par Manon VILLANOVA, étudiante du Master 2 Droit des communications électroniques

Dans un contexte marqué par le renforcement des politiques de sécurité et la numérisation des procédures administratives, les conditions d’accès au territoire américain pourraient évoluer au regard de certaines orientations politiques récemment évoquées par les autorités américaines. La perspective d’un élargissement de la collecte de données personnelles dans le cadre de la demande d’ESTA soulève des enjeux majeurs en matière de protection des données, de libertés individuelles et de coopération internationale.

Le renforcement envisagé de la collecte de données personnelles dans le cadre de l’ESTA peut-il être concilié avec les exigences du RGPD et les garanties applicables aux transferts de données vers des États tiers ?

Contexte et évolution du dispositif ESTA

L’ESTA est une autorisation électronique donnant l’accès au territoire américain. Elle concerne les ressortissants de pays bénéficiant du Visa Waiver Program qui est un programme d’exemption de visa. Une quarantaine de pays sont concernés par ce programme comme la France, l’Allemagne ou encore le Japon.

Depuis sa création après le 11 septembre 2001, l’ESTA n’a cessé d’évoluer notamment en limitant la liste des pays bénéficiaires de l’exemption. Par exemple, depuis la «  Loi sur l’amélioration du programme de dispense de visa et de prévention des voyages terroristes » de 2015, les ressortissants de plusieurs pays du Moyen-Orient ont été exclus comme l’Irak ou la Syrie. Ces évolutions traduisent une logique de sécurisation renforcée des flux migratoires, dans laquelle l’ESTA apparaît comme un outil de contrôle préventif. Cependant, cette extension des données doit s’inscrire dans une logique de proportionnalité, impliquant une adéquation entre les finalités poursuivies et l’ampleur des informations collectées.

Plusieurs raisons peuvent justifier un tel renforcement comme la lutte contre le terrorisme et la criminalité transnationale ou l’utilisation croissante de l’analyse de données et de l’IA. De plus, il est important de souligner que ce renforcement pourrait également découler d’une harmonisation avec d’autres dispositifs internationaux comme l’ETIAS en Europe.

Nature des données concernées

Dans l’hypothèse de ce renforcement du dispositif, les autorités américaines pourraient exiger des catégories de données allant bien au-delà des simples données d’identification. Certaines de ces informations, notamment celles relatives aux déplacements antérieurs dans certains pays ou à l’activité numérique, pourraient être qualifiées de données personnelles sensibles au sens du droit européen, en ce qu’elles permettent une analyse du comportement et des opinions des individus. Quand on sait que les réseaux sociaux des étudiants étrangers sont déjà passés au peigne fin, cela ne fait que renforcer une certaine méfiance vis-à-vis de ce changement de dispositif.

Pour les ressortissants européens, une telle évolution soulève des difficultés au regard du RGPD qui, rappelons-le, impose que la collecte de données personnelles soit limitée à ce qui est strictement nécessaire à la finalité poursuivie. Or, l’existence de cette limite peut être questionnée en ce qui concerne le droit américain. De plus, le transfert de ces données vers un État tiers ne peut être envisagé qu’à la condition que celui-ci assure un niveau de protection équivalent à celui garanti au sein de l’Union européenne. Ce changement de dispositif sera-t-il alors compatible avec un niveau de protection satisfaisant pour l’Union Européenne ?

À cet égard, si le Data Privacy Framework adopté en 2022 sous l’administration Biden a permis d’améliorer le cadre des transferts avec les États-Unis, les réserves exprimées dans un avis du 10 juillet 2023 par le CEPD rappellent cependant que ces garanties demeurent fragiles. L’absence d’un cadre fédéral uniforme de protection des données aux États-Unis renforce les incertitudes quant à la conformité durable d’un tel élargissement de la collecte dans le cadre de l’ESTA.

Conséquences pratiques et débats éthiques

Un renforcement des exigences pourrait entraîner une complexification importante de la procédure de demande d’ESTA. Il existe également un risque important de refus automatisés, notamment en cas d’informations incomplètes ou erronées, ce qui soulève des interrogations quant aux garanties procédurales offertes aux voyageurs.

Un tel dispositif soulève également des enjeux éthiques liés à l’atteinte potentielle à la vie privée et à la normalisation d’une forme de surveillance numérique des voyageurs. L’exploitation d’informations issues de l’environnement numérique personnel pourrait contribuer à une extension progressive des pratiques de contrôle, dont la légitimité doit être appréciée au regard des libertés individuelles et du principe de nécessité.

Les réactions des États bénéficiaires du programme Visa Waiver pourraient varier en fonction de leurs propres exigences en matière de protection des données. Ces divergences pourraient conduire à des ajustements du programme ou à des négociations visant à renforcer les garanties juridiques offertes aux ressortissants étrangers de ces États.

L’évolution de l’ESTA pourrait alors participer à la redéfinition des standards internationaux en matière de contrôle aux frontières, en influençant l’équilibre entre sécurité, coopération internationale et protection des droits fondamentaux. Ce changement de dispositif pourrait ainsi constituer un indicateur clé des orientations futures des politiques migratoires et numériques à l’échelle internationale.