Les députés européens de la commission des libertés civiles (LIBE) du Parlement européen ont fait part, lundi 7 janvier, à la Commission européenne de leurs vives inquiétudes concernant les implications du ‘CLOUD Act’ américain pour la protection des données dans les systèmes d’information de l’UE.
La loi américaine prévoit en effet que les fournisseurs de services américains seront obligés de se conformer aux ordres américains de divulgation de données, quel que soit le lieu de stockage de ces données (EUROPE 11973).
Dans le domaine de la justice et des affaires intérieures, la Commission a conclu des contrats avec des entreprises pour le développement et la gestion de systèmes informatiques à grande échelle de l’UE. Les députés craignent que, si ces entreprises sont soumises à la juridiction américaine, elles soient forcées par les autorités répressives américaines de divulguer des données sensibles concernant les citoyens européens stockées dans ces systèmes.
La Néerlandaise Sophie in’t Veld (ADLE) avait déposé une question écrite à la Commission le 2 juillet dernier à ce sujet, à laquelle la Commission n’a pas répondu dans le délai imparti. Le sujet a donc été porté en commission parlementaire.
Parmi les préoccupations majeures figurent les conflits entre l’application de la loi américaine et l’application de la loi européenne, à savoir le Règlement général sur la protection des données (GDPR).
« Là où les Américains disent ‘les États-Unis d'abord’, nous devrions dire ‘GDPR d'abord’, ‘les citoyens européens d'abord’ », a déclaré la députée néerlandaise.
Tania Schroeter, chargée du dossier à la Commission européenne, a tenté de rassurer. Le ‘CLOUD Act’ ne permet de demander des données qu’aux entreprises qui ont des liens avec les États-Unis, qui sont enregistrées aux États-Unis, par exemple, a-t-elle expliqué.
« Eu-LISA nous a confirmé qu'aucun de ses fournisseurs directs n'était enregistré aux États-Unis », a-t-elle assuré. Par ailleurs, les contrats conclus avec les entreprises contiennent des exigences strictes de confidentialité qui leur interdisent de divulguer ces données aux autorités américaines.
« Je ne pense pas que notre rôle ici soit de donner une interprétation du CLOUD Act », a finalement conclu la représentante de la Commission, renvoyant la balle aux législateurs américains.
Une réponse qui a laissé très insatisfaits les députés, qui sont convenus de revenir sur ces questions, de préférence en présence des commissaires européens compétents, a suggéré Mme in’t Veld. Elle a par ailleurs demandé que le Comité européen pour la protection des données rende un avis juridique sur les implications de cette loi américaine controversée. (Marion Fontana)