Question de Mme LIENEMANN Marie-Noëlle (Paris - CRCE-R) publiée le 12/01/2023

Mme Marie-Noëlle Lienemann interpelle Mme la Première ministre sur le lancement par la Commission européenne du processus d'adoption de la décision d'adéquation concernant le cadre de protection des données entre l'Europe et les États-Unis.
Concrètement, ce lancement de procédure fait suite à la signature du décret du 7 octobre 2022 par le président des États-Unis (pour limiter l'accès aux données par les services de renseignements américains), ainsi qu'aux règlements adoptés par le procureur général des États-Unis, afin de transposer l'accord de principe signé par la présidente de la Commission européenne en mars 2022. La Commission européenne et sa présidente estiment donc que le cadre juridique américain « offre des garanties comparables à celles de l'Union européenne (UE) » et concluent qu'ils « assurent un niveau de protection adéquat des données à caractère personnel transférées de l'UE vers des entreprises américaines. »
Or l'accord de principe signé par la présidente de la Commission ne respecte pas le règlement général sur la protection des données (RGPD) et entre en contradiction ouverte avec les exigences de notre pays en matière d'« autonomie stratégique », d'« indépendance industrielle » et de « cloud européen ». Côté américain, l'appropriation de ces données, de tous les éléments se rapportant à notre vie publique comme privée, fait sens : les géants du Web (Google, Apple, Facebook, Amazon et Microsoft : GAFAM), comme les sociétés du fondateur de Space X ou Tesla entre autres , réclament, pour bâtir le nouveau monde de l'intelligence artificielle, de disposer des données personnelles d'un maximum d'individus. Que le président des États-Unis considère que les intérêts économiques des GAFAM prévalent sur tout le reste est un fait, mais cela ne saurait en aucun cas prévaloir sur nos propres intérêts stratégiques et sur nos libertés publiques. Nous pourrions être exposés à un risque d'utilisation des données des Européens à des fins de développement de l'intelligence artificielle exclusivement américaine, dont le président américain a opportunément officialisé le lancement dès après l'accord de mars 2022.
Nous faisons face à un conflit de juridictions, découlant de deux conceptions politiques antinomiques : l'une, européenne, qui demande la protection de la vie privée ; et l'autre, américaine, qui prône la surveillance. Depuis l'adoption du Patriot act, nous ne pouvons plus considérer que nos droits fondamentaux sont respectés par les États-Unis. Nous n'avons pas, avec les Américains, la même notion de la sécurité. Nous n'avons pas, en conséquence, assez de garanties sur les protections et les droits de recours. La surveillance de masse américaine va continuer et le Data Act adopté sous le président précédent est d'ailleurs toujours en vigueur. La Cour de justice de l'Union européenne (CJUE) a annulé les deux accords précédents passés avec les États-Unis sur le même thème, le « Safe Harbor », en 2015, et le « Privacy Shield », en 2020. La gravité des atteintes engendrées par le nouvel accord justifierait qu'elle soit à nouveau saisie.

Elle avait déjà interpellé le Gouvernement par une question écrite (n°17181) en juillet 2020 sur un dossier connexe : les menaces de fuite à l'étranger des données de santé des Français qu'impliquait la plateforme des données de santé (PDS) dit « Health Data Hub ». Le ministère des solidarités et de la santé n'avait alors pas daigné répondre.

Elle lui demande donc d'indiquer explicitement quelle est la position de la France sur ce dossier et les dangers qu'il implique. Elle lui demande également quelles mesures compte prendre le Gouvernement pour protéger les intérêts français et européens et nos libertés publiques en la matière et si elle compte saisir la CJUE pour les faire respecter.

- page 108

Transmise au Ministère de l'Europe et des affaires étrangères


Réponse du Ministère de l'Europe et des affaires étrangères publiée le 20/04/2023

Depuis le lancement de la stratégie européenne pour les données en février 2020, la préservation de l'intégrité des données européennes est un pilier de la souveraineté numérique européenne. A ce titre, l'Union européenne est engagée dans la mise en Suvre d'une stratégie combinant l'adoption d'instruments de protection et la mise en valeur de notre écosystème de données à l'échelle continentale. En ce sens, les autorités françaises partagent pleinement le constat fait au niveau européen, et qui sous-tend les interventions législatives et réglementaires tant au niveau communautaire que national. Ainsi, la souveraineté numérique et la compétitivité de l'Europe sont conditionnées à un double objectif en la matière : Garantir la libre circulation des données générées dans l'Union au sein de notre marché intérieur, afin de tirer le meilleur parti du potentiel économique de cette réserve d'actifs aujourd'hui sous-exploités ; Garantir la protection des données européennes par l'instauration de cadres de transfert international compatibles avec les exigences du droit de l'Union européenne, ainsi que la lutte contre les ingérences découlant de l'application extraterritoriale de lois étrangères. S'agissant de la mise en place du nouveau cadre transatlantique pour le transfert des données (Data Privacy Framework), la France s'est constamment attachée à Suvrer pour l'adoption d'une solution permettant de garantir un juste équilibre entre, d'une part, le respect du droit fondamental à la vie privée et, d'autre part, les intérêts qui commandent une libre circulation des données à caractère personnel, en accord avec la jurisprudence de la Cour de justice de l'Union européenne (CJUE). Les autorités françaises sont dans l'attente de la publication annoncée pour le 1er trimestre 2023 de l'avis du Comité Européen de la Protection des Données (CEPD) qui viendra apporter un éclairage supplémentaire utile pour l'appréhension juridique de ce cadre révisé. La concrétisation de ces ambitions passe également par l'adoption de mesures visant à faire émerger un cadre robuste pour la protection de nos données et la lutte contre l'application extraterritoriale de lois étrangères. Les autorités françaises se sont mobilisées pour renforcer l'encadrement du transfert de données vers des pays tiers et garantir le respect des règles de l'Union, dans la lignée de la jurisprudence de la CJUE, au sein du règlement sur la gouvernance des données (Data Governance Act) publiée au Journal officiel de l'Union européenne sous Présidence française. Des efforts identiques sont déployés dans le cadre des négociations en cours concernant le règlement sur les données (Data Act) et le règlement relatif à la création de l'espace européen des données de santé, tous deux actuellement discutés au Conseil de l'Union européenne. Ces législations seront au cSur de la réponse au double objectif évoqué plus haut. Au niveau technique, des discussions sont actuellement en cours entre les agences de cybersécurité nationales, discussions au sein desquelles la France est représentée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), sous l'égide de l'Agence de l'Union européenne pour la cybersécurité (ENISA). Dans ce cadre, les autorités françaises soutiennent l'adoption d'un schéma de certification dont le niveau élevé doit donner aux propriétaires européens de données une garantie d'immunité face à l'application extraterritoriale de législations tierces. La France joue aujourd'hui un rôle moteur sur les enjeux de protection des données dans l'Union européenne et le gouvernement poursuit son action en vue d'achever un niveau commun élevé de protection.

- page 2687

Page mise à jour le