AEDH

L’Umbrella Agreement (ou accord parapluie) : une protection insuffisante des résidents européens

This post is also available in: enEnglish (Anglais)

Contexte. Au sein de l’Union européenne les enquêtes et poursuites d’infractions constituent selon le CEPD[1] un objectif politique légitime,  Cet objectif est régulièrement mis en exergue ces derniers temps en raison de la lutte anti-terroriste et donne lieu à des échanges d’informations avec les pays tiers. Or l’UE ne dispose pas d’un cadre commun robuste en la matière et les révélations au sujet de la surveillance massive [2] ont rendu la situation de plus en plus insoutenable, notamment dans le cadre des échanges avec les Etats-Unis (EU).

Ainsi le Parlement a adopté en 2009 une résolution appelant à un accord entre l’Union européenne et les Etats-Unis. Cet accord, bien que s’inscrivant dans une logique commune de réglementation, ne doit pas être confondu avec le « Privacy Shield » qui s’applique à  l’environnement commercial. L’Umbrella Agreement, ou encore « accord parapluie » concerne spécifiquement, la coopération policière et judiciaire pour l’échange de données dans le cadre de la prévention et de la détection des infractions pénales et à la mise en œuvre des enquêtes et poursuites en la matière. Le 1er décembre le Parlement a approuvé l’accord, le  2 décembre le Conseil de l’Union européenne a adopté une décision permettant à l’Union européenne de conclure cet accord, ce qui le remet au centre de l’actualité.

Nécessaire conformité des accords internationaux engageant l’UE avec la Charte européenne des Droits de l’Homme. Si des avancées. En outre, la CJUE a posé que les « accords internationaux ne sauraient avoir pour effet de porter atteinte aux principes constitutionnels du traité CE, au nombre desquels figure le principe selon lequel tous les actes communautaires doivent respecter les droits fondamentaux, ce respect constituant une condition de légalité»[6].

Sensibilité des données nécessaires aux enquêtes pénales : la nécessité d’une vigilance accrue. La matière pénale constitue un cadre spécifique aux enjeux larges. Elle est source de mesures graves qui dépassent le simple ciblage publicitaire. Le transfert de données en matière pénale ne touche pas seulement à la vie privée mais également aux arrestations arbitraires, détentions arbitraires ou encore à l’inaccessibilité à un procès équitable.

Cet accord se donne pour objectif de « garantir un niveau élevé de protection », ce qui est très louable mais pose la question de la conformité entre l’objectif et les dispositions de l’accord. Cette, conformité peut être vérifiée  en s’intéressant notamment à ce que l’accord ne dit pas.

Absence d’une clause générale relative aux droits de l’Homme

Un principe d’égalité ne s’appliquant qu’aux citoyens EU-US : négation de l’universalité des droits de l’Homme. L’article 3 de l’accord concerne « (toute)  information à caractère personnel transférée » entre les parties dans le domaine répressif. Comme le dénonce le CEPD, cette référence générale aux informations à caractère personnel semble signifier que les informations personnelles de tout individu bénéficient  des mêmes garanties inscrites dans l’accord. Or l’article 4 s’y oppose puisqu’il parle cette fois-ci des« informations à caractère personnel de ses propres ressortissants ET des ressortissants de l’autre partie ». L’article 19 reprend cette logique puisque le recours juridictionnel ne s’applique «qu’aux citoyens » des parties. Ainsi, réfugiés, sans papiers sont, entre autres, exclus du champ d’application de l’accord.

Un accord discriminatoire. En somme : « l’accord parapluie » ne protège que les citoyens européens et certainement pas les citoyens non européens dont les données sont envoyées par une autorité répressive européenne aux EU, et le traitement est indiscutablement discriminatoire. Afin d’éviter cela, il aurait dû être clairement énoncé dans l’accord que chaque partie assurera une protection équivalente pour toute personne dont les données ont été traitées par les autorités répressives.

En effet la protection des données doit être un droit pour tous, au-delà de toute considération quant à la nationalité.

La conformité de l’accord avec les articles 7 -droit à la vie privée-, 8 –droit à la protection des données- et 47 –droit à un recours juridictionnel effectif- de la Charte qui s’appliquent théoriquement à « toute personne » dans l’Union indépendamment de sa nationalité ou de son statut n’est donc pas respectée dans la mesure ou l’accord exclut toute autre personne que les ressortissants des parties. 

