Union européenne

« Il tirait comme un dieu, mais avait une cervelle d'oiseau. » Voici comment un mafieux italien décrit son ancien chef Bernardo Provenzano, décédé ce mercredi dans un hôpital de Milan des suites d'un cancer et de la maladie de Parkinson. II était l'un des parrains les plus célèbres de la Cosa Nostra, mafia sicilienne qu'il a dirigée de 1993 jusqu'à son arrestation en 2006. L'homme était particulièrement redouté pour sa violence.

Theresa May a été officiellement investie Premier ministre britannique mercredi 13 juillet. Elle a été chargée par la reine Elisabeth II, selon la tradition, de former le nouveau gouvernement qui aura la lourde charge de mettre en œuvre le Brexit.

L'Onusida lance un cri d'alarme : l'épidémie de Sida, qui régressait régulièrement depuis de nombreuses années dans le monde, risque de rebondir en raison notamment d'une nette augmentation de nouveaux cas en Russie. Au cours des cinq dernières années, 80% de nouveaux cas ont été signalés en Russie. Sur 140 millions d'habitants, la Russie compte plus d'un million de séropositifs.  

Les pays de l'Union européenne devront mettre en place des contrôles plus stricts sur les armes à blanc, pour éviter leur conversion en armes à balles réelles, selon des amendements de la commission du marché intérieur à un projet de mise à jour de la directive européenne sur les armes à feu. Les modifications approuvées mercredi par les députés visent à faire en sorte que ces armes continuent d'être couvertes par les règles européennes en matière de contrôle des armes.
Commission du marché intérieur et de la protection des consommateurs

Source : © Union européenne, 2016 - PE

Theresa May succède à David Cameron au poste de Premier ministre du Royaume-Uni, avec plusieurs mois d'avance sur le calendrier initialement établi. Relativement peu connue en France et à l'étranger, Theresa May s'est pourtant illustrée au fil des ans comme une figure centrale du Parti conservateur : en témoigne sa longévité rare au poste de ministre de l'Intérieur dans les deux gouvernements menés par Cameron depuis 2010. Plutôt eurosceptique, celle qui soutenait officiellement le maintien du pays dans l'UE par fidélité à David Cameron, devra désormais mettre en place le Brexit d'une main, tout en menant les réformes qu'elle juge nécessaires pour son pays de l'autre.

Length of video : 112'
You may manually download this video in WMV (1.2Gb) format

Disclaimer : The interpretation of debates serves to facilitate communication and does not constitute an authentic record of proceedings. Only the original speech or the revised written translation is authentic.
Source : © European Union, 2016 - EP

Exit David Cameron. C’est ce mercredi 13 juillet 2016 que la nouvelle dirigeante du Parti conservateur Theresa May prend ses fonctions de Premier ministre. Elle sera la seconde femme à occuper ce poste après Margaret Thatcher. Un défi majeur l’attend : négocier la sortie du Royaume-Uni de l’Union européenne.

Lundi, Libération a consacré sa «une» au recrutement de l’ancien président de la Commission européenne par Goldman Sachs. Mon article est ici.

Par ailleurs, l’affaire fait du bruit parmi les fonctionnaires européens. Les syndicats protestent (comme ici) et une pétition a même été lancée afin que José Manuel Durao Barroso soit sanctionné.

Aux dernières nouvelles, Jean-Claude Juncker, le président de la Commission, n’a toujours pas condamné ce recrutement.

Les enjeux de la protection des données personnelles et de la sécurité numérique des Etats membres de l’Union européenne sont devenus des sujets relevant du débat européen parmi les plus urgents depuis la fin de la première décennie des années 2000. Après la création de l’ENISA (Agence européenne pour la sécurité de l’information et de réseaux) en 2004 et le début des négociations sur le traité transatlantique (ou TAFTA pour Trans-Atlantic Free Trade Agreement) en 2013, les autorités européennes ont à plusieurs reprises démontrer leurs compétences et la valeur ajoutée de l’Union dans le domaine du digital de par sa capacité à dépasser les frontières. C’est ainsi que la réunion de la Commission LIBE (libertés civiles, justice et affaires intérieures) du 11 juillet 2016 s’est en grande partie concentrée sur la question du numérique, et ce au-travers de deux axes : la sécurité des réseaux et de leur contenu d’une part, et d’autre part le pan commercial que peuvent revêtir les données personnelles des citoyens de l’Union dans le cadre du traité transatlantique et de la nécessité de respecter le Droit européen en assurant la protection desdites données et de la vie privée digitale.

