Topics
22 October 2013
Mediapart
Il a fallu attendre la publication, lundi, de nouveaux documents montrant l'ampleur de l'espionnage américain en France, pour que l'exécutif monte enfin au créneau. Quatre mois après les premières révélations de l'ancien employé de la NSA américaine Edward Snowden, Laurent Fabius, le ministre des affaires étrangères, qui a dénoncé des « pratiques inacceptables » de Washington, doit rencontrer, mardi, son homologue John Kerry, pour discuter du dossier.
Hasard du calendrier, le scandale Prism figurait aussi, lundi soir, à l'ordre du jour du parlement européen. Mais les discussions à Strasbourg en sont à un stade plus avancé que les débats français encore bégayants : la cinquantaine d'élus membres de la commission des libertés civiles a massivement adopté deux textes assez techniques, censés renforcer, à terme, la protection des données personnelles des Européens.
Ces deux projets rédigés, à l'origine, par les services de la commissaire Viviane Reding – un règlement et une directive – sont dans les tuyaux depuis bientôt deux ans. Ils doivent remplacer le seul texte existant au niveau européen dans ce domaine : une directive poussiéreuse qui date de 1995 – autant dire la préhistoire d'internet.
Entre temps, chaque État membre s'est construit sa propre législation en la matière, pour combler les manques. Si bien que les entreprises américaines, lorsqu'elles installent un siège en Europe, ont tout loisir de faire leur marché, et de s'implanter dans l'un des États les moins regardants sur la protection des données de leurs citoyens.
Même si les négociations ne font en fait que commencer, les textes adoptés lundi soir pourraient à terme changer la donne, et l'affaire Snowden n'y est bien sûr pas étrangère. « Nous avons évité le pire », assure Françoise Castex, une eurodéputée socialiste qui a participé au vote de lundi soir. « Il y a encore quelques mois, la droite du parlement européen faisait pression pour renforcer la libre circulation des données, sous l'influence du lobbying américain. Mais Prism est passé par là, et cela a créé un choc au sein du parlement. »Le scandale Prism a permis l'adoption d'une des mesures les plus emblématiques : le transfert des données personnelles recueillies en Europe, et détenues par des entreprises, par exemple Google ou Facebook, vers un « État tiers », par exemple les États-Unis, sera fortement encadré. Le groupe en question devra d'abord obtenir le feu vert d'une agence nationale, comme la Cnil en France – voire, à terme, d'une future agence européenne de protection des données personnelles – avant de répondre à la demande des autorités américaines.
En cas de non-respect des règles, l'entreprise fautive sera condamnée à verser une amende égale à 5 % de son chiffre d'affaires mondial… Une somme a priori colossale. Dans le même esprit, le règlement introduit le concept de « consentement explicite » : les entreprises ne seront autorisées à collecter des données personnelles sur internet qu'à condition d'avoir obtenu l'accord de l'internaute, par un clic préalable à toute opération de « profilage ». Là encore, en cas d'irrégularités (et elles sont aujourd'hui nombreuses), une sanction est prévue. Ce serait, si la mesure était véritablement appliquée, une petite révolution, jugent les spécialistes.
« Google ou d'autres entreprises devront demander plus souvent et plus explicitement aux utilisateurs qu'ils veulent recueillir ou partager leurs données », estime Jan Philipp Albrecht, un jeune eurodéputé allemand du groupe des Verts, rapporteur du projet de règlement, qui se réjouit de la « très large majorité » obtenue lors du vote de lundi soir.
Au début de l'année, il n'existait pas de majorité, au sein des groupes politiques à Strasbourg, pour défendre la règle du « consentement explicite ». Mais les révélations d'Edward Snowden ont incité les uns et les autres à durcir leurs positions : cet amendement a été adopté à une forte majorité lundi soir.
Le texte prévoit aussi un « droit à l'effacement », qui autorise notamment l'internaute à exiger le « déréférencement », dans un moteur de recherche, de certaines de ses contributions passées. Il reste muet, par contre, sur un autre front ouvert par les révélations d'Edward Snowden : l'éventuelle suspension de l'accord SWIFT, qui a permis aux États-Unis, depuis trois ans, d'obtenir des données bancaires d'Européens sous couvert de lutte contre le terrorisme (lire notre article).
« Un détournement du débat démocratique » ?
« Le travail du rapporteur Albrecht va plutôt dans le bon sens, et nous avons préservé l'essentiel, malgré le lobbying intensif de certains », juge Marie-Christine Vergiat, une eurodéputée française du Front de gauche, membre de la GUE, qui suit de près ces questions. « Snowden semble avoir ramené à la raison un certain nombre de gens au parlement ».