Au-delà de ce problème fondamental, sûrement le plus important, d’autres critiques peuvent être adressées à l’accord.

Différences conceptuelles et problèmes terminologiques « de taille ».

L’existence de différences conceptuelles, d’acceptions des mots entre les EU et l’UE sont incontestables, au premier rang de celles-ci on peut citer celle touchant à la vie privée. L’accord perd ainsi en clarté ce qui n’est jamais facteur de sécurité juridique.

Des principes de nécessité et de proportionnalité non uniformes. Le préambule énonce que les parties reconnaissent les principes de proportionnalité, de nécessité, de pertinence et de caractère raisonnable « dans leur cadre juridique respectif ». La conception du principe de nécessité n’est clairement pas la même aux au sein de l’UE et aux EU, où le raisonnable se réduit au seul respect du « need to know ».[9]

Une définition de « traitement des données » insuffisante. La définition de l’article 2-2 est nettement inspirée de la directive de 1995 mais il ne la reprend que partiellement. Ainsi, les termes de « collecte », « conservation » et de « mise à disposition », ne sont pas énoncés (citer article en bas de page). Il est regrettable que le cœur de l’objet de l’accord ne soit que partiellement présenté.

Transferts massifs de données sensibles. La définition des données sensibles offre un nouvel exemple de concepts différents entre les EU et l’UE. Si l’article 13, paragraphe 2, précise  qu’il s’agit des « données révélant l’origine raciale, les opinions politiques, les croyances religieuses… », il n’exclut pas la possibilité de leur transfert dans des cas spécifiques dont la définition est laissée à la charge des   parties. Le CEPD rappelle à cet égard qu’il aurait voulu l’exclusion des données sensibles notamment dans le cadre de l’accord PNR.

Problèmes liés à l’application :

Présomption générale de conformité L’article 5 paragraphe 3 se réfère à la mise en œuvre en droit interne de l’accord. Cet article pose donc une présomption de conformité de l’accord au droit interne, notamment en matière de protection, ce qui signifie qu’aucune autorisation n’est requise pour la mise en œuvre de l’accord, que tout contrôle est de facto exclu. Ainsi, si un traitement de données à caractère personnel relevant du champ d’application de l’accord est effectué, il est automatiquement réputé conforme au droit national. L’existence de cette présomption générale de conformité renforce la nécessité de garanties très solides concernant, entre autres, la protection des données.

Problème des autorités compétentes, sources et destinataires des données. L’article 2§5 les définit comme « une autorité nationale responsable de la prévention et de la détection des infractions pénales, dont les actes terroristes, et des enquêtes et poursuites en la matière », l’article 6 §2 introduit dans le traitement ultérieur des données « d’autres autorités répressives, règlementaires ou administratives ». Comme le remarque le CEPD, on comprend que les autorités nationales chargées de protéger la sécurité nationale seront soumises aux dispositions de l’accord. De plus, au vu de la définition de l’article 2, on comprend également que les ministères publics et autorités judiciaires sont soumises à l’accord. Dès lors il apparaît que la définition  des autorités couvertes par l’accord est trop large et floue.

Quant au  transfert lui-même des données, il ne se fera pas exclusivement entre autorités compétentes. L’accord s’applique en effet « aux données à caractère personnel transférées entre autorités compétentes ou autrement transférées conformément à un accord conclu entre les Etats-Unis et l’union ou ses Etats membre ». De cette manière, si l’on prend l’exemple le plus flagrant qu’est celui du PNR, l’accord s’applique aussi aux données transférées entre autorités compétentes et parties privées, comme les transporteurs aériens. Il faut enfin rappeler que le recours généralisé à l’externalisation concernant la sécurité fera sûrement entrer dans le champ d’application de l’accord des sociétés de sécurité privées. Cette intrusion d’une partie privée dans la matière pénale n’est pas positive.

