Le 27 novembre 2013, la Commission a publié une série de documents et autres communications en lien avec les transferts de données, et leur protection, entre l’UE et les USA. Cette initiative de la Commission européenne doit poser les bases pour restaurer la confiance des citoyens européens ébranlée par les révélations sur les programmes de collecte illégale de renseignements à grande échelle qu’auraient menées le service de renseignements américain, la NSA, selon les documents transmis à la presse en juin par le lanceur d’alerte américain, Edward Snowden.

Cette réponse de la Commission s'appuie sur les conclusions du groupe de travail ad hoc UE-États-Unis sur la protection des données, sur le réexamen des accords en vigueur en matière d'échange de données, et sur un dialogue constant au niveau politique entre l'Union européenne et les États-Unis, notamment les réunions des ministres de la justice et de l'intérieur de l'UE et des États-Unis qui ont eu lieu, dont le dernier le 18 novembre.

Cette initiative est survenue au lendemain du passage à la commission des affaires étrangères du Parlement européen, d’une délégation américaine composée du président de la sous-commission des affaires européennes du Sénat américain, Chris Murphy, ainsi que de Mario Diaz-Balart et Gregory Meeks, membres de la Chambre des représentants. "L'UE et les États-Unis doivent chercher à rétablir leur confiance mutuelle afin de pouvoir construire un espace économique conjoint au titre de l'accord de partenariat transatlantique", avait affirmé, à cette occasion, le président de la commission des affaires étrangères, l’eurodéputé Elmar Brok (PPE, Allemagne), selon les propos rapportés dans un communiqué de presse du Parlement européen, diffusé le 27 novembre 2013.

"Nous avons été trop loin dans la manière dont nous avons mené les activités d'espionnage", avait pour sa part concédé le sénateur Murphy, précisant que les révélations de surveillance électronique massive avaient été "choquantes non seulement pour les Européens mais également pour les Américains". Il a promis des "changements importants" dans la législation américaine, notamment au sujet des sauvegardes sur la collecte de métadonnées et les procédures de surveillance. Il a ajouté qu'il n'était pas nécessaire de suspendre les accords actuels avec les États-Unis ni d'arrêter les négociations en cours.

Pour cause, le Parlement européen avait notamment demandé le 23 octobre 2013, la suspension de l’accord SWIFT qui aurait été contourné par les services secrets américains, tandis que certains groupes politiques réclamaient également la suspension des négociations sur le partenariat transatlantique. Sur ce dernier point, le Parlement s’était montré était de nouveau divisé le 26 novembre 2013. Son communiqué de presse résumait  ainsi la situation : "Certains parlementaires ont vivement condamné le caractère "disproportionné" des mesures de surveillance des États-Unis à l'égard de citoyens européens et ont demandé la suspension des négociations commerciales et de l'accord sur l'échange de données avec le pays. Cependant, d'autres ont répliqué que la suspension des accords ou l'arrêt des négociations simplement pour envoyer un message aux États-Unis serait "irresponsable"."

Pour la commissaire européenne en charge des affaires intérieures, Cecilia Malmström , les accords Swift et PNR "fournissent des garanties efficaces en ce qui concerne la protection des droits fondamentaux des citoyens européens"

La Commission a adopté deux rapports, commandés suite suite aux révélations d’Edward Snowden, réexaminant pour le premier le programme de surveillance du financement du terrorisme (Terrorist Finance Tracking Programme dit TFTP) et le second consistant en un réexamen conjoint de l’accord avec les États-Unis sur les données des dossiers passagers (données PNR). A la lecture de ces rapports, la Commission européenne a renoncé à suspendre quelque accord que ce soit. "On ne suspend pas des accords internationaux sur la seule base d'articles de presse", aurait d’ailleurs tonné, la commissaire européenne en charge des affaires intérieures, Cecilia Malmström, en conférence de presse, selon l’agence Europe. Les deux accords "fournissent des garanties efficaces en ce qui concerne la protection des droits fondamentaux des citoyens européens", déclare-t-elle dans un communiqué de presse diffusé par la Commission européenne.

