En début de semaine, l’Union européenne par la voix de la présidente de la Commission européenne a annoncé la signature du Data Privacy Framework (DPF). Ce texte fixe le cadre du transfert des données personnelles entre les Etats-Unis et l’Europe. Ces données personnelles sont de plusieurs ordres :identité (carte d'identité, permis, passeport), localisation, transaction, centre d'intérêt, etc). L'accord succède aux deux textes précédents (Safe Harbor et Privacy Shield) invalidés par la Cour de justice de l’UE après la saisine de l’avocat autrichien Max Schrems. Ce dernier a d’ailleurs, dès l’annonce de l’exécutif bruxellois, menacé d’une procédure pour annuler ce récent cadre. Un air de déjà vu qui interroge sur la fiabilité juridique et politique de cet accord.
Un risque politique avec les élections américaines
Sur le plan politique d’abord, le DPF a été l’objet de longues négociations entre l’administration américaine et la Commission européenne. Après l’invalidation du Privacy Shield, les deux parties ont tenté de trouver des moyens de garantir des capacités de recours et des garanties pour les citoyens européens sur leurs données personnelles vis-à-vis des agences américaines de renseignements. Joe Biden a signé un décret dans ce sens, mais les prochaines élections présidentielles pourraient changer la donne. Nader Henein, analyste chez Gartner, interrogé par nos confrères d’IDG, explique, « si la prochaine élection présidentielle américaine devait voir le poste le plus élevé revenir à un candidat républicain, il y a un risque très réel que ce décret soit annulé, ce qui couperait l'herbe sous le pied de l'accord ». Et de citer les nombreux exemples de traités ou d’accord invalidés par Donald Trump à son arrivée au pouvoir.
De son côté, le député modem Philippe Latombe questionne la première ministre sur le processus de discussion en France sur cet accord. Selon lui l’approbation de cet accord « ait été à l’initiative de la seule Chancellerie (NDLR : ministère de la Justice), sans qu’une réunion des ministres concernés ait été tenue ou le Parlement consulté ». Il demande des informations sur « le processus décisionnel suivi » et « de l’analyse juridique qui a conduit à une telle approbation ».
Un choc de culture juridique sur la protection des données personnelles
L’autre talon d’Achille du Data Privacy Framework, c’est sa faiblesse juridique. Jonathan Armstrong, avocat anglais spécialisé dans la conformité et la technologie chez Cordery, est même pessimiste sur sa pérennité, « nous nous attendons à ce qu'il soit invalidé d'ici deux à cinq ans ». Il apparente le texte à « une patate chaude » que les différentes administrations se transmettent au fil du temps. Il y a surtout un choc entre deux cultures juridiques sur la protection des données personnelles. Ainsi, la constitution américaine ne garantit pas la protection de la vie privée en tant que telle, les lois et réglementations en la matière devant être extraites des protections du quatrième amendement contre les perquisitions et saisies illégales.
Nader Henein, analyste chez Gartner, souligne, « il n'existe actuellement aucune loi fédérale régissant la manière dont les entreprises stockent et protègent les données personnelles, ce qui a conduit les États à adopter leur propre législation ». Le seul souci c’est que 13 Etats sur 50 se sont dotés de mesures en la matière. « il n'est pas facile de faire avancer la législation de manière à ce qu'elle ne couvre pas uniquement les citoyens américains, mais qu'elle régisse également les données relatives aux personnes vivant dans d'autres pays, une fois que ces données ont été légalement enregistrées aux États-Unis ». De son côté Max Schrems émet des doutes sur la création d’une « Cour de révision de la protection des données » (Data Protection Review Court), qui selon lui n’a rien d’une juridiction notamment par l’absence d’appel. Il souligne le caractère imprécis et nébuleux du décret de Joe Biden, sur l’aspect « proportionné » du FISA 702, une loi qui prévoit la surveillance de masse avec l’assistance imposée des fournisseurs de communications électroniques. Au final, le grands perdants de ces fragilités sont les entreprises qui n’arrivent toujours pas à avoir un cadre claire, lisible dans le temps sur le transfert des données.