Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-7772

de Yoeri Vastersavendts (Open Vld) du 16 janvier 2013

à la ministre de la Justice

Services en nuage (cloud computing) - Protection de la vie privée - Règlement relatif à la protection des données - Patriot Act

sécurité des systèmes d'information
protection de la vie privée
protection des données
États-Unis
stockage documentaire
centre serveur
réseau informatique
données personnelles
informatique en nuage

Chronologie

16/1/2013Envoi question
22/5/2013Rappel
4/10/2013Réponse

Question n° 5-7772 du 16 janvier 2013 : (Question posée en néerlandais)

Les fournisseurs de services en nuage (cloud computing) sont attaqués en justice par la Commission européenne s'ils divulguent des données aux Américains. Mais s'ils refusent de livrer ces données, les États-Unis leur imposent des sanctions.

C'est l'une des conséquences de la nouvelle loi européenne sur la protection des informations, le Règlement relatif à la protection des données. La nouvelle proposition de loi ne protège pas contre le « Patriot Act », une loi par laquelle les autorités américaines peuvent notamment exiger le transfert de données de la part d'entreprises américaines, même si ces données sont stockées dans des centres de traitement des données situés sur le sol européen. Ainsi, les Américains peuvent, si les autorités le demandent, fouiller dans les informations privées des Européens stockées par exemple sur des serveurs d'entreprises comme Google, Microsoft ou Oracle.

Dans ce cadre, j'aimerais poser quelques questions à la ministre.

1) Est-il vrai que des informations relatives à la vie privée des concitoyens peuvent encore se retrouver entre les mains des autorités américaines à la suite du Patriot Act américain ?

2) Quelle est la position du gouvernement belge à l'égard de la loi européenne sur la protection des informations, le Règlement relatif à la protection des données ?

3) Voyez-vous un conflit potentiel entre la loi européenne sur la protection des informations (Règlement relatif à la protection des données) et le Patriot Act, en ce qui concerne le transfert éventuel d'informations des concitoyens aux États-Unis ? Si non, pouvez-vous donner des explications ? Si oui, comment peut-on y remédier ?

4) Est-il vrai qu'à la suite du nouveau Règlement relatif à la protection des données, les fournisseurs de services en nuage peuvent être attaqués en justice par la Commission européenne s'ils communiquent des informations relatives à la vie privée de leurs concitoyens aux autorités américaines, mais qu'ils peuvent également s'attendre à des sanctions de la part de ces mêmes autorités américaines si elles ne le font pas ? Pouvez-vous donner des explications détaillées ?

5) Convenez-vous que cette situation met les fournisseurs de services en nuage dans une position impossible ? Selon vous, quelles considérations jouent un rôle en la matière ?

6) Êtes-vous au courant de la réaction étrange du porte-parole de la commissaire européenne Reding, qui déclare qu'il appartient aux entreprises « d'analyser la situation juridique » et de décider de la manière de réagir à une telle demande des Américains ?

7) Comment allez-vous protéger la vie privée des concitoyens à la lumière de ces deux mesures contradictoires ?

8) Allez-vous veiller à ce que les informations relatives à la vie privée des concitoyens et des entreprises belges que les fournisseurs de services en nuage possèdent ne soient pas transmises à d'autres autorités ? Pouvez-vous expliquer cela concrètement en termes de moyens et de mesures ?

Réponse reçue le 4 octobre 2013 :

1) Le 26 mai 2011, le Congrès américain a prolongé le « Patriot Act »jusqu’en juin 2015. 

2) 4) La Belgique soutient les principes contenus dans la proposition de Règlement relatif à la protection des données de la Commission européenne.  

Le principe général est l’interdiction de transfert de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf conditions énoncées dans le Règlement (Article 40). 

Le Règlement autorise le transfert de données vers un pays tiers si celui-ci assure un niveau de protection adéquat (Article 41).  

Lorsque la Commission n’a pas adopté de décision d’adéquation, le transfert est autorisé si le responsable du traitement offre des garanties appropriées, soit dans un instrument juridique (règles d’entreprise contraignantes, clauses types de protection des données, clauses contractuelles), soit sans instrument juridique (autorisation préalable par l’autorité de contrôle) (Article 42).  

En l’absence d’une décision d’adéquation ou de garanties appropriées, un transfert est également autorisé sous certaines conditions (consentement, contrat, intérêt général, défense d’un droit en justice, sauvegarde d’intérêts vitaux, etc.) (Article 44). 

4) et 5 )  et 7 )  et 8 ) Dans le cadre des négociations qui ont lieu sur la proposition de Règlement dans le groupe de travail du Conseil (DAPIX), et afin de protéger au mieux les fournisseurs de service et les citoyens, le gouvernement belge a proposé d’ajouter un paragraphe 6 à l’article 42 : « In the event of a discrepancy between the Regulation and the legal requirements of the requesting third country, the Commission will strive to resolve the conflicting legal situation during which the data controller or processor cannot be held liable ».  

6 ) Je ne suis pas compétente pour commenter les propos de madame Reding.