L'UE doit fixer des limites claires à l'accès des États-Unis aux données des Européens, selon le contrôleur européen de la protection des données
Le contrôleur européen de la protection des données souligne la nécessité de fixer des limites claires qui doivent être respectées en matière de flux de données spécifiques aux frontières.
Alors que l’Union européenne prépare des négociations avec Washington concernant l’accès des États-Unis aux bases de données biométriques nationales, le principal organisme européen de protection des données exhorte les négociateurs à imposer des limites strictes à l’utilisation des données des citoyens européens.
Dans une interview exclusive accordée à Euractiv, le contrôleur européen de la protection des données (CEPD), Wojciech Wiewiórowski, a déclaré que l’essentiel était de veiller à ce que toutes les données partagées avec Washington soient utilisées uniquement à des fins clairement définies et que ces limites soient respectées dans la pratique.
« Tant que les données sont utilisées uniquement aux fins énoncées dans les traités et les décisions convenus par les deux parties, je ne vois pas de quoi avoir peur », a-t-il déclaré.
Les capitales discutent actuellement d’accords dans le cadre des « partenariats renforcés pour la sécurité des frontières » (EBSP), une extension du partage de données entre l’UE et les États-Unis exigée par Washington en 2022 comme condition pour maintenir l’exemption de visa pour les citoyens de l’Union.
Chaque EBSP pourrait permettre aux autorités américaines de consulter les bases de données biométriques nationales contenant les empreintes digitales et les scans faciaux des Européens.
Le CEPD a averti l’année dernière que cette proposition créerait un précédent important, devenant le premier accord de l’UE autorisant le transfert direct de grands volumes de données à caractère personnel aux autorités frontalières d’un autre pays.
Nécessité de restervigilant
M. Wiewiórowski a averti que l’UE devait rester vigilante, soulignant que les accords transatlantiques passés avaient parfois suscité des inquiétudes lorsque les agences américaines avaient accédé à des données dépassant le cadre initialement prévu.
Il a évoqué la décision prise l’année dernière d’accorder au DOGE (Department of Government Efficiency) d’Elon Musk un accès illimité aux bases de données du gouvernement américain.
« Ce n’était pas l’objectif envisagé lors de la conclusion de l’accord avec les États-Unis », a-t-il déclaré.
Au-delà même des discussions sur l’EBSP, les transferts de données entre l’UE et les États-Unis font l’objet d’une surveillance étroite.
L’un des piliers du cadre transatlantique de protection des données (DPF), qui simplifie la conformité en matière de protection des données lorsque les informations des citoyens de l’UE sont transférées aux États-Unis pour y être traitées, est la surveillance par des organismes indépendants. Cependant, depuis son retour au pouvoir, le président américain Donald Trump a purgé les démocrates des postes clés, jetant le doute sur l’indépendance des organismes clés et, par conséquent, sur l’ensemble de l’accord.
En ce qui concerne la partie américaine du DPF, M. Wiewiórowski a déclaré qu’il nevoyaitpas« d’évolutions positives », ajoutant que les autorités européennes chargées de la protection des données l’observaient « très attentivement ».
Les deux précédents accords transatlantiques sur le transfert de données ont été annulés par les tribunaux européens, qui ont estimé qu’ils n’offraient pas de garanties suffisantes pour les données des Européens aux États-Unis.
L’IA crée de « nouvelles menaces »
Euractiv a également interrogé M. Wiewiórowski sur les craintes que les outils d’IA générative fabriqués aux États-Unis puissent être utilisés par le gouvernement américain pour surveiller massivement les Européens.
Le Pentagone est en pourparlers avec les géants américains de l’IA. Si Anthropic et OpenAI se sont opposés à l’utilisation de leurs technologies pour la surveillance interne des citoyens américains, leurs conditions préférentielles ne limitent pas explicitement l’utilisation de ces outils contre les Européens ou d’autres alliés des États-Unis.
M. Wiewiórowski a reconnu que ces technologies créaient de « nouvelles menaces » et pouvaient potentiellement être utilisées à des fins de surveillance. Il a toutefois comparé ce risque à la capacité du gouvernement américain à demander les données des Européens aux fournisseurs de services cloud en vertu du Cloud Act américain.
Il a toutefois averti que le recours à cette voie juridique pour extraire des données « était très limité jusqu’à présent ».
En ce qui concerne les flux de données aux frontières, M. Wiewiórowski a également souligné que les autorités européennes chargées de la protection des données peuvent intervenir et interdire les transferts si elles les jugent illégaux.
« L’outil le plus puissant dont nous disposons est l’interdiction des transferts de données… cela s’est déjà produit par le passé », a-t-il déclaré, tout en précisant que cela ne concernait pas les États-Unis.
Négociations souveraines
En ce qui concerne le prochain accord entre l’UE et les États-Unis sur le partage des données biométriques, les gouvernements de l’UE devraient conclure des accords bilatéraux avec les États-Unis dans un cadre européen plus large. M. Wiewiórowski a donc souligné que ce cadre devait être solide, afin d’éviter que les capitales ne négocient seules des accords sensibles avec Washington.
« Il est évident que l’Union européenne dans son ensemble est le seul acteur capable de négocier réellement avec des puissances telles que les États-Unis », a-t-il déclaré, ajoutant qu’aucun pays européen, quelle que soit sa taille, ne peut être un « négociateur pleinement souverain dans une telle situation ».
« Même les pays qui se considèrent comme très puissants ne sont pas exempts de préoccupations dans ces négociations », a-t-il ajouté, réitérant la nécessité d’un cadre au niveau de l’UE pour établir des garanties claires avant la conclusion d’accords nationaux.
