Droit européen, droit américain, lequel est plus protecteur des données personnelles ?

Timide, pour ne pas dire absente, sur la scène politique et médiatique au début de la crise du Covid-19, l’Union Européenne se réveille aujourd’hui avec des décisions et annonces spectaculaires en économie, finance et justice.

Plan de relance économique de 750 milliards d’euros présenté et discuté à Bruxelles dès le 16 juillet ; jugement du Tribunal de justice du 15 juillet 2020 permettant à Apple de ne pas rembourser 13 milliards d'impôts impayés à l'Irlande ; et décision de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020 dans la joute de David contre Goliath, ou Max Schrems contre Facebook, invalidant le « Data Privacy Shield », le bouclier des données personnelles. Après le calme du Confinement, il s’agit d’un réel tsunami juridico-politique.

Naissance d’un véritable droit des données personnelles

Depuis la « Loi informatique et libertés » de 1978 en France jusqu’au « RGPD » -Règlement Européen de Protection des Données- du 25 mai 2018, la protection des données personnelles des internautes devient chaque jour plus une réalité.

Selon la loi de Moore -de Gordon Moore, co-fondateur de INTEL né en 1929 - la « puissance informatique » double tous les deux ans. Il suffit de regarder l’évolution des téléphones mobiles pour en être persuadé. De là à penser que la technologie au service de certains Etats peut menacer les libertés des citoyens, il n’y a qu’un pas.

Les menaces plus ou moins réelles sur les citoyens ont donné naissance aux initiatives protectrices de la part de gouvernements mais aussi de particuliers tels que Julian Assange, Edouard Snowden, Mario Costeja ou Maximilien Schrems. Il en résulte un carcan juridique pour protéger les internautes -même parfois malgré eux- contre une utilisation, gestion et transfert de données personnelles qui ne garantiraient pas une protection adéquate.

Le spectre des tours jumelles de New York et Ed Snowden

Au lendemain des terribles attentats des tours jumelles à New York, le 9 septembre 2001, les Etats-Unis sont non seulement entrés dans une psychose de surveillance numérique, mais ont aussi bénéficié de la sympathie de tous les pays démocratiques. Un véritable sirocco anti-terroriste s’est levé, apportant soutien et collaboration notamment en matière de surveillance électronique, informatique et numérique.

Dans un tel contexte, la recherche et l’utilisation des données personnelles se sont propagées et développées à vitesse grand « V » dans les secteurs militaires et civils. Au début des années 2000, l’informatique était déjà suffisamment « mature » pour permettre de faire de grands bonds de « progrès » lorsque l’investissement financier venait en renfort. C’est ce qui s’est passé après les attentats terroristes de New York.

La chasse-à-l’homme contre Oussama ben Laden était une fin qui justifiait tous les moyens nécessaires pour sa capture. Pendant les presque dix ans entre les attentats et la mort de ben Laden, tous les moyens de surveillance, contrôle et stockage d’informations personnelles étaient permis. Les révélations de Wikileaks d’abord et de Edouard Snowden ensuite ont été les grandes alertes de cette période de « vigilance » tout azimut.

Camouflet au pays de « life, liberty and the pursuit of happiness”

La décision de la CJUE dans la récente affaire Schrems vs. Facebook constitue sans aucun doute une des plus importantes prises de position officielle de l’UE en faveur de la protection des données personnelles.

Partie d’un désir simple et légitime de vouloir rester maître de ses données personnelles et de leur transmission entre filiales d’une multinationale dans différents pays, la question fondamentale de droit soulevée par l’affaire Schrems vs. Facebook portait sur les garanties existantes -ou non- aux Etats-Unis par rapport à celles de l’UE en matière de protection des données personnelles, en prenant comme modèle de base le RGPD.

En l’espèce, la CJUE a estimé que non car « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union”.

La CJUE porte ainsi un camouflet aux Américains et la nation qui revendiquent -depuis un siècle et souvent à juste titre- le label de protecteur des Démocraties et du « life, liberty and the pursuit of happiness » (Déclaration d’Indépendance des Etats-Unis, 4 juillet 1776). Sans doute nos voisins et alliés-de-toujours outre-Atlantique sont-ils plus enclins à accepter un « contrôle » d’informations et données personnelles. Cela se justifie peut-être en raison des nombreuses attaques terroristes, d’extrême droite comme de gauche en passant par les islamistes, contre les intérêts américains dans le monde au cours des cinquante dernières années. Toutefois, jusqu’où la légitime protection collective de la Patrie permet-elle de porter atteinte aux droits individuels des citoyens qui la compose ?