Compétences numériques européennes et protection de la vie et des données privées des citoyens européens : les enjeux de la cybersécurité :

Les technologies digitales et les réseaux comportent un aspect sécuritaire central du fait de l’usage qui en est actuellement fait. Le haut niveau de protection des données personnelles est une nécessité qui a été rappelée à plusieurs reprises et avec force par l’Union : ce fut par exemple le cas lors d’une conférence qui s’est tenue en décembre dernier et dont l’une des recommandations-clés était de renforcer les industries numériques et technologiques européennes, ou plus récemment lors du forum organisé par l’Agence des droits fondamentaux de l’Union à Vienne à la fin du mois de juin 2016.

La démarche des autorités européennes se veut dans ce domaine « ambitieuse » selon Guillaume Poupard, directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information de la France qui était auditionné par la commission LIBE. Après un rapide état des lieux de la sécurité des réseaux en France démontrant une augmentation des cas répertoriés de cyber-attaques – il faut ici rappeler que nombreuses sont celles qui ne sont pas détectées -, M Poupard a mis en avant trois menaces pour la sécurité des réseaux français, mais aussi européens.

La première recoupe une multitude d’attaques souvent de faible importance à première vue, relativement aléatoires mais très ennuyeuses pour les victimes. Il s’agit principalement de vols de fonds et d’extorsions via l’usage de logiciels malveillants du type cryptolocker. Ces derniers ont pour objectif de ‘prendre en otage’ les données d’un individu ou d’une entreprise en les chiffrant pour ensuite les rendre aux victimes en échange d’une rançon généralement versée en crypto-monnaie (le bitcoin en est l’exemple le plus connu) sans pour autant avoir la certitude de revoir un jour les informations dérobées. Ce type de cyber-criminalité inquiète surtout par la difficulté à traiter de tels cas du fait notamment des différences de cadres législatifs concernant le numérique, mais aussi de par l’importance des sommes ainsi prélevées lorsqu’elles sont regroupées à échelle mondiale et par la rapidité de l’amélioration de ses attaques : il s’agit selon M Poupard d’un foyer de criminalité numérique important.

La deuxième menace réside dans le développement de groupes spécialisés dans le renseignement en entrant dans les réseaux informatiques, qu’ils soient publics ou privés, afin de dérober des données plus ou moins sensibles faisant la valeur de l’entité piratée. Ce genre d’attaque est largement sous-estimé admet M Poupard dans la mesure où les attaquants ont tout intérêt à rester les plus discrets possibles afin de pouvoir rester dans les réseaux autant que faire se peut : une vingtaine de cas seulement a été traitée par l’ANSSI en 2015 et ils concernaient tous des acteurs majeurs de l’économie française et des données pouvant mettre en péril la sécurité nationale. L’autre grande difficulté de ce type de ‘renseignement’ réside dans la difficulté à trouver des éléments à charge prouvant la culpabilité de tel ou tel groupe mafieux, pays ou encore entreprise concurrente, d’autant que ces acteurs peuvent s’allier et ces ensembles varier.

Le troisième type de menaces est le plus alarmant : il s’agit de la crainte de voir ces personnes ou ces groupes capables de voler des informations sans pour autant modifier le fonctionnement des réseaux et décider de les détruire en tout ou partie. Les cibles pourraient alors être des services critiques bien sûr, mais aussi peu sensibles à première vue – et donc souvent moins bien protégés – mais dont le fonctionnement est central pour l’économie et la sécurité nationale et régionale : de telles attaques contre les réseaux de transports, les raffineries ou encore les centrales nucléaires dont le fonctionnement est actuellement en très grande partie informatique pourraient être dévastatrices. Très peu de cas ont été répertoriés, mais en 2015, une attaque de ce type a marqué les esprits : celle de la chaine d’informations TV5 Monde qui a bien failli voir ses équipements télé-visuels détruits après qu’un attaquant ait pénétré ses réseaux. Encore une fois, déterminer l’identité des coupables est très complexe alors que ce genre de menace préfigure des intrusions et des vols de données plus violents et entrainant des conséquences physiques d’autant plus inquiétantes.

Après avoir rappelé qu’une réactivité forte était essentielle, M Poupard a admis la difficulté de réagir alors que l’avantage reste aujourd’hui à l’attaquant. Il est cependant venu tempérer ces propos quelque peu alarmistes en affirmant que des techniques de protection efficaces avaient été développées mais qu’elles nécessitaient d’y mettre des moyens tant financiers que techniques en favorisant notamment la coopération entre les différents Etats membres de l’Union mais aussi entre leurs services judiciaires et numériques. Il s’agit en effet bien d’un sujet de préoccupation global qui n’est plus l’apanage de quelques experts puisqu’une large partie des citoyens fait aujourd’hui un usage quotidien des technologies digitales.

