Le Safe harbor et le Privacy shield ont été invalidés respectivement en 2015 (CJUE, 6 octobre 2015, affaire C-362/14) et en 2020 (CJUE, 16 juillet 2020, affaire C-311/18). À la suite d'un accord de principe laborieux, le Data privacy framework (DPF) a enfin été publié le 10 juillet 2023. L'organisation None of your business (NOYB) a alors immédiatement publié un communiqué de presse dénonçant un texte qui reprend, selon elle, une grande partie du Privacy Shield invalidé.
Si l'European data protection board (EDPB) a salué des améliorations substantielles, il relève lui aussi qu'un certain nombre de principes restent essentiellement les mêmes que ceux du Privacy Shield. À ce titre, certaines préoccupations subsistent, notamment celles liées à certaines exemptions au droit d'accès aux données, à l'absence de définitions clés, au manque de clarté quant à l'application des principes du DPF aux sous-traitants, à la large exemption au droit d'accès pour les utilisateurs publics et à l'absence de règles spécifiques sur la prise de décision automatisée et le profilage. L'EDPB exprime également ses inquiétudes quant à l'absence d'exigence d'autorisation préalable d'une autorité indépendante pour la collecte de données en masse ainsi qu'à l'absence d'examen indépendant systématique ex post par un tribunal ou un organisme indépendant équivalent.
Des cultures juridiques différentes
La raison tient principalement à des cultures juridiques différentes en matière de données personnelles. L'Union européenne place au coeur de ses préoccupations la protection des données de ses citoyens, tandis que les États-Unis ne prévoient aucune garantie en tant que telle au niveau fédéral. Pour illustration, le décret présidentiel Executive order 14086, signé le 7 octobre 2022 par le Président Biden, institue un principe de proportionnalité pour la collecte de données par les services de renseignement et l'institution d'un nouveau mécanisme de recours pour les personnes concernées de l'UE (lire Transfert des données UE-USA : encore beaucoup de bruit pour rien ! ).
Mais, d'une part, on ne peut exclure que ce décret soit révoqué ou modifié à la suite des prochaines élections présidentielles américaines prévues en novembre 2024, soit dans moins d'un an. D'autre part, ce décret se réfère au principe de proportionnalité et de nécessité et en dresse une liste interprétée en considération du droit et des traditions juridiques américaines, soit une notion qui diffère sensiblement de celle de l'Union européenne.
Les exceptions Cloud Act et Patriot Act
Enfin, et comme l'a indiqué la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen (Commission Libe), le décret ne s'applique pas dans un certain nombre de cas : lorsque le Cloud Act ou le Patriot Act autorisent les autorités américaines à accéder aux données, pour l'achat de données commerciales ou encore en présence des accords de partage volontaire des données...
Il faut notamment tenir compte de la loi FISA 702 qui permet au procureur général et au directeur du renseignement national d'autoriser conjointement le ciblage de personnes non américaines (dont on peut raisonnablement penser qu'elles se trouvent en dehors des États-Unis). La CJUE, dans son arrêt Schrems II avait considéré que la surveillance massive prévue par cette loi n'était pas proportionnée au sens de l'article 52 de la Charte des droits fondamentaux qui prévoit que toute limitation de l'exercice des droits et libertés doit être proportionnée.
Deux niveaux de recours sont prévus : une plainte devant un Officier de protection des libertés civiles (CLPO) chargé de veiller au respect de la vie privée et des droits fondamentaux par les agences de renseignements américains et la possibilité de faire appel de la décision du CLPO devant la Data protection review court.
La Data protection review court critiquée
Maximilian Schrems, fondateur de l'association NOYB et figure emblématique de la question des transferts de données entre l'Union européenne et les États-Unis, estime cependant que la Data protection review court n'a rien d'une juridiction. Celle-ci serait, un organe relevant du pouvoir exécutif du gouvernement américain, dont il serait impossible de faire appel de sa décision. Quant à la Commission Libe, elle observe qu'en ne prévoyant pas de voie de recours devant une Cour fédérale, la Data protection review court ne satisferait pas aux normes d'indépendance et d'impartialité prévue par la Charte des droits fondamentaux de l'Union.
C'est dire que le DPF qui avait pour ambition de marquer un « engagement sans précédent de la part des États-Unis à mettre en oeuvre des réformes qui renforceront les protections en matière de vie privée et de libertés civiles » est déjà mis à rude épreuve.
À suivre prochainement !
Le nouvel accord transatlantique pour les données à caractère personnel déjà sous le feu des critiques
0
Réaction
Le Data privacy framework publié le 10 juillet 2023 n'a pas fait taire les critiques visant les accords transatlantiques sur les données à caractère personnel. Bien au contraire, puisqu'il reprendrait en particulier selon ses détracteurs, des principes issus des Safe harbor et Privacy shield pourtant invalidés.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire