Au lendemain de la présentation par la Commission européenne de ses propositions législatives sur les preuves électroniques (EUROPE 12003), mercredi 18 avril, plusieurs parties prenantes y voient une réponse précipitée au CLOUD Act américain et soulèvent des craintes.
« Avant qu'une évaluation correcte [du cadre existant, NDLR] ait été possible, l'UE semble maintenant se précipiter pour faire ces nouvelles propositions, en suivant les pas des États-Unis », a réagi l’organisation European Digital Rights (EDRi) dans un communiqué mardi.
Même son de cloche du côté de l’association The Business Software Alliance (BSA), regroupant les grands fabricants de logiciels propriétaires tels que Microsoft, qui aurait préféré que la Commission se concentre d’abord sur la résolution des problèmes d’accès aux preuves électroniques au sein de l’UE, avant de se tourner vers une application extraterritoriale.
Pour rappel, le CLOUD Act américain a été adopté en procédure accélérée fin mars, sans qu'une solution commune avec l'UE n'ait pu être trouvée, et prévoit que les fournisseurs de services américains seront obligés de se conformer aux ordres américains de divulgation de données, quel que soit le lieu de stockage de ces données (EUROPE 11990).
Contactée par EUROPE, Maryant Fernández Pérez, conseillère politique à l’EDRi, a expliqué que l’outil existant au sein de l’UE en la matière, la décision d’enquête européenne (‘European Investigation Order’), était encore relativement récent et que les États membres avaient jusqu’au 22 mai 2017 pour l’appliquer, rendant ainsi la création d'un nouveau système précipitée.
Cela d’autant plus que, selon elle, il y a eu des exemples de bonne coopération internationale, notamment après les attentats terroristes survenus en janvier 2015 dans les locaux de Charlie Hebdo, où les autorités françaises avaient obtenu l’accès à des e-mails de deux comptes détenus par Microsoft en 45 min.
Concrètement, l’organisation estime que ces textes risquent de transformer les entreprises en autorités judiciaires, en leur conférant notamment, dans certains cas, la lourde de tâche de déterminer si la demande des autorités est conforme aux droits fondamentaux. De son côté, BSA est aussi préoccupée par le « court délai » (10 jours ou six heures en cas d’urgence) que les entreprises devront respecter pour répondre à ces demandes de données transfrontalières.
Entrant un peu plus dans les détails, l’organisation estime aussi que la base juridique choisie par la Commission européenne, à savoir l’article 82 du TFUE sur la coopération judiciaire en matière pénale, est douteuse.
L’EDRi a en effet de sérieux doutes quant à l’« interprétation créative » de la Commission, qui estime que cette base légale peut être étendue à la coopération directe entre une autorité judiciaire et des fournisseurs de services - des doutes que le groupe de travail ‘Article 29’, réunissant les autorités de protection des données des États membres de l’UE, avait déjà soulevés dans un avis en novembre 2017.
En termes de communication, l’EDRi s’est par ailleurs étonnée de la présentation de ces textes comme des initiatives pour lutter contre le terrorisme - ce qui pourrait porter à confusion puisque ces textes s’appliquent à la criminalité en général.
Plus largement, Maryant Fernández Pérez s’inquiète d’une certaine schizophrénie européenne sur la protection des données. « Dans l’UE, il y a une certaine contradiction puisqu’on va bientôt avoir le règlement général sur la protection des données qui instaure une protection stricte des données personnelles et, d’un autre côté, en matière criminelle, la Commission met sur la table des textes qui obligent les entreprises à donner accès à ces données » a-t-elle estimé. (Marion Fontana)