Le directeur général de l’ANSSI est ensuite venu détailler deux possibilités d’appréhension de ce risque empruntée par l’Etat français pour faire face à ces menaces croissantes.

La première réside dans la création d’une agence nationale dédiée à la cybersécurité. La France a créé l’ANSSI en 2009 et lui avait alors attitré une centaine d’agents – ils sont plus de 500 aujourd’hui – dans le but de séparer les missions d’attaques et de renseignement des missions de défense et de protection dans un souci d’efficacité, tout en assurant entre l’ANSSI et les responsables du premier type de missions une coopération active.

La seconde approche, que M Poupard admet être « très française » mais sait efficace, réside dans la nécessité à réguler le numérique de manière à gagner du temps sur les attaquants. C’est ainsi que dorénavant une loi française votée en décembre 2013 impose aux opérateurs les plus critiques d’assurer de manière obligatoire un certain seuil de sécurité informatique. La mesure est aujourd’hui en cours d’implémentation. Elle a permis à l’ANSSI d’entrer en contact avec ces opérateurs afin de les sensibiliser aux menaces numériques, d’établir avec eux un corpus de règles visant à assurer leur protection et a permis la publication de trois premiers arrêtés début juillet. Pour justifier cette approche, M Poupard est venu affirmer le lien entre ces enjeux et le concept de gouvernance : le rôle des dirigeants politiques mais aussi des directeurs de ces entités est alors central, l’idée étant de réguler efficacement dans un souci de sécurité tout ce qui est fondamental pour le bon fonctionnement de l’Etat et le maintien de l’ordre public.

Ce type d’approche est essentiel à échelle nationale mais aussi européenne selon M Poupard, dans la mesure où les services critiques ne sont pas soumis aux frontières entre les Etats membres : une défaillance d’un partenaire pourrait ainsi entrainer des conséquences dans plusieurs autres pays. La directive NIS (Sécurité des réseaux de l’information) adoptée le 6 juillet dernier par le Parlement est d’ailleurs venue assurer ce travail de cohésion au niveau européen. Elle donne un signal fort aux Etats membres dont une partie n’a pas encore conscience du caractère central de la cybersécurité et permet surtout de mieux coopérer en travaillant en réseau, ce qui est mieux adapté qu’une approche purement nationale du fait de la nature transfrontalière de l’Internet et de la rapidité d’évolution des attaquants tant dans leurs techniques que dans leur manière d’opérer. Cette notion de travail en réseau est ici essentielle et M Poupard le souligne bien, puisque dès lors que des informations nationales sensibles sont mises en cause, les échanges évoluent généralement vers le bilatéral. L’objectif est donc de renforcer la confiance entre les Etats membres avec le concours de l’ENISA afin de pouvoir mieux échanger et de renforcer la cybersécurité au sein de l’Union européenne. En parallèle, la directive vient aussi poser une obligation de sécurité digitale minimale pour les entités pourvoyeuses de services « essentiels ». Le rôle de la loi est dans ce cadre de venir obliger la totalité des acteurs à se sentir concernés, car l’Etat comme les institutions européennes ne peuvent pas à eux seuls lutter sur tous les fronts contre la cyber-criminalité. Il a d’ailleurs été souligné que cette mesure ne constitue qu’une étape et non un aboutissement : dans ce souci de sensibilisation, elle participe à la création d’organes et de nouvelles initiatives dans ce domaine au sein des Etats membres et à échelle européenne, comme ce fut le cas en France avec la loi de programmation militaire et la caractérisation des OIV (opérateurs d’importance vitale) entrée en vigueur le 1er juillet 2016.

Il est cependant central que l’Europe ne se replie pas sur elle-même et continue à travailler avec d’autres acteurs internationaux – il s’agit d’un des points les plus fondamentaux de cette intervention – mais il est nécessaire pour l’Union de maitriser les technologies de protection digitale et de réguler certains domaines afin de ne pas compter exclusivement sur des innovations et des règlementations extra-européennes : la « question de l’autonomie stratégique au niveau européen dans le domaine du numérique en général » est « nécessaire ». Six enjeux sont alors à prendre en compte selon le directeur général de l’ANSSI.

