Data Privacy Framework
Le Data Privacy Framework (DPF) ou le Trans-Atlantic Data Privacy Framework (littéralement le Cadre de protection des données UE - États-Unis) est le nouveau système d'échange de données entre les États-Unis et l'Europe qui succède au Privacy Shield. Il a été construit entre l'Union européenne et les États-Unis à partir de 2022.
Titre | DÉCISION D’EXÉCUTION (UE) 2023/1795 DE LA COMMISSION du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis |
---|---|
Sigle | DPF |
Référence | Décision d'exécution (UE) no 2023/1795 |
Organisation internationale | Union européenne |
Territoire d'application | Espace économique européen |
Type | Décision d'exécution de la Commission européenne |
Branche | Droit de l'Internet |
Législature | 9e législature |
---|---|
Gouvernement | Commission von der Leyen |
Adoption | |
Publication | |
Entrée en vigueur | . |
Lire en ligne
Contexte
modifierAlors que le Privacy Shield et le Safe Harbor ont été tous deux annulés par la Cour de justice de l'Union européenne dans les arrêts Schrems, les États-Unis et l'Europe se sont entendus pour créer un nouveau cadre qui aurait l'agrément de tous. Les dispositifs précédents avaient péché par leur manque de protection des données des citoyens européens lorsque les données étaient transférées aux États-Unis.
Le 25 mars 2022 la Commission Européenne et les États-Unis ont manifesté le souhait de travailler ensemble à l'élaboration d'un cadre commun pour l'échange des données[1].
Le 6 avril 2022, le Comité européen de la protection des données (CEPD) accueille favorablement la volonté des États-Unis de mieux protéger les citoyens européens, notamment vis-à-vis de la possibilité donnée aux services de sécurité américains de collecter les données des citoyens européens[2],[3].
Cadre juridique du nouvel accord
modifierUn accord de principe entre les États-Unis et l'Europe a été trouvé en mars 2022. Accord critiqué par Philippe Latombe, le rapporteur d'une récente mission parlementaire sur la souveraineté numérique, comme étant la contrepartie d'un accord de fourniture de gaz américain à la suite des restrictions nées des sanctions occidentales envers la Russie[4],[5]..
Le 07 octobre 2022, Joe Biden a signé un décret présidentiel créant les conditions d'un cadre juridique pour un Privacy Shield 2.0. Le décret exécutif, dénommé Enhancing Safeguards For United States Signals Intelligence Activities (littéralement Renforcement des garanties pour les activités de renseignement électromagnétique des États-Unis) permet un encadrement des services de sécurité américains dans leur surveillance des données provenant des européens. Chaque étape depuis la collecte jusqu'au traitement par les services de sécurité devra être justifiée et son objectif légitime détaillé[6],[7].
La collecte de données
modifierLa collecte des données par les services de renseignement américains est encadrée par le texte de l'accord. L'objectif de la collecte, obligatoirement relatif à des enjeux de sécurité nationale, est listé dans l'accord.
La collecte ne peut être motivée par un objectif prohibé ; une liste d'objectifs prohibés est présente dans l'accord.
La collecte doit prendre en compte les droits civils[6].
Le traitement des données
modifierDes limites en termes de dissémination des informations collectées sont posées.
Des limites en termes de conservation des données dans le temps sont posées[6].
Les procédures de recours
modifierCet accord crée une nouvelle cour de justice, la Data Protection Review Court (DPRC), située aux États-Unis, capable de demander la suppression ou la modification des données. L'accès à cette cour sera examiné par un agent de protection des libertés civiles, agent issu des services de renseignement américain. L'accès à cette cour américaine se fera par la saisine en Europe, de l'autorité nationale de protection des données (la CNIL pour la France)[8],[9],[6].
Les insuffisances juridiques
modifierDu côté européen, nombreux sont les juristes à pointer du doigt le manque d'impartialité et d'indépendance de la DPRC, une cour américaine qui devra juger selon les lois américaines. Or la loi américaine se fonde sur la primauté de la sécurité nationale sur les droits du citoyen, le contraire du RGPD européen.
Du côté des entreprises, l'absence de cadre juridique fait que le lobby de la tech américaine - Computer & Communications Industry Association (en) - se félicite de ce nouveau texte en préparation[10].
Le 30 juin 2023, les agences américaines de renseignement ont adopté de nouvelles procédures de sécurité concernant le traitement des données des européens une fois arrivées sur le sol américain. Mais la section 702 de la FISA a été maintenue qui permet un espionnage en règle de toutes les informations des européens sans aucune garantie ni garde-fou. Or c'est ce même texte qui avait fait capoter le Privacy Shield et le Safe Harbor avec les arrêts Schrems respectivement en 2015 et en 2020.
