L’entretien a été mené quelques jours avant l’assassinat de Samuel Paty.

Les grands dossiers numériques du mandat sont répartis entre de nombreux commissaires. Comment arrivez-vous à faire compter toutes les voix, par exemple sur le Digital Services Act ?

Des groupes de commissaires au sein desquels nous échangeons régulièrement existent, tout comme les cabinets et les services discutent, à leurs niveaux. Mais nous avons surtout, entre commissaires, des angles d’attaque très différents. Dans mon portefeuille, le volet numérique concerne surtout la protection des données : comment avancer dans la mise en œuvre du Règlement général sur la protection des données (RGPD) et faire en sorte que les autorités disposent de ressources suffisantes.

Courant juillet, la CJUE a invalidé l’accord de transfert de données des Européens vers les États-Unis, faute de recours effectif devant la justice américaine et de protection face au régime de surveillance actuel. La charge de garantir les droits des Européens repose désormais sur les entreprises, qui comptent sur les clauses contractuelles types de la Commission pour leur propre sécurité juridique.

En tant que commissaire à la Justice, je suis l’interlocuteur européen sur le Privacy Shield. Côté américain, c’est le secrétaire d’État au Commerce, Wilbur Ross. Nous avons des sensibilités différentes. Je travaille aussi avec le groupe européen des autorités de protection des données (l’EDPB) et certaines autorités nationales pour trouver comment donner de la sécurité juridique aux entreprises.

Plusieurs propositions sont prévues : la future grande loi sur l’IA incluant la question de la responsabilité civile et la révision de la directive générale sur la sécurité des produits. Relire l’agenda des mois à venir.

Nous sommes aussi chargés de la protection des droits fondamentaux dans le domaine de l’intelligence artificielle (IA). Jusqu’où pouvons-nous aller ? Pour moi, il faudra non seulement réguler les machines apprenantes, mais aussi d’autres systèmes automatiques qui gèrent déjà des données et peuvent entraîner des discriminations.

Nous devrons aussi pouvoir contrôler la façon dont le produit évolue. Nous avons besoin que les autorités de supervision (par exemple de protection des données) ou des magistrats aient accès au contenu.

Comme pour un accident de voiture, un expert devra pouvoir chercher les causes en cas de problème. Le manque de ressources humaines pour exercer ce contrôle sera d’ailleurs un problème.

Il semble y avoir débat entre Thierry Breton et vous sur la relocalisation des données en Europe. Êtes-vous favorable à cette mesure ?

La future stratégie européenne sur les données vise à mutualiser les données de neuf écosystèmes industriels dans des espaces hébergés sur le sol européen. La proposition est prévue au 3e trimestre 2021.

Nous sommes exactement sur la même ligne. Nous avons deux approches complémentaires. Je suis favorable à la stratégie sur les données (lire dans la marge), à l’investissement dans plus de capacités, d’infrastructures, d’éducation pour y arriver. Ce projet n’empêche pas que, si d’autres viennent en Europe avec des données traitées dans le respect de nos règles, les frontières restent ouvertes.

Des associations disent qu’en l’absence de décision d’adéquation avec les États-Unis, ce serait plus simple de localiser les données en Europe. Peut-être. Mais je souhaite aussi continuer à diffuser un standard international.

Après la révision des clauses contractuelles type, nous aurons une réflexion à moyen-long terme sur des changements pratiques aux États-Unis sur la protection des données et aussi sur un sujet très sensible, la sécurité nationale. Quelle est la conception de l’accès aux données en matière de sécurité nationale ? Ce sera un débat compliqué, mais ce type de risque n’empêche pas l’existence de mécanismes de transfert de données.

Dans son discours sur l’état de l’Union, Ursula von der Leyen a promis de considérer les contenus haineux comme des infractions pénales dans toute l’UE. Peut-on s’attendre à ce qu’ils soient jugés illégaux dans le Digital Services Act ?

Relire les premières leçons de l’étude d’impact de la Commission.