En premier lieu, la nécessité d’assurer par nous-même nos propres réseaux informatiques : la cybersécurité demande une prise en charge à la fois par les Etats membres et par les institutions et agences européennes, dont l’ENISA (Agence européenne de la sécurité des réseaux de l’information). M Poupard appelle à un renforcement de cette dernière afin de lui permettre de devenir le moteur de la prise en charge et du traitement de ces questions au sein de chaque Etat membre, mais son budget reste aujourd’hui « insuffisant » aux vues de son potentiel, des ambitions de cette agence et des risques qu’elle a pour tâche de prévenir.

La nécessité d’une indépendance dans le domaine industriel est tout aussi essentielle. Toutefois, M Poupard est venu de nouveau rappeler l’importance de maintenir une coopération et un travail conjoint avec des industriels non européens. L’objectif est ici de développer l’industrie européenne dans les domaines du numériques et de la cybersécurité.

La certification est une piste qui mérite également d’être explorée afin de renforcer la confiance des consommateurs dans les produits et services numériques pour faire de ce secteur un véritable ‘booster’ économique pour l’Union. Cela nécessite cependant de pouvoir avoir accès au contenu de ces produits et notamment à leur code source, y compris pour des produits non européens. La sécurité nécessite en effet d’avoir confiance en l’écosystème qui entoure les acteurs : la connaissance du contenu des produits est donc requise. Cela comprend donc le code source mais aussi pour les prestataires de services le code computing utilisable, ce qui exige au préalable d’évaluer ce qui est développé et mis en oeuvre par ces prestataires pour assurer la sécurité des données des citoyens qui feront appel à eux. Les données stockées sur le sol européen doivent en effet se voir assurer un haut niveau de protection selon le Droit européen et la certification peut y contribuer efficacement.

Il faut souligner que M Poupard se défend ici de toute volonté protectionniste dans ce dernier cas en invoquant l’impératif de sécurité numérique.

Sur ce point, il précise d’ailleurs que les négociations commerciales ne doivent pas venir créer des obstacles à la régulation dans le domaine de la cybersécurité : « ce ne sont pas des barrières commerciales, du protectionnisme, que de légiférer dans le domaine de la cybersécurité ». Il faut cependant mettre en balance ces deux impératifs afin de trouver un point d’équilibre.

La signature de partenariats publics privés dans le domaine de la cybersécurité le 05 juillet et approuvés par la Commission est également une piste à explorer.

Enfin, le chiffrement doit être encouragé au sein des entreprises et des administrations européennes pour protéger leurs données personnelles ainsi que celles des citoyens. Dans ce cas, M Poupard se positionne clairement en faveur de la protection des données personnelles des individus, ce qui permet de clarifier ses propos sur l’accès au code source des produits numériques : sa priorité est clairement la protection des données et non pas la sécurité nationale ou le commerce et c’est bien là son rôle en tant que directeur général de l’ANSSI.

L’Union est désormais capable en termes techniques de protéger ses informations privées et de penser la protection des données de ses citoyens grâce notamment à l’usage du chiffrement, mais aussi de détecter les attaques de plus en plus rapidement. Toutefois, il existe un certain retard – qui n’est pas qu’européen d’ailleurs – dans l’appréhension des risques liés au numérique. Ce retard est réel et reconnu par M Poupard qui l’explique d’une part par le caractère récent de cette problématique, et d’autre part par la relative naïveté dont ont fait preuve les autorités lors de l’arrivée du digital en n’ayant que très peu conscience des risques que son usage pouvait comporter. La question des sanctions n’a d’ailleurs pas encore été posée alors qu’il s’agit d’un moyen de pression essentiel : une entreprise fournissant des services vitaux va-t-elle se conformer à la directive NIS en investissant de très gros moyens dans le renforcement de la sécurité de ses réseaux – même si cela peut lui servir – surtout dans le contexte économique morose actuel si le bâton ne vient pas de paire avec la carotte ?

Une autre thématique a fait l’objet de l’inquiétude des parlementaires : celle de la relation entre l’Union européenne et l’OTAN (Organisation du Traité Atlantique Nord) sur la cybersécurité. M Poupard a rapidement montré des doutes dans l’expansion de la coopération être ces deux entités sur ce sujet dans la mesure où l’optique otanienne est purement militaire. Il a de nouveau insisté sur la nécessité pour l’Europe de se doter de ses propres systèmes de défense afin de pouvoir faire face aux menaces stratégiques numériques en mobilisant les acteurs du secteur et les citoyens qui sont dans une certaine mesure les premiers concernés, mais aussi des experts ou encore le corps universitaire pour former le personnel nécessaire. Il a par ailleurs suggérer la formation d’une sorte de corps de réserve capable d’agir rapidement en cas d’attaques, ce qui montre la pluridisciplinarité de la cybersécurité qui englobe des problématiques de type respect des droits de l’homme mais aussi sécuritaire dans une acception clairement militaire du terme.

