La conclusion d'un accord entre l'UE et les États-Unis sur l'accès transfrontière aux preuves électroniques semble encore bien loin. Un rapport produit par la Commission européenne sur la seconde réunion de négociation, qui s’est tenue à Washington le 6 novembre dernier (EUROPE 12348/17), fait état de plusieurs difficultés et questions de fond qu’il reste encore à résoudre.
Le document, mis en ligne le 24 novembre par Statewatch, indique que cette réunion a permis aux délégations de l'UE et des États-Unis « d'approfondir leur compréhension des dispositions respectives des propositions européennes sur les preuves électroniques et du ‘CLOUD Act’ américain ».
Les États-Unis ont en outre présenté les principaux éléments de l'accord bilatéral signé le 3 octobre au titre du 'CLOUD Act' entre le Royaume-Uni et les États-Unis, qui permet aux autorités répressives des deux parties, dans le cadre d’enquêtes pénales, d’accéder directement aux données électroniques stockées par les entreprises dans l’autre pays (EUROPE 12344/7).
Selon le document, la Commission européenne aurait soulevé une série de questions juridiques et de préoccupations relatives à cet accord. Elle aurait déjà envoyé une lettre aux autorités britanniques le 5 novembre dernier à ce sujet.
Une grande partie des discussions a porté sur la nécessité d'une protection des données forte, indique la Commission dans son rapport. La Commission a ainsi souligné la nécessité de disposer d'une base légale pour le traitement des données à caractère personnel par les prestataires de services, conformément à ce qui est requis par le règlement général sur la protection des données (GDPR).
La Commission a aussi questionné les garanties en matière de protection des données appliquées aux États-Unis. De leur côté, les États-Unis, ont fait part de leurs préoccupations concernant la situation de l'État de droit dans un certain nombre d'États membres de l'UE, indique le document.
Les négociateurs auraient par ailleurs abordé les catégories de données qui devraient être prises en compte dans le cadre de l'accord, sur la base des définitions existantes utilisées dans l'UE, aux États-Unis et dans la Convention du Conseil de l'Europe sur la cybercriminalité, signée à Budapest. À cet égard, la Commission a souligné qu'il sera important que les données transactionnelles soient traitées de la même manière que les données relatives au contenu en termes de protections.
En ce qui concerne les types d'infractions, la Commission a présenté une approche fondée sur un seuil, accompagnée d'une liste d'infractions, qui comprend notamment le partage d'images pédopornographiques et certaines infractions terroristes.
Là encore, cependant, aucune décision n'aurait été prise. Les États-Unis se seraient engagés à examiner l'interaction de cette liste avec la législation américaine existante.
Une fois les questions de fond résolues, les négociateurs devront aborder l'épineuse question de la forme de l'accord (EUROPE 12355/20). La Commission veut négocier un accord global pour l’UE dans son ensemble, tandis que les États-Unis campent sur leur position de négocier des accords bilatéraux avec les États membres.
Richard Downing, membre de la division criminelle du département américain de la Justice, s’est récemment montré sceptique quant à la possibilité d’aboutir à un unique accord, valable pour l'ensemble des pays européens (EUROPE 12374/18).
La prochaine réunion de négociation est prévue pour le 10 décembre, à Washington, juste avant la réunion des ministres européens et américains de la Justice. Voir le document : http://bit.ly/2OFH8WA (Marion Fontana)