La possibilité d’un recours juridictionnel effectif. L’impossibilité pour les citoyens européens de faire valoir leurs droits – accès, rectification, recours administratifs et judiciaires- concernant leurs données personnelles aux EU a retardé la signature de l’accord. Le Judicial Redress Act a ainsi été conçu dans la visée de remédier à cette impossibilité. L’article 5-2 le pose d’ailleurs comme condition de mise en œuvre de l’accord. Il faut cependant souligner que le Judicial Redress Act ne change rien à la situation des résidents européens, toujours dépourvus d’un recours juridictionnel

L’application directe. Si une fois signé par l’UE, l’accord est d’application directe dans les EM[14]

Sécurité nationale et recul  de la protection des données

Sécurité des informations : L’article 10 paragraphe 2 point b autorise l’omission de la notification d’une violation des données lorsque celle-ci «  est susceptible de représenter une menace pour la sécurité nationale. Le caractère de cette menace  n’est pas précisée. Au-delà du manque de précision de la disposition, son fond est également critiquable. Comme le demande le CEPD, pourquoi, dans de telles circonstances ne pas simplement limiter ou retarder la notification ? S’il n’y a pas de notification, il n’y pas d’information donc pas de possibilité de faire valoir ses droits, par l’absence d’un recours juridictionnel effectif posé par l’article 47 de la Charte européenne des droits de l’Homme. A nouveau, si la sécurité nationale est fondamentale, et peut nécessiter des aménagements spéciaux –en l’espèce le retardement ou la limitation de la notification- elle ne doit pas être la source de violations des droits.

L’Umbrella Agreement constitue une avancée, tente de répondre au besoin de transparence – nécessaire à la démocratie dans un Etat de droit, comme le démontre l’objectif qu’il se donne. Néanmoins, le manque de clarté de ses définitions, ses omissions intentionnelles et les incertitudes liées à son application en révèlent les limites. Enfin, même dans le cas supposé, où cet accord serait irréprochable, il ne règle en rien la question des transferts des données avec les autres pays tiers, question qui constitue une zone de non règlementation, et d’incertitude incontestable et préjudiciable aux droits des européens.


Avis  n°1/2016  du CEPD du 12 février 2016 : avis préliminaire relatif à l’accord entre les Etats-Unis d’Amérique et l’Union européenne concernant la protection des informations à caractère personnel afin de prévenir et de détecter les infractions pénales et de procéder aux enquêtes et poursuites en la matière :https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-02-12_EU-US_Umbrella_Agreement_FR.pdf

2 Les révélations Snowden en 2013 ont révélé, entre autres, une surveillance massive orchestrée par la NSA.

Cf Annexes en bas de page « Chronologie »

Jan Philip Albrecht, parlementaire européen, rapporteur pour l’accord parapluie, affirme que l’accord propose « des standards élevés » de protection.

Etude de la Commission LIBE dite «Etude Boehm» : «  A comparison between US and EU Data Protection Legislation for Law Enforcement », F.Boehm, septembre 2015.

 Etude du FREE réalisée par le juriste Douwee Korff, 14 octobre 2015.

Le principe « need to know » a pour but de protéger les informations les plus sensibles.

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=uriserv%3Al14012
                 

PNR (Passenger Name Record) : données des dossiers passagers. Accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation des données des dossiers passagers (données PNR) et leur transfert au Ministère américains de la sécurité intérieure http://register.consilium.europa.eu/doc/srv?l=FR&f=ST%2017434%202011%20INIT

Le Sénat américain adopte le Judicial Redress Act et le président Obama le signe le 24 février 2016. Il permet aux européens de contester l’utilisation de leurs données devant des tribunaux aux EU. https://www.congress.gov/bill/114th-congress/house-bill/1428

Art 276 TFUE – Jurisprudence CJUE, 5 février 1963, Van Gend en Loos

Cour Suprême des Etats-Unis, affaire Meddelin/Texas 552 US (2008) «  Il faut entendre par application directe que le produit dès sa ratification des effets internes automatiques en tant que loi fédérale  «  si les traités peuvent contenir des engagements internationaux …ils ne sont pas pour autant des lois nationales sauf si le Congrès a promulgué des dispositions d’application

Exemple : des données sont transférées par l’UE aux EU, les EU les transfèrent à l’Arabie Saoudite, ce transfert n’est pas soumis à l’accord.

Annexes :

-Avis EDPS : https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-02-12_EU-US_Umbrella_Agreement_FR.pdf

-Etude du Free : https://free-group.eu/2015/10/14/eu-us-umbrella-data-protection-agreement-detailed-analysis-by-douwe-korff/

-Etude Boehm (sur la différence US-UE) : http://www.uni-muenster.de/Jura.itm/hoeren/itm/wp-content/uploads/PNR-Study-FINAL-120313.pdf

-Etude Bignami (sur l’application directe aux EU) :http://www.europarl.europa.eu/RegData/etudes/STUD/2015/519215/IPOL_STU(2015)519215_EN.pdf

Compte AEDH