En conclusion de son intervention, M Poupard a tenu à appeler, en dépit de la crise économique et de la difficile situation financière européenne, à ne pas négliger ce pan de la sécurité et de la protection des droits fondamentaux, tout en rappelant l’importance de la hiérarchisation : la directive NIS est une première étape dans la lutte contre la cyber-criminalité, d’où son accent sur les services « essentiels », mais il faut aussi progressivement appréhender les autres services et pans du secteur numérique. Les PME sont par exemple des cibles de choix car généralement peu protégées et la qualification de solutions à échelle européenne constitue une voie tangible pour assurer la protection des gros comme des petits acteurs.

La protection des données ne touche toutefois pas qu’à la cybersécurité : il s’agit d’un droit fondamental au sein de l’Union protégée par plusieurs textes juridiques. C’est ainsi que la Cour de Justice de l’Union européenne (CJUE) est venue le 6 octobre 2015 invalider le Safe Harbor qui réglementait les transferts de données des citoyens européens vers les Etats-Unis en invoquant la trop faible protection que cet accord offrait à ces derniers et le non respect du Droit européen qu’il présentait de ce fait. Face au vide juridique qu’emporte cette invalidation, les autorités américaines et européennes se sont empressées de tenter de conclure un nouvel accord dans le cadre des négociations sur le Traité transatlantique. Ce nouveau compromis fait cependant débat au sein du Parlement européen.

Le Privacy Shield : un accord clivant écartelé entre des enjeux commerciaux, sécuritaires et l’attachement de l’Union à la protection des droits de l’homme :

Les négociations entre les autorités européennes et américaines sur le TAFTA comportent un onglet ‘protection des données personnelles’ transférées vers les firmes américaines, lequel se heurte à la fois à des impératifs touchant au commerce, à la sécurité et à la protection des droits des citoyens européens. Ce triptyque s’équilibre de différentes manières aux Etats-Unis et en Europe et les différences de réglementations en attestent d’ailleurs : la sécurité est sans conteste la priorité pour les Américains alors que les textes européens protègent de près les droits fondamentaux des individus, y compris celui à la vie privée et à la protection des données personnelles. Et c’est le commerce qui vient motiver ces deux acteurs internationaux à tenter de trouver un compromis sur le « bouclier de confidentialité » ou Privacy Shield.

En tant que représentant des intérêts des citoyens européens, le Parlement a à plusieurs reprises montré son intérêt sur cette question et sa volonté d’être davantage informé sur les avancées du Privacy Shield : dès mars 2016, plusieurs élus ont ainsi demandé à ce que ce sujet soit inscrit à l’ordre du jour et des recommandations – dépourvues de portée juridique – ont été formulées auprès des autorités compétentes de la Commission en charge de la négociation de cet accord. C’est ainsi que le 11 juillet 2016, la Commissaire chargée de la justice, des consommateurs et de l’égalité des genres, Vera Jourovà, est venue défendre le texte négocié et rassurer les parlementaires.

La commissaire a ainsi insisté sur les avancées réalisées concernant cinq recommandations formulées par les élus.

Les deux plus importantes concernaient la ‘collecte en vrac’ de données et le mécanisme de médiation créé spécifiquement pour assurer la bonne application de l’accord. Des garanties supplémentaires ont été apportées afin de limiter la surveillance de masse, laquelle est illégale selon le Droit européen car contraire au droit fondamental à avoir une vie privée. Les négociateurs américains ont consenti à filtrer les données collectées selon les besoins des agences de renseignement afin de respecter les principes de nécessité et de proportionnalité européens, un objectif que remplissent ces mesures selon Mme Jourovà et qui permettraient au Privacy Shield d’assurer un niveau de protection équivalent à celui auquel les citoyens ont droit sur le territoire de l’Union. Concernant le médiateur, des engagements supplémentaires ont été obtenus de la part de Washington, notamment sur son indépendance vis-à-vis du Comité de renseignement, mais aussi sur la coopération avec les instances en charge des devoirs d’enquête afin de permettre au médiateur d’avoir accès à la totalité des informations pertinentes pour pouvoir assurer sa mission. La commissaire a admis que les possibilités de recours demeuraient restreintes en invoquant le caractère intrinsèque de ces limites à toute possibilité de saisine d’un organe judiciaire et a souligné l’innovation majeure que constituait ce médiateur puisqu’il s’agit du premier mécanisme de résolution des plaintes dans ce domaine au niveau international, et comme pour la totalité du texte qu’elle défend, elle demande à ce que les parlementaires donnent une chance à ce dernier.