Les données transférées dans le cadre de l’accord SWIFT forment "une source essentielle d'informations"

Concernant le premier accord, aussi connu sous le nom d’accord SWIFT, du nom de la société par laquelle transitent les flux de données financières concernées, la commissaire en charge des affaires intérieures, Cecilia Malmström a annoncé qu’elle avait clos les consultations lancées en septembre 2013. "Nous avons pris très au sérieux les allégations selon lesquelles les États-Unis auraient eu accès à des données financières Swift en dehors du cadre de l’accord TFTP et, comme nous l'avions promis au Parlement et aux citoyens européens, nous avons demandé aux États-Unis de faire toute la lumière sur cette affaire", a-t-elle dit. Or, ces consultations "n’ont pas révélé d’éléments indiquant une violation de l’accord par les USA, et donc, j’ai décidé de les clore". "Je me félicite que le gouvernement américain ait donné l'assurance, notamment lorsque j'ai été reçue à la Maison-Blanche le 18 novembre, qu'il n'avait pas violé l'accord TFTP et qu'il continuerait à le respecter intégralement", a-t-elle fait savoir.

Elle a néanmoins précisé que "les efforts seront intensifiés" afin que l'application de l’accord TFTP reste étroitement surveillée au cours des prochains mois et à plus long terme. De même, les USA ont concédé la tenue plus précoce d’un réexamen, dès le printemps 2014.

Pour le reste, ce traité a, selon la commissaire, rendu de précieux services, au vu du rapport présenté. "Le TFTP a permis de recueillir des renseignements importants grâce auxquels il a été possible de détecter des complots terroristes et de remonter jusqu'à leurs auteurs." Ainsi, des informations obtenues grâce au TFTP auraient été utilisées, par exemple, pour enquêter sur les attentats du marathon de Boston en avril 2013, sur les menaces terroristes durant les jeux olympiques de Londres ou sur l'entraînement en Syrie de terroristes basés dans l'UE.

Les données du TFTP sont "une source essentielle d'informations" sur les réseaux de financement des organisations terroristes et "elles aident à mettre au jour les nouvelles méthodes de financement du terrorisme et à identifier les personnes impliquées, aux États-Unis, dans l’Union européenne ou ailleurs". Durant les trois dernières années de son application, le TFTP aurait fourni 924 pistes d'enquête en réponse à 158 demandes soumises par les États membres et par l'UE.

Le rapport sur le réexamen conjoint de l’accord PNR entre l'UE et les États-Unis

Concernant l'accord UE-États-Unis relatif au transfert des données des passagers aériens des vols en provenance de l'Union à destination des États-Unis (dit Accord PNR LIEN ), lequel est entré en vigueur le 1er juillet 2012, la Commission, dans  son rapport, déduit du contrôle réalisé par des experts de l’UE et des États-Unis, "que les autorités américaines ont appliqué l'accord en respectant les normes et les conditions qu’il contient". "Par exemple, le masquage et l’effacement de données sensibles sont respectées et le Département de la sécurité intérieure a déclaré qu’il n’a jamais eu accès à des données sensibles à des fins opérationnelles", a certifié Cecilia Malmström. Les autorités américaines ont également mis en place un mécanisme de contrôle régulier pour se prémunir contre une discrimination illégale.

Or, "cet accord fournit un outil efficace de lutte contre le terrorisme et les formes graves de criminalité transnationale, tout en délimitant clairement les fins auxquelles les données PNR peuvent être utilisées et en apportant un ensemble de garanties solides en matière de protection des données", dit le communiqué de presse.

Le prochain réexamen conjoint devrait avoir lieu au premier semestre de l'année 2015.