L’idée est d’avoir dans le droit européen une incrimination des discours haineux, quel que soit l’angle. Nous pouvons avoir une compréhension large des discours haineux.

Dans le Digital Services Act, nous pouvons imaginer de nouvelles obligations pour les plateformes, dont celles d’e-commerce. Celles qui ont pris des dispositions pendant la pandémie sont les mieux placées pour retirer des produits dangereux, des arnaques de toutes sortes comme les vaccins miracles…

Nous leur demandons d’aller plus loin, de ne plus passer par des engagements mais des obligations légales. Ils peuvent utiliser de l’IA pour retirer plus rapidement des produits dangereux et plus largement des arnaques.

Par exemple, pendant la pandémie, des arnaqueurs envoyaient en masse de faux e-mails au nom de boutiques en ligne, demandant quelques euros pour acheminer des commandes qui n’ont jamais été passées. Les plateformes savent très bien le détecter.

Nous avons la même réflexion sur les contenus haineux. Évidemment, il y a des risques : il faut que la personne dont nous bloquons un propos soit informée et puisse réagir. Il faut aussi définir ce qui est légal ou non : la décision de retrait est plus compliquée concernant un contenu certes légal, mais contenant de fausses informations ou participant à une action plus large, par exemple du harcèlement. Dans ce dernier cas, il faudra du temps et une jurisprudence.

Il faut aussi pouvoir contrôler ces actions, en imposant aux plateformes d’avoir un représentant sur le territoire européen.

Y a-t-il un consensus entre commissaires sur le contournement du chiffrement, dans la lutte contre la pédopornographie ou d’autres types de crimes ?

Nous l’avons vu avec Schrems 2, nous sommes toujours dans une tension entre l’efficacité économique, sécuritaire ou encore de santé et la protection des droits individuels. Je suis partisan d’évaluer au fil du temps la manière dont ces mesures atteignent les droits fondamentaux. Nous ne pouvons pas décemment traduire dans la législation définitive des mesures qui valent pendant une crise sanitaire ou une période d’alerte maximale en matière de terrorisme.

Les missions dont nous sommes chargés entrent aussi en considération. Par moments, je suis un peu schizophrène : je dois garantir la protection des données et vérifier que le RGPD est bien mis en œuvre, mais je suis aussi responsable de la lutte efficace contre le crime organisé, les abus sexuels contre les enfants ou encore le terrorisme.

En général, la Cour dit que les mesures sont possibles, à condition d’avoir un intérêt public important, qu’elles restent proportionnées, nécessaires et surtout l’exception. Un accès massif à toutes les informations personnelles à des fins préventives n’est pas possible dans le cadre de l’Article 2 du traité de l’UE. C’est la ligne de la Commission.

Sur le chiffrement, les forces de l’ordre veulent aussi un accès aux données chiffrées de temps en temps, ce qui garantit une protection des données personnelles. Nous devons donc trouver une formule. Même si, en bout en de course, c’est une jurisprudence qui se développera sur la loi ou son application.

La Cour de Justice vient de rendre des arrêts sur la conservation des données. Envisagez-vous des procédures d’infraction dans ce cadre ?

Les infractions sont évidemment possibles pour les mises en œuvre qui ne respectent pas le droit européen. Une nouvelle législation européenne n’est pas exclue.

Une chose me frappe : dans ses décisions, la Cour n’adopte pas la position du tout ou rien ! Vous pouvez mettre en place des systèmes d’exception à la règle, mais cela doit rester l’exception. Si cela devient la règle, vous ne respectez plus ni l’esprit, ni la lettre de la loi.

Il faut toujours lire ce genre de décision comme, d’un côté, une possible censure de certaines législations et, de l’autre, une réponse. Tout en gardant à l’esprit la difficulté d’apprécier ce qui est effectivement nécessaire et proportionné.

Il faut peut-être surtout adapter des législations nationales pour répondre aux préoccupations exprimées par la Cour.