Le troisième changement porte sur la rétention des données et aligne le traitement de ces dernières sur le fonctionnement européen dans la mesure où les sociétés américaines auront l’obligation de supprimer les données recueillies après leur traitement.

Les transferts ultérieurs qui pouvaient permettre de contourner le cadre imposé par le Privacy Shield ont aussi été encadrés sans que Mme Jourovà ne détaille cependant le procédé – ce qui pourrait toutefois être imputé à un manque de temps puisque son intervention avait été retardée du fait des débats antérieurs.

Enfin, les possibilités de recours ont été mieux précisées et des alternatives et facilitations procédurales dressées grâce à une coopération renforcée entre services européens et américains.

Et afin d’informer au mieux le citoyen, la Commission s’engage à publier un guide qui détaillera leurs droits.

Mme Jourovà a ensuite insisté sur le fait que le Privacy Shield est un processus dynamique qui est donc amené à évoluer et à être régulièrement contrôlé. Les autorités américaines se sont d’ailleurs engagées à faire connaître à la Commission tout changement législatif susceptible de l’impacter. Elle s’engage d’ailleurs à y veiller et à ne pas hésiter à mettre en oeuvre les clauses de suspension en cas de lacunes tout en assenant avoir appris de l’expérience du Safe Harbor, à savoir que l’Union doit régulièrement vérifier que les accords conclus restent en adéquation avec les normes européennes, qui sont elles aussi en mouvement.

Le Privacy Shield a d’ailleurs subi des renforcements qui en font un accord plus solide que le Safe Harbor et qui offre donc une meilleure protection des données personnelles des citoyens européens transférées outre-atlantique. Des contrôles sur les entreprises américaines ont ainsi été mis en place, ainsi que le droit au recours, la garantie d’une adaptation des textes avec des révisons régulières et un suivi renforcé de l’Union. Ces mesures faisaient d’ailleurs partie des recommandations du Parlement qui ont été détaillées plus haut, mais aussi de celle du Working Group de l’article 29 (WP29). La commissaire insiste enfin sur le soutien des Etats membres sur ce texte et affirme de nouveau pouvoir garantir une protection équivalente à celle de l’Union pour inviter ensuite les parlementaires à accepter le compromis et à « tester » le Privacy Shield.

La mise en oeuvre de ce dernier est en effet déterminante pour l’économie européenne mais aussi pour la protection des données personnelles des citoyens européens dans la mesure où l’invalidation du Safe Harbor a laissé place à un vide juridique potentiellement dangereux.

La présentation s’est soldée par une nouvelle affirmation de la prise en compte de l’avis des parlementaires et par la proposition de nommer un membre du Parlement pour l’associer au ré-examen commun du Privacy Shield – proposition qui n’est que formelle puisque les textes et les négociations n’étant pas divulgables, cette nomination ne permettrait pas une meilleure information du Parlement, mais qui a le mérite d’avoir été formulée.

Les parlementaires se sont montrés très intéressés et les questions étaient nombreuses mais l’on peut toutefois regretter que pour des questions de timing à respecter, certaines aient été retirées et que des aspects de l’accord aient été laissés sous silence. Les avis des groupes parlementaires étaient généralement assez tranchés, soit très positifs, soit très réticents.

Le premier point mis en avant a été la rapidité avec laquelle le Privacy Shield a été négocié, ce qui laisse craindre un travail incomplet. Si la tenue prochaine des élections américaines est bien comprise comme constituant un facteur décisif de cette hâte à conclure au plus vite l’accord, les parlementaires ont mis en avant la faiblesse juridique des garanties apportées par la présidence américaine dont dépendra sa mise en oeuvre. D’autant qu’il n’existe aucune loi contraignante outre-atlantique concernant la protection des données personnelles. Mme Jourovà est venue avancer la bonne volonté de respecter ces garanties par les autorités américaines en citant les quelques modifications législatives réalisées, comme celle du Freedom Act ou la limitation des activités du renseignement via la directive présidentielle de janvier 2014 PPD-28. Il n’empêche qu’aucun des engagements pris n’a fait l’objet de mesures juridiquement contraignantes afin d’en garantir l’implémentation.