Treize recommandations pour améliorer l’accord Safe Harbour

Viviane Reding et Cecilia Malmström ont également publié, le même jour, une communication conjointe sur le fonctionnement de l’accord Safe Harbour, afin de l’améliorer. Ce document de la Commission constate que ce vieil accord ne pouvait pas anticiper les évolutions technologiques et commerciales. "Les entreprises internet telles que Google, Facebook, Microsoft, Apple, Yahoo ont des centaines de  millions de clients en Europe et transfèrent des données personnelles aux USA à une échelle inconcevable en l’an 2000 quand Safe Harbour fut créé", y lit-on.

Le document distingue trois problèmes principaux : la transparence de leur politique en matière de respect de la vie privée des membres de Safe Harbour, l’application effective des principes de respect de la vie privée par les compagnies aux USA, et l’efficacité et le renforcement de cet accord. "De plus, l’accès à grande échelle des agences de renseignements aux données transférées aux USA par des entreprises certifiées selon les termes de Safe Harbour soulève de sérieuses questions en ce qui concerne la continuité de la protection des droits des citoyens européens", y est-il aussi affirmé.

Le document énumère ainsi treize recommandations pour remédier à ces problèmes. Elles portent sur la transparence, les moyens de recours et l'accès des autorités américaines. Il est notamment suggéré que les compagnies américaines fassent connaître au public leur politique de confidentialité sur leur site web mais aussi que soient expliqués en des termes clairs les moyens d'obtenir réparation en cas de non-respect de ses droits, par le recours à un mécanisme de résolution alternative déjà prévu par Safe Harbour. Les fausses déclarations d’entreprises se prétendant en conformité avec Safe Harbour devraient aussi faire l'objet d'investigations. 

Une communication pour rétablir la confiance des citoyens

Bien que ces deux rapports n’aient pas relevé de manœuvres illégales, la Commission européenne a jugé nécessaire d’adopter une communication sur les transferts de données transatlantiques, "qui présente les enjeux et les risques faisant suite aux révélations sur les programmes américains de collecte de renseignements, ainsi que les mesures à prendre pour y répondre". "Qu'il s'agisse des internautes ou des autorités des deux côtés de l’Atlantique, tous auront à gagner de cette coopération, reposant sur de solides garanties juridiques et sur la confiance dans le respect de ces garanties", a expliqué Cecilia Malmström, dans le communiqué de presse dédié à cette communication.

"Que l'on espionne à grande échelle nos citoyens, nos entreprises et nos dirigeants est inacceptable. De part et d'autre de l'Atlantique, les citoyens ont besoin d'avoir l'assurance que leurs données sont protégées et les entreprises doivent pouvoir être sûres que les accords en vigueur sont respectés et appliqués", a déclaré dans ce contexte la vice-présidente de la Commission européenne, Viviane Reding, commissaire européenne à la justice. Viviane Reding a notamment émis le souhait, comme lors de sa visite aux USA le 18 novembre 2013 (LIEN), "que les négociations en vue d'un accord-cadre entre l'UE et les États-Unis sur la protection des données aboutissent rapidement". Cet accord devrait donner aux citoyens européens "des droits concrets et opposables", notamment le droit à un recours juridictionnel aux États-Unis dès lors qu'il y a traitement de leurs données à caractère personnel sur ce territoire.

Dans cette communication, la Commission européenne appelle à agir dans six domaines : 

Une adoption rapide de la réforme de la protection des données dans l'UE qui comporte des règles claires, applicables également lorsque les données sont transférées et traitées à l'étranger. Elle en souhaite l’adoption d'ici au printemps 2014.

Rendre Safe Harbour plus sûr, en appliquant les 13 recommandations visant à améliorer le fonctionnement de cet accord. Les solutions doivent être trouvées d’ici à l'été 2014.