De l'avis général à Bruxelles, le lobbying des géants de la Silicon Valley est intensif, et ne devrait pas se calmer dans les mois à venir. Le vote en commission devait initialement avoir lieu au printemps, mais il a finalement été reporté à l'automne, retardé par la masse des amendements déposés – environ 4 000. Il reste d'ailleurs, aux yeux de certains élus et observateurs, des failles béantes dans le texte actuel, qui pourraient réduire ces efforts de régulation à néant.
C'est l'avis de La Quadrature du Net, un collectif qui milite pour la défense des libertés sur internet et qui, tout en concédant lundi soir des « avancées », s'inquiète par exemple de la reconnaissance d'« intérêts légitimes », pour les entreprises, à collecter des données, dans certaines situations. Un concept vague, qui pourrait permettre aux groupes d'éviter toute sanction en cas de contentieux judiciaire, juge l'association.
Mais la principale réticence de La Quadrature du Net et d'autres représentants de la société civile est davantage liée à la procédure choisie par le parlement. Car les élus ont aussi voté, lundi soir, pour accélérer le calendrier : sans attendre un vote en plénière (l'étape logique après le vote en commission, lors d'une procédure normale), ils ont choisi de lancer d'emblée les négociations avec le conseil – c'est-à-dire avec les capitales.
Un simple souci de réalisme, se justifie-t-on du côté du parlement : les élections européennes se déroulent en mai prochain, et il faut ouvrir au plus vite les discussions avec les 28 États membres, pour que le texte ait une chance d'aboutir d'ici là. Mais cette précipitation soudaine passe mal aux yeux de certains représentants de la société civile, qui dénoncent un « détournement du débat démocratique pour des raisons électorales ». « La démocratie européenne mérite mieux que des amendements de compromis négociés en quatrième vitesse. De notre point de vue, mieux vaut pas de texte qu'un mauvais texte », tranche Jérémie Zimmermann, de La Quadrature du Net.
Minoritaire lundi soir sur ce point, la socialiste Françoise Castex est à peu près du même avis : « D'un point de vue tactique, ce texte n'a pas reçu l'imprimatur de la session plénière, ce qui risque d'affaiblir nos positions dans les négociations à venir, qui seront difficiles. Et cela pose également un problème de transparence et de démocratie. » Marie-Christine Vergiat, du Front de gauche, se dit elle aussi sensible, à titre personnel, aux arguments de la société civile, même si son groupe, la GUE, a voté pour la procédure d'urgence.
Dans tous les cas, les débats, désormais, seront menés à huis clos, et la partie s'annonce délicate pour le parlement. Les capitales sont loin d'avoir toutes affiché clairement leurs positions. Surtout, la concomitance avec d'autres négociations, dans la capitale belge, peut faire craindre le pire. Les discussions pour un accord de libre-échange avec les États-Unis sont en effet lancées depuis juillet, et le chantier du « grand marché transatlantique » risque de parasiter l'avancée du texte sur la protection des données.
Comment, d'un côté, aller au bras de fer avec les mastodontes de l'économie américaine, comme Google ou Yahoo, et de l'autre, ouvrir les marchés les uns aux autres, au nom des vertus du libre-échange ? Les deux approches sont-elles conciliables ? Officiellement, le commissaire européen au commerce, Karel de Gucht, a assuré que les négociations commerciales avec Washington n'auraient aucun impact sur la protection des données. Mais le même De Gucht avait également déclaré, au moment des débats sur l'exception culturelle si chère aux Français, que rien ne pouvait être exclu d'avance des négociations…
« Le mandat de négociation avec les Américains qu'a donné le parlement européen (en mai dernier, ndlr) précise bien que la protection des données devra respecter la législation européenne », rappelle Françoise Castex, qui assure que les eurodéputés seront « vigilants » sur ce point. Marie-Christine Vergiat est, elle, plus sceptique : « Non seulement De Gucht a expliqué que tout était négociable à ses yeux, mais en plus, il y a la clause de révision de l'accord (la possibilité pour la commission de redéfinir le mandat en cours de négociation, en lien avec les capitales, ndlr). Il y a vraiment de quoi être inquiet… »
Le marché du stockage des données et de leur commercialisation, en tout cas, est gigantesque. D'après un rapport récent du Boston Consulting Group, la valeur des données personnelles des citoyens européens s'établissait à 315 milliards de dollars en 2011, et devrait atteindre près de 1 000 milliards à l'horizon 2020… Une manne colossale qui devrait, en ces temps de croissance anémique, en faire saliver plus d'un.