D'un coté les instances américaines estiment avoir fait un grand pas vers plus de respect des données des européens. D'un autre coté, tant la réunion des CNIL européennes que le Parlement ont souligné les insuffisances des textes américains en termes de garantie et de protection des européens[11].
Max Schrems, via son association NOYB souligne que le Data Privacy Framework est un copié-collé du Privacy Shield. À ce titre il sera contesté devant la Cour de justice de l'Union européenne. Pose notamment problème, le tribunal de recours qui n'est pas une juridiction judiciaire, mais dépend de l'exécutif américain, sans possibilité d'appel[12].
Enfin la pérennité de l'accord dépend aussi du pouvoir politique. Si l'accord contient des faiblesses internes notamment au niveau des procédures de recours, il comporte également des risques politiques. Les procédures de recours portent sur la création d'une cour d'appel américaine, instance exécutive américaine qui ne doit son existence qu'à un décret présidentiel. Ce qu'un décret présidentiel a fait peut être défait lors de l'arrivée d'une autre majorité présidentielle au pouvoir[13].
Processus d'adoption devant les instances européennes
modifierUne fois le texte rédigé coté américain, il lui faut passer les différentes étapes européennes à savoir :
- la Commission européenne,
- le Comité européen de la protection des données,
- le Parlement européen,
- la commission formée par les représentants des états membres[10].
Au niveau de la Commission Européenne
modifierLa Commission Européenne a émis le 13 décembre une décision d'adéquation de l'Enhancing Safeguards For United States Signals Intelligence Activities. Comme l'a souligné le Commissaire européen à la Justice, Didier Reynders, « De solides mesures de protection sont désormais en place aux États-Unis pour permettre le transfert sûr de données personnelles de part et d'autre de l'Atlantique. Nous sommes maintenant confiants pour pouvoir passer à l'étape suivante de la procédure d'adoption ». Ce sera ensuite au Comité européen de la protection des données de se prononcer. Mais pour beaucoup de juristes européens, le décret Biden n'offre pas le niveau de transparence suffisant ni l'impartialité attendue puisque la juridiction d'appel sera américaine et la loi américaine stipule que la sécurité nationale est supérieure au droit des citoyens. L'inverse de ce qu'établit le droit européen[10].
Au niveau du Comité européen de protection des données
modifierLe 28 février 2023, le CEPD a émis un avis non contraignant soulignant ses préoccupations quant au texte analysé. La présidente du Comité Andrea Jelinek (de) a exprimé ses inquiétudes au niveau des aspects commerciaux sur les dérogations au droit d'accès, sur le profilage, sur le manque de clarté pour les sous-traitants par exemple. Le CEPD demande la clarification des exemptions à l'obligation d'adhérer aux principes du Data Privacy Framework (DPF). Le CEPD est également préoccupé par l'absence d'exigence d'autorisation préalable pour la collecte en masse de données et par l'absence d'appel de la décision de la DPRC[14].
Au niveau du Parlement européen
modifierLes députés européens ont voté une motion le 13 avril 2023, engageant la Commission à ne pas adopter la décision d'adéquation tant que les inquiétudes émises par le CEPD n'auront pas été chassées. Enfin le législateur demande à la Commission que les intérêts politiques ou commerciaux ne soient pas pris en compte dans la décision d'adéquation[15].
Le vote du parlement européen a été défavorable à l'application de cet accord dans ces termes actuels. La motion a été acceptée avec un vote largement favorable (306 pour, 27 contre). Le parlement juge insuffisants les efforts américains pour rendre le cadre des échanges transatlantiques de données suffisamment protecteur pour les européens. Les parlementaires européens ont relevé une dizaine de points qui pêchent par une insuffisance d'engagement des États-Unis.
Le premier de ces points souligne la différence de perception des deux côtés de l'Atlantique des principes de proportionnalité et de nécessité. Ces deux notions fondent l'essence des garanties données par les États-Unis aux Européens dans l'ordre exécutif no 14086. La liste des finalités légitimes est définie dans cet ordre exécutif. Mais elle peut être redéfinie à souhait par le président américain, sans information du public ou des européens. Par ailleurs l'ordre exécutif n'interdit pas aux américains de pouvoir procéder à la collecte massive de données des européens ni à obtenir une autorisation préalable pour une telle collecte. Les députés européens alertent sur l'absence de règles claires en matière de conservation des données. Le parlement note également que le mécanisme de recours à deux niveaux ne permet pas au citoyen européen de faire jouer son droit d'accès et de modifier les données le concernant. Par ailleurs le mécanisme de recours n'est pas accompagné d'un dispositif d'appel de la décision[16].
Au niveau de la commission des états membres
modifierLe 4 juillet 2023, le Data Privacy Framework a été validé par 24 pays, trois membres de la commission s'étant abstenus[17]. Le 10