Renforcer les mesures de protection des données dans le domaine répressif: la Commission se dit en faveur d’un "accord-cadre" relatif au transfert de données et à leur traitement dans le cadre de la coopération policière et judiciaire. Il s’agit de garantir un niveau élevé de protection aux citoyens, lesquels devraient bénéficier des mêmes droits des deux côtés de l’Atlantique.

Utiliser les accords sectoriels et d'entraide judiciaire en vigueur pour obtenir des données. Ainsi, "s'adresser directement aux entreprises ne devrait être possible que dans des cas exceptionnels clairement définis et susceptibles d'un contrôle juridictionnel".

Répondre aux préoccupations européennes dans le cadre de la réforme en cours aux États-Unis, dans le cadre du réexamen des activités de l'Agence de sécurité nationale (NSA), annoncé par le président américain Barack Obama. L’enjeu consiste à "offrir aux citoyens de l'Union européenne ne résidant pas aux États-Unis les mêmes garanties qu'aux citoyens américains, améliorer la transparence et renforcer le contrôle devraient constituer les changements les plus importants", dit la Commission européenne.

Promouvoir des normes internationales de protection de la vie privée: Les États-Unis devraient adhérer à la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ("convention 108"), de même qu'ils ont adhéré à la convention de 2001 sur la cybercriminalité.

"Un processus restaurant la confiance ne fonctionnera que si les USA acceptent de mettre en place le cadre légal nécessaire pour définir dans le détail ce qui peut être fait et sous quelles garanties. Comme le rapport d’aujourd’hui le montre, où il y a des règles en vigueur, la Commission peut assurer que les USA s’y tiennent", a d’ailleurs dit Cecilia Malmström. 

Dans ce contexte, la Commission européen a également fait savoir que les normes de protection des données ne feront pas partie des points abordés dans le cadre des négociations du partenariat transatlantique de commerce et d’investissement.

L’utilité d’un système européen de surveillance du financement du terrorisme (SSFT) reste selon la Commission à démontrer

En réponse aux demandes du Parlement européen et du Conseil, et conformément à sa communication de 2011, la Commission a examiné les options envisageables en vue de la création d'un système européen de surveillance du financement du terrorisme (SSFT).

Elle a pris en compte le respect des droits fondamentaux, les critères de nécessité et de proportionnalité ainsi que le rapport coût/efficacité pour en évaluer au regard l’opportunité.

"La Commission est parvenue à la conclusion qu'à ce stade, l'intérêt de créer un système de ce type au sein de l’Union européenne n'était pas clairement démontré", a souligné Cecilia Malmström, en renvoyant la décision au Conseil Affaires intérieures et Parlement européen. La communication souligne que pour extraire des données sur le territoire de l’UE, il serait nécessaire de créer et de gérer une base de données gigantesque contenant toutes les informations relatives aux transferts financiers des citoyens de l’UE, chère et gourmande en ressources pour sa mise en place et son maintien. Elle comporterait "des difficultés majeures en ce qui concerne le stockage des données, l'accès à ces dernières et leur protection". Ainsi, "tout système à l'échelle de l'UE aurait un caractère intrusif sur le plan des données et nécessiterait par conséquent la mise en place de garanties solides en matière de protection des données", juge la Commission européenne.  

Les réactions politiques

L’eurodéputé du Groupe des Verts/ALE, Jan Philipp Albrecht, membre de la commission des libertés civiles du PE et rapporteur de la réforme européenne de la protection des données, a estimé, dans un communiqué de presse, que "sans une amélioration significative des règles de protection des données aux États-Unis, l'échange facile de données pour les entreprises américaines ne peut pas être maintenu". "Des initiatives de réforme de la protection des données et l’accord-cadre avec les États-Unis doivent rapidement être approuvées."

