Les CNIL européennes encadrent la surveillance « Made in NSA »

Dans une déclaration commune, les régulateurs européens réunis au sein du G29 affirment que le respect des règles de protection des données constitue un avantage compétitif pour les acteurs du numérique.

Un an et demi après les révélations d’Edward Snowden sur la surveillance massive pratiquée par la NSA américaine, le groupe européen des autorités de protection des données (G29) a dévoilé une déclaration engagée, lundi 8 décembre, lors du ‘European Data Governance Forum’ (EDGF) organisé par la CNIL à Paris, au siège de l’Unesco. L’objectif : « réaffirmer les valeurs communes de l’Europe » et élaborer un « cadre éthique et juridique » que devraient respecter les États comme les entreprises.

Un « droit fondamental »

Dès le premier article de leur déclaration commune adoptée le 25 novembre dernier, les régulateurs réunis au sein du G29 affirment que « la protection des données à caractère personnel est un droit fondamental ». Ces données (métadonnées incluses) ne peuvent donc être traitées comme « un seul objet de commerce, un actif économique ou un bien de consommation ». Le G29 veillera par conséquent à ce que les données personnelles ne soient pas incluses dans les négociations commerciales sur le Partenariat transatlantique de commerce et d’investissement (TTIP), également appelé traité de libre-échange transatlantique (TAFTA).

« Le niveau européen de protection des données ne peut être érodé, en tout ou partie, par des accords bilatéraux ou internationaux, y compris des accords commerciaux sur les biens et services à conclure avec des pays tiers », assure le G29 dans le 13e article de sa déclaration. Mais les divergences entre États membres ainsi que la pression exercée par les États-Unis et des lobbies industriels pourraient plomber ce dossier aux enjeux économiques colossaux.

Non à la surveillance massive du renseignement

Échaudé par l’affaire des écoutes menées par la NSA américaine, le G29 assure que « l’accès à des données à caractère personnel aux fins de sécurité n’est pas acceptable dans une société démocratique dès lors qu’il est massif et sans condition », (article 7). « Le traitement de données personnelles dans le cadre d’activités de surveillance ne peut avoir lieu que dans le cadre de garanties appropriées définies par la loi, conformément à l’article 8 de la Charte européenne des droits fondamentaux ».

Le G29 cible « tous les services de renseignement dans le monde, y compris européens », a expliqué Isabelle Falque-Pierrotin, la présidente du G29 et de la CNIL, au journal Le Monde. Le gouvernement français joue le jeu. « En 2015 et 2016, la loi réaffirmera de manière solennelle le droit à la vie privée et à la protection des données personnelles, ainsi que le contrôle des actes des services de renseignement », a déclaré le premier ministre, Manuel Valls, hier dès l’ouverture du EDGF.

Un atout économique pour les entreprises

Les États et leurs agences ne sont pas les seuls acteurs ciblés par la déclaration commune du G29, les entreprises et organisations du secteur privé, dont les courtiers en données, les régies publicitaires et les multinationales du numérique – Gafa (Google, Apple, Facebook, Apple) en tête – le sont également. Selon le G29, les entités privées ou publiques qui collectent des quantités massives de données à caractère personnel « doivent organiser le stockage de ces données de manière à permettre le contrôle du respect des exigences de protection des données par une autorité européenne indépendante » (article 11). Le G29 ajoute que « le stockage de ces données sur le territoire de l’Union est un moyen effectif de faciliter l’exercice de ce contrôle ». Le groupe affiche ainsi son soutien à la localisation de données que préconisent des acteurs du Cloud.

Pour retrouver « la confiance du public dans les produits et services de l’économie numérique » (article 4), la protection des données devrait être pensée comme un avantage compétitif par les entreprises. Ce point de vue est partagé par le gouvernement. « L’Europe doit faire de la protection des données personnelles un argument d’attractivité et de compétitivité. L’utilisateur doit pouvoir faire ses choix sur ses propres données en toute connaissance. Cela a un potentiel économique énorme », a déclaré Manuel Valls.

La réforme européenne en 2015

À l’heure où l’Union européenne s’apprête à introduire des garde-fous au transfert hors UE de données de citoyens européens, le G29 estime que « les projets européens de règlement et de directive relatifs à la protection des données doivent être adoptés en 2015 » (article 12). Les régulateurs européens ajoutent que ces règles de protection devraient être considérées comme « des principes internationaux impératifs en droit international public et privé » (article 14).

« Aucune des dispositions figurant dans les instruments européens visant à encadrer les transferts internationaux de données entre parties privées ne peut servir de base légale à des transferts de données vers les autorités de pays tiers pour des finalités de surveillance massive et indiscriminée – que ce soit celles de la Sphère de sécuritéSafe Harbor »), de règles d’entreprise contraignantes (« BCR ») ou des clauses contractuelles types », insistent les régulateurs européens.

Le règlement sur les données personnelles a été adopté au printemps dernier par le parlement européen. Pour entrer en vigueur,  il doit faire l’objet d’un accord entre les États membres divisés sur le sujet. Si Manuel Valls a réaffirmé hier « le soutien de la France à la réflexion sur le règlement sur les données », d’autres chefs de gouvernement européens sont plus réticents.

La déclaration commune du G29 est ouverte aux commentaires à l’adresse edgf@cnil.fr.

Lire aussi
Contre le Patriot Act : une certification française pour le Cloud
Protection des données : les entreprises n’anticipent pas la réforme européenne
Peu de services Cloud conformes au futur droit européen sur les données