Le second élément mis en avant a été le fait que le Privacy Shield ait pour base la directive de 1995/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données alors même qu’un nouveau package de protection des informations digitales, le General Data Protection Regulation (GDPR) vient d’être adopté et doit être mis en oeuvre pour mai 2018.

Ce point pose directement la question de la « certitude juridique » du Privacy Shield, d’autant que l’adéquation de l’accord avec le Droit européen et l’arrêt de la CJUE fait toujours débat : la Cour a en effet stipulé que le droit américain n’était pas équivalent au droit de l’Union sur la protection des données, et malgré les quelques modifications apportées par les autorités américaines, les lois sont restées relativement inchangées : il faut que les Etats-Unis viennent renforcer leurs mesures de protection des données, alors-même que l’Union est venue révolutionner la protection de ce droit fondamental avec le GDPR. Or, sans cette certitude juridique, la stabilité du marché numérique est mise en doute, ce qui risque à terme de pénaliser les entreprises européennes. La commissaire s’est expliquée sur la prise en compte du GDPR et a indiqué que l’élaboration de lignes directrices et d’interprétation du package devait constituer une priorité dont il est prévue qu’elle soit traitée lors des exercices conjoints des étés 2017 et 2018, et qu’en attendant, face au vide juridique laissé par le Safe Harbor, la mise en place d’un cadre pour le transfert des données était urgente et que le Privacy Shield devait d’abord constituer une sorte de cadre-minimal pour ensuite pouvoir s’étoffer. Dans cette mesure, elle a de nouveau appelé à une certaine indulgence de la part des députés, indiquant que des améliorations substantielles avaient été apportées après l’invalidation de l’accord précédent, afin de permettre de « tester » le bouclier de confidentialité pour ensuite l’évaluer et convenir des éléments à modifier. Conduire cette tâche en parallèle de la rénovation du cadre européen via l’implantation du GDPR semble complexe, mais Mme Jourovà s’est de nouveau montrée rassurante sur ce point en rappelant que le but des exercices était justement d’assurer cette articulation. Elle n’a cependant pas précisé la durée de la ‘période de test’ du Privacy Shield ni fixé de calendrier retraçant les étapes de l’évolution de l’accord en vue de le rendre de manière certaine juridiquement viable.

L’indépendance du médiateur a également été remise en cause, de même que la possibilité réelle pour les citoyens européens de saisir une juridiction américaine en cas de litige concernant des données transférées. Le statut du médiateur pose en effet question : s’agit-il d’une personne ou d’une institution ? Sa nature reste peu claire, d’autant qu’il s’agit davantage d’un « coordinateur en chef de la diplomatie et de la technologie de l’innovation » : une partie des parlementaires demandent d’ailleurs à ce qu’une rencontre avec la médiatrice soit organisée. Il faut toutefois souligner que malgré le peu de précision que le mécanisme de médiation présente, il constitue une avancée considérable et démontre un gros travail de la part des négociateurs européens dans la mesure où les Américains se sont longtemps montrés très obtus sur la question. Enfin, concernant la saisine des tribunaux américains, la commissaire est venue plus ou moins éluder la question, arguant que 90% des plaintes étaient clôturées en médiation et donc que cette possibilité restera marginale.

L’objectif de l’intervention de Mme Jourovà était double : d’une part rassurer les parlementaires sur les garanties nouvelles apportées par le Privacy Shield, et d’autre part les rassurer sur la prise en compte de leurs recommandations, et a fortiori de les assurer de la volonté de ne pas laisser de côté le Parlement dans le processus de négociations. Il s’agissait donc d’une tâche éminemment complexe qui n’a été que partiellement remplie à la vue du scepticisme d’une partie de l’hémicycle mais aussi du fait de contraintes matérielles de type temporel. Le ‘bouclier de confidentialité a toutefois été adopté ce mardi 12 juillet par la Commission.

Emmanuelle Gris

 

Pour en savoir plus :

•  European Commission, Cybersecurity / digital Single Market online page’s: https://ec.europa.eu/digital-single-market/en/cybersecurity
• European Union Agency for Network and Information Security (ENISA) : https://www.enisa.europa.eu
• Commission européenne, fiche d’information « Le «bouclier de protection des données UE-États-Unis»: Foire aux questions » : http://europa.eu/rapid/press-release_MEMO-16-434_fr.htm
• Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
• Official Journal of the European Union, (Legislative acts), Regulation (EU) 2016/679 of the European Parliament and the Council of the 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) : http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

 

Classé dans:COOPERATION JUDICIAIRE ET POLICIERE, Cybersécurité, DROITS FONDAMENTAUX, Lutte contre le terrorisme et la radicalisation, Protection de la vie privée et des données personnelles

Durée de la vidéo : 170'
Vous pouvez télécharger manuellement cette vidéo au format WMV (1.6Gb)

Clause de non-responsabilité : L'interprétation des débats facilite la communication mais ne constitue en aucun cas un enregistrement authentifié des débats. Seuls le discours original ou la traduction écrite révisée du discours original peuvent être considérés authentiques.
Source : © Union européenne, 2016 - PE

La politique d’élargissement de l'Union européenne est régie par l’article 49 du traité sur l’Union européenne, qui dispose que tout Etat européen qui respecte les principes fondamentaux de l’UE énoncés à l'article 2 (dignité humaine, liberté, démocratie, Etat de droit, droits de l'homme...) peut demander à devenir membre de l’Union.

Il est apparu presque soulagé la veille devant le 10, Downing Street. David Cameron tire sa révérence ce mercredi 13 juillet après avoir conduit le Royaume-Uni au Brexit. Après six ans au pouvoir, le Premier ministre britannique va passer la main à la nouvelle dirigeante du Parti conservateur, Theresa May. Un passage de flambeau qui divise les Britanniques.

Les priorités de la présidence slovaque du Conseil européen des ministres seront exposées aux commissions parlementaires par les ministres slovaques au cours d’une série de réunions cette semaine ainsi qu’en septembre.
Commission des affaires étrangères
Commission du développement
Commission du commerce international
Commission des affaires économiques et monétaires
Commission des affaires juridiques
Commission de la culture et de l'éducation
Commission de l'environnement, de la santé publique et de la sécurité alimentaire
Commission du marché intérieur et de la protection des consommateurs
Commission de l'industrie, de la recherche et de l'énergie
Commission du développement régional
Commission des transports et du tourisme
Commission de la pêche
Commission de l'agriculture et du développement rural

Source : © Union européenne, 2016 - PE

Gutiérrez Naranjo
Rapprochement des législations
Selon l’avocat général Mengozzi, la limitation temporelle des effets de la nullité des clauses « plancher », insérées dans les contrats de prêt hypothécaire en Espagne, est compatible avec le droit de l’Union

Bougnaoui et ADDH
Principes du droit communautaire
Selon l’avocat général Sharpston, le règlement de travail d’une entreprise qui impose à une travailleuse d’ôter son foulard islamique lors de ses contacts avec la clientèle constitue une discrimination directe illicite

Procédure inédite dans l'histoire de la zone euro, l'Espagne et le Portugal, déclarés en situation de dérapage budgétaire par la Commission européenne, sont sous le coup de possibles sanctions. En Espagne, on s’interroge déjà sur leur financement, alors que le pays a dix jours pour exposer sa défense.

Moins de trois semaines après le vote en faveur du Brexit, David Cameron laissera sa casquette de Premier ministre à Theresa May, actuelle ministre de l'Intérieur. Celle-ci entend désormais « négocier le meilleur accord » de sortie de l'UE. Un Brexit et ses conséquences qui étaient au coeur de la rencontre entre Michel Sapin, le ministre français des Finances, et Jack Lew, le secrétaire américain au Trésor.  

Les ministres des Finances de la zone euro ont enclenché ce mardi 12 juillet une procédure de sanctions à l'encontre de l'Espagne et du Portugal. Une situation inédite dans l'histoire de la monnaie unique. Deux pays en dérapage budgétaire qui n'ont pas réduit dans les délais leurs déficits excessifs. Réactions des eurodéputés à Bruxelles.

Goran Hadzic, ancien chef politique des Serbes de Croatie est mort mardi soir des suites d’un cancer du cerveau. Accusé de crimes de guerre par le tribunal pénal international pour l’ex-Yougoslavie, il n’a pas été jugé, son procès ayant été suspendu indéfiniment en raison de son état de santé.

Trois jours après le sommet de l’Otan à Varsovie, une réunion du Conseil Otan-Russie (COR) doit se tenir ce mardi 13 juillet à Bruxelles. C’est la deuxième fois cette année que ce conseil se réunit après deux ans de sommeil dû à la crise ukrainienne. En dépit des vives critiques de la Russie sur la présence de troupes de l’Alliance atlantique en Europe de l’Est, cette réunion prouve que les ponts ne sont pas rompus.