Par contre, il a jugé "regrettable" que la Commission ait complètement ignoré la demande du Parlement du 23 octobre demandant la suspension de l’accord Swift. "Au contraire, l'accord est toujours perçu de manière positive!", déplore-t-il, soulignant qu’il est pourtant "de notoriété publique" que les services secrets américains ont un accès aux données du prestataire de services SWIFT "par une cyber attaque et sans passer par l'accord officiel". En présence de ce refus de la Commission, le Parlement doit désormais faire preuve d’ "une plus grande prudence" concernant l'adoption des prochains accords internationaux.

L’eurodéputée du groupe ADLE, vice-présidente de la commission des Libertés civiles et des affaires intérieures du Parlement, Sophie In’t Veld s’est montrée elle aussi sceptique. Sur le fonds comme sur la méthode. "L'ensemble des communications et des rapports quelques mois avant la fin du mandat de ce Parlement équivaut à camoufler l’affaire et ne permettra aucun examen sérieux par le Parlement", pense-t-elle dans une déclaration officielle.

L’eurodéputé libérale n’est pas non plus satisfaite des conclusions "rassurantes de la Commission" concernant les accords PNR et Swift, qu’elle juge totalement infondées .Pour cause, "la Commission n'a pas mené d’enquête appropriée", souligne-t-elle. "Ses conclusions sont uniquement fondées sur les garanties des États-Unis. Compte tenu de la gravité des allégations, c'est inacceptable", juge-t-elle, considérant que seule une enquête judiciaire approfondie sur place peut fournir de "véritables preuves", comme elle l’avait fait le 9 octobre 2013, face à Cecilia Malmström.

Il est "également inacceptable que la Commission ait ignoré la demande sans équivoque du Parlement européen de suspendre l'accord TFTP UE-États-Unis et propose à la place un système européen équivalent". "Il faut espérer que la présentation de la Commission aujourd'hui ne soit que le début d'une nouvelle approche et la base pour un engagement davantage sincère de l'Union européenne, de ses États membres et des États-Unis, afin de garantir pleinement la protection des citoyens de l'UE", a-t-elle néanmoins conclu.

"Une collaboration plus étroite n’est possible que si les autorités américaines sont capables de fournir des hauts standards de protection des données aux citoyens européens. La confiance est à reconstruire”, a déclaré l’eurodéputé Manfred Weber, vice-président du groupe PPE au Parlement européen. "Il est grand temps que les USA fournissent une protection légale suffisante en la matière."

Il a notamment jugé qu’il existait "un espace considérable" pour améliorer Safe Harbour. "Si l’action pour remédier à a situation n’est pas prise rapidement, l’UE devra suspendre l’Accord", estime-t-il. "L’Accord Safe Harbour n’a pas été appliqué efficacement. Il n’est possible de collaborer dans un esprit de confiance mutuelle que si les USA réalisent que l’approche récente n’a pas d’avenir." "Ce qui manque, c’est l’implication européenne. La Commission et les Etats membres doivent mettre sur pied un système mixte et indépendant de surveillance des transactions financières en Europe. Rien n’a été fait", a dit encore Manfred Weber.

"Actuellement, Safe Harbor n’est pas sûr ; il ne fonctionne pas et la protection des droits des citoyens n’est pas garantie. Les compagnies américaines ont admis publiquement et en privé avoir enfreint les droits de protections des données des citoyens européens sous la pression du gouvernement américain", a réagi pour sa part Hannes Swoboda, président du groupe S & D au Parlement européen. Européens et Américains doivent œuvrer à sa révision de Safe Harbor. "[Le] supprimer est un dernier recours qui pourrait affecter négativement nos propres entreprises européennes." "J’espère que la délégation du Congrès a compris ce message durant son séjour à Bruxelles et le communiquera clairement et avec force à son retour et travaillera à un accord-cadre entre UE et USA." 

Hannes Swoboda souligne enfin l’importance d’adopter la réforme européenne de la protection des données. "Tous les accords internationaux – présents et futures, dont le Partenariat transatlantique (TTIP) – devraient se conformer à ce paquet."