Suites des affaires PRISM et NSA : vers un renforcement de la protection des données personnelles

En l’état du droit positif et afin d’éviter que l’affaire PRISM face office de précédent, l’Union européenne ainsi que le G29 ont entrepris des démarches en vue de modifier le cadre juridique européen actuel en matière de protection des données.

Les institutions européennes s’interrogent également sur l’opportunité de la conclure un accord intergouvernemental avec les États-Unis en vue fixer des règles relatives au transfert de données.
Après avoir découvert l’existence du programme de surveillance PRISM permettant la collecte de données via internet, l’actualité a révélé que la NSA avait réalisé des écoutes téléphoniques et intercepté des données de milliers d’individus à travers le monde.
Cet espionnage de masse réalisé par les américains démontre, outre la volatilité des données à caractère personnel qui sont aujourd’hui majoritairement diffusées par le biais des nouvelles technologies, l’aisance avec laquelle ces données peuvent être dérobées.
Ces données, parce qu’elles relèvent de la vie privée des individus, doivent assurément être protégées par un cadre juridique précis.
En effet, s’il peut être toléré certaines atteintes ponctuelles et ciblées à la vie privée des personnes intéressées notamment par la sauvegarde de la sécurité intérieure et la lutte contre les menaces à l’ordre public, ces atteintes ne doivent pas être généralisées. Surtout, ces atteintes ponctuelles à la vie privée ne doivent pas être utilisées à d’autres fins que celles autorisées par la loi pour obtenir, de manière détournée, des informations confidentielles ou privée.

I. Un renforcement de la protection des données à caractère personnel au niveau européen

Outre l’analyse indépendante du programme PRISM opéré actuellement par la Commission européenne et impulsée par le G29, l’Union européenne a entamé depuis 2012 des démarches en vue de refondre le droit de la protection des données à caractère personnel.
Actuellement, le cadre juridique applicable en la matière est fixé par la directive n°95/46/CE du 24 octobre 1995 relative à la protection des données ainsi que par la décision cadre 2008/977 du 27 novembre 2008. Ce socle juridique apparait aujourd’hui comme désuet et dépassé en ce qu’il ne tient pas compte des évolutions technologiques et de la démocratisation de l’internet et des nouvelles technologies.
Aussi, la réforme du droit des protections des données à caractère personnel est axée autour de deux textes :
D’une part, la proposition de règlement du 25 janvier 2012, laquelle est destinée à remplacer la directive de 1995 afin d’instituer un cadre général de l’Union européenne en matière de protection des données, notamment en imposant à l’ensemble des États membres un degré de protection équivalent. Cette proposition de règlement, adoptée le 21 octobre 2013 par la Commission « LIBE » s’articule autour de plusieurs axes qui sont le renforcement de la protection des données, le renforcement des droits des personnes physiques, le renforcement des obligations des responsables de traitement et des sous-traitants, et enfin, l’édiction de sanctions plus dissuasives.A ce titre, la proposition de règlement ne se contente pas de rappeler le principe du « droit à l’oubli numérique» mais en fixe les conditions. Également, elle confère un nouveau droit à la personne concernée qui est celui du droit à la portabilité des données, autrement dit le droit de transmettre des données d’un système de traitement automatisé à un autre sans que le responsable du traitement puisse y faire obstacle.
Les obligations du responsable de traitement sont également renforcées puisque la proposition de règlement insère un principe de transparence et de responsabilité globale du responsable de traitement, une obligation de conserver une trace documentaire des opérations de traitement sous leur responsabilité et une obligation de notification des violations de données à caractère personnel.
En outre, elle renforce la responsabilité des sous-traitants qui peuvent être tenus pour responsables des manquements aux dispositions relatives à la protection des données;  et elle augmente le plafond de la sanction administrative qui peut être égale à 1 000 000 € ou, dans le cas d’une entreprise, à 2% de son chiffre d’affaires annuel mondial, montant significativement supérieur au plafond actuellement prévu par la loi Informatique et libertés qui est limité à une amende de 150 000 € et de 300 000 € en cas de récidive.
Enfin, cette proposition de règlement introduit un contrôle des autorités de protection sur les demandes d’autorités administratives et judiciaires de pays tiers d’accéder aux données relatives à de citoyens européens. Cette proposition vise notamment à lutter contre les activités de renseignement ou d’espionnage de pays tiers en dotant le pays visés par cette mesure de moyens pour contrôler l’accès aux données.
D’autre part, les institutions européennes ont rédigé une proposition de directive qui a pour objectif de remplacer la décision-cadre 2008/977 de 2008. Cette proposition a un cadre circonscrit puisqu’elle énonce des règles relatives à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ainsi que d’activité judiciaires connexes.
Elle a pour objectif de renforcer la coopération policière et judiciaire en matière pénale notamment en facilitant l’échange d’informations entre les autorités policières et judiciaires nationales.
Aussi, elle prévoit l’établissement de règles relatives au traitement de données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites, ainsi que d’exécution de sanctions pénales.
Cette proposition de directive, si elle entrait en vigueur, permettrait aux Etats membres d’établir des traitements tout en assurant une distinction entre les données à caractère personnel de différentes catégories de personnes concernées.
En outre, la proposition de directive prévoit des règles relatives au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales dans le domaine de la coopération judiciaire en matière pénale. Aussi, ces transferts seront autorisés seulement s’ils sont nécessaires à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites.
Ainsi, on peut en conclure que la proposition de règlement et la proposition de directive vont renforcer la protection des données à caractère personnel mais également refondre considérablement le cadre juridique actuellement applicable.
Néanmoins, à ce jour, et dans l’attente de l’entrée en vigueur de ces deux propositions, il serait opportun de conclure un accord intergouvernemental avec les États-Unis en prévoyant, si ce n’est un dispositif de protection des données comparable à celui de la France, un  encadrement précis du transfert de données notamment dans le cadre d’activités de renseignement.

II. La nécessité de conclure un accord intergouvernemental avec les Etats-Unis

Contrairement à la France qui dispose d’un cadre juridique protecteur des données à caractère personnel, les États-Unis ont une législation souple voire permissive en matière de protection de telles données.
La conséquence en est qu’il est particulièrement difficile voire impossible d’interdire aux américains de collecter des données sur leur territoire et notamment par le biais d’entreprises américaines telles que Google.
A ce jour, peu d’accords ont été conclus entre les États-Unis et l’Union européenne ou la France en matière de protection des données à caractère personnel.
Les accords de transfert de données personnelles portent sur des natures précises de données.
A titre d’exemple, en 2012, l’Union européenne et les États-Unis ont conclu un accord dit PNR portant sr le transfert de données des passagers aériens européens aux autorités américaines. Cet accord fixe les conditions juridiques du transfert de ces données et couvre, en outre, la durée de conversation, l’utilisation, les garanties de protection ainsi que les recours administratifs et judiciaires.
Au regard des dérives américaines actuelles révélées et relayées dans l‘actualité, il serait opportun de conclure un accord intergouvernemental avec les États-Unis en prévoyant un cadre juridique sensiblement plus large à l’accord PNR en matière de protection des données à caractère personnel.
Le G29 comme la CNIL se sont d’ailleurs prononcés en faveur d’un tel accord en ce qu’il permettrait d’encadrer aussi bien le transfert que la collecte des données à caractère personnel.