des données à caractère personnel transférées de l’UE vers des entreprises américaines. »
Or l’accord de principe signé par la Présidente de la Commission ne respecte pas le Règlement général sur la protection des données (RGPD)2 et entre en contradiction ouverte avec les exigences de notre pays en matière d’« autonomie stratégique », d’« indépendance industrielle » et de « cloud européen ». Côté américain, l’appropriation de ces données, de tous les éléments se rapportant à notre vie publique comme privée, fait sens : les Gafam comme les sociétés d’Elon Musk réclament – pour bâtir le nouveau monde de l’intelligence artificielle – de disposer des données personnelles d’un maximum d’individus. Que Joe Biden considère que les intérêts économiques des Gafam prévalent sur tout le reste est un fait, mais cela ne saurait en aucun cas prévaloir sur nos propres intérêts stratégiques et sur nos libertés publiques. Nous pourrions être exposés à un risque d’utilisation des données des Européens à des fins de développement de l’intelligence artificielle exclusivement américaine, dont Joe Biden a opportunément officialisé le lancement dès après l’accord de mars 2022.
Nous faisons face à un conflit de juridictions, découlant de deux conceptions politiques antinomiques : l’une, européenne, qui demande la protection de la vie privée ; et l’autre, américaine, qui prône la surveillance. Depuis l’adoption du Patriot Act, nous ne pouvons plus considérer que nos droits fondamentaux sont respectés par les États-Unis. Nous n’avons pas, avec les Américains, la même notion de la sécurité. Nous n’avons pas, en conséquence, assez de garanties sur les protections et les droits de recours. La surveillance de masse américaine va continuer et le Data Act adopté sous Donald Trump est d’ailleurs toujours en vigueur. La Cour de Justice de l’Union Européenne (CJUE) a annulé les deux accords précédents passés avec les États-Unis sur le même thème, le « Safe Harbor », en 2015, et le « Privacy Shield », en 2020. La gravité des atteintes engendrées par le nouvel accord justifierait qu’elle soit à nouveau saisie.
Mme Lienemann avait déjà interpellé le gouvernement par une question écrite (n°17181) en juillet 2020 sur un dossier connexe : les menaces de fuite à l’étranger des données de santé des Français qu’impliquait la plateforme des données de santé (PDS) dit « Health Data Hub ». Le ministère des solidarités et de la santé n’avait alors pas daigné répondre.
Mme Lienemann demande donc à Mme la Première Ministre d’indiquer explicitement quelle est la position de la France sur ce dossier et les dangers qu’il implique. Elle lui demande également quelles mesures compte prendre le gouvernement pour protéger les intérêts français et européens et nos libertés publiques en la matière et si elle compte saisir la CJUE pour les faire respecter.
1Pour rappel, une décision d’adéquation est un processus prévu par l’article 45 du RGPD, qui autorise et permet de transférer des données à caractère personnel depuis l’UE vers un autre pays, tout en assurant un niveau de protection identique.
2Les entités européennes (entreprises, associations, etc.) pourront transférer des données personnelles aux entreprises participantes aux États-Unis, sans avoir à mettre en place des garanties supplémentaires en matière de protection des données. Or l’ONG autrichienne NOYB (None Of Your Business), qui lutte contre la protection des données personnelles, et son président Max Schrems (ils ont obtenu l’annulation des deux accords USA-UE cités dans la question écrite) n’ont pas manqué de réagir à cette annonce en exprimant leurs doutes : selon eux, la loi américaine actualisée (Executive Order 14086) ne semble pas répondre aux exigences concernant les restrictions d’accès aux données des services de renseignements, et estime qu’il y a toujours une « surveillance massive ».