Depuis son investiture en janvier 2017, le Président américain Donald Trump a pris des décisions à grand impact pour le droit des données personnelles. Lors de sa campagne électorale, il promettait déjà qu’il comptait soumettre tout voyageur désirant visiter les Etats-Unis à un « contrôle extrême » (extreme vetting).
Ce contrôle rentrerait dans le cadre de sa politique anti-immigration, et obligerait les visiteurs à divulguer leurs données bancaires, à remettre leurs téléphones portables aux autorités, et même à passer un test pour révéler leur idéologie. Même si, à ce jour, ces mesures n’ont pas été adoptées, la politique du Président ne s’avère pas très protectrice du droit des données.
C’est ainsi que le 25 janvier 2017, le Président a signé un décret pour « renforcer la sécurité publique à l’intérieur des États-Unis ».
L’objectif premier de ce décret est d’améliorer la sécurité nationale des Etats-Unis à travers une politique d’immigration sévère. Cependant, une clause passée presque inaperçue vient menacer la protection des données personnelles des citoyens européens :
Les agences de sécurité doivent, dans la mesure permise par la loi en vigueur, exclure de leurs politiques de protection des données personnelles les personnes qui ne sont pas des citoyens américains ou des résidents permanents légaux, de sorte que le Privacy Act [1] ne leur soit pas applicable.
L’adoption de ce décret remet en cause le Privacy Shield qui est censé accorder une protection « suffisante », et donc conforme aux exigences européennes, des données transférées de l’Union Européenne vers les Etats-Unis.
Cette protection « suffisante » comprend notamment une obligation de sécurité à la charge de l’entreprise qui traite les données, des droits d’accès et de rectification pour les personnes, ainsi que le droit d’introduire une réclamation et d’obtenir réparation lorsqu’une entreprise ne respecte pas les garanties prévues. Plus que ça, le Privacy Shield prévoit la possibilité pour les citoyens européens d’exercer un recours contre les autorités publiques américaines lorsqu’elles accèdent à leurs données personnelles. Cet accès est exceptionnellement permis lorsqu’il existe des motifs d’intérêt public tels que la sécurité nationale, mais le décret du 25 janvier 2017 semble étendre cette exception pour en faire la règle.
La Commission Européenne, quant à elle, affirme que le Privacy Act n’a jamais été applicable aux Européens, que le décret ne menace donc pas leurs données.
Ceci n’est pas tout à fait exact, puisque le Judicial Redress Act, adopté par l’ex-Président Barack Obama en 2014, est venu étendre les garanties du Privacy Act aux citoyens de certains pays, notamment l’Union Européenne. C’est justement cette extension qui a conduit à l’adoption du Privacy Shield.
Dans le même thème : Brexit et RGPD
Mais la remise en cause de la protection des données ne va pas se limiter aux citoyens européens : le 3 avril, le Président promulgue une décision adoptée par le Sénat américain et qui permet aux fournisseurs d’accès internet (FAI) de revendre les données de navigation des internautes américains sans aucun consentement de leur part. Les entreprises qui rachètent ces données pourront ainsi les utiliser à des fins de publicité ciblée.
En fait, la décision du Sénat prend la forme d’une annulation des mesures prises par la Federal Communications Commission[2] sous le mandat du Président Barack Obama. Cette règlementation devait entrer en vigueur fin 2017, et obliger les opérateurs télécom à obtenir l’autorisation préalable des utilisateurs avant de vendre leurs données personnelles[3].
Mais pourquoi prendre une telle mesure si attentatoire à la vie privée ? L’argument du Président Trump parait simple : les plateformes internet telles que Google et Facebook collectent déjà les données personnelles et les vendent sans aucune restriction, de telle sorte qu’ils ont acquis un avantage concurrenciel par rapport aux FAI. Le Président cherche à rétablir l’équilibre. Or ne serait-il pas plus juste de rétablir cet équilibre en imposant des restrictions aux FAI comme aux plateformes internet pour protéger le droit à la vie privée, au lieu de le bafouer au détriment des personnes ?
Le Président républicain le montre bien : le droit des données personnelles ne semble pas être sa priorité.
Dans le même thème : Le « California Consumer Privacy Act (CCPA) » est-il vraiment un texte inspiré du RGPD ?
[1]Le Privacy Act établit les pratiques loyales liées au traitement de données personnelles par les agences fédérales. Il cherche à établir la balance des intérêts entre le besoin pour l’Etat américain de collecter des informations sur les individus, et le droit des individus à être protégé contre toute ingérence dans leur vie privée.
[2]Agence de régulation des télécommunications, des contenus des émissions et d’internet, elle est l’équivalent américain de l’Autorité de régulation des communications électroniques et des postes (ARCEP).
[3]Ces données, issues des historiques de navigation, comprennent les habitudes de consommation, l’état de santé, la géolocalisation, les heures de connexion et de déconnexion…
Guide du bouclier de protection des données UE-États-Unis
http://ec.europa.eu/justice/data-protection/files/eu-us_privacy_shield_guide_fr.pdf
Données personnelles : un décret de Trump inquiète les défenseurs du Privacy Shield
par Alexis Orsini
http://www.numerama.com/politique/227757-donnees-personnelles-un-decret-de-trump-inquiete-les-defenseurs-du-privacy-shield.html
Protection des données : un décret de Donald Trump menace le Privacy Shield
par Elaine Cordon
http://www.linformaticien.com/actualites/id/42935/protection-des-donnees-un-decret-de-donald-trump-menace-le-privacy-shield.aspx
Donald Trump : et maintenant, les données personnelles
par Amaelle Guiton
http://www.liberation.fr/planete/2017/02/01/donald-trump-et-maintenant-les-donnees-personnelles_1545671
Données personnelles : l’Union européenne vigilante après une inquiétante directive de Donald Trump
par Clément Lesaffre
http://www.europe1.fr/technologies/donnees-personnelles-lunion-europeenne-vigilante-apres-une-inquietante-directive-de-donald-trump-2967911
Vie privée : Trump 1 – Internet 0
par Guillaume Ledit
https://usbeketrica.com/article/vie-privee-trump-1-internet-0
Donald Trump signe l’arrêt de mort de la vie privée en ligne des Américains
par Klervi Drouglazet
http://www.usine-digitale.fr/article/donald-trump-signe-l-arret-de-mort-de-la-vie-privee-en-ligne-des-americains.N523679
Trump pourrait obliger les voyageurs étrangers à donner leurs mots de passe pour entrer aux Etats-Unis
par Alexandra Milhat
http://www.bfmtv.com/international/trump-pourrait-obliger-les-voyageurs-etrangers-a-donner-leurs-mots-de-passe-pour-entrer-aux-etats-unis-1136332.html
‘Extreme vetting’ would require visitors to US to share contacts and passwords
par David Smith
https://www.theguardian.com/us-news/2017/apr/04/trump-extreme-vetting-visitors-to-us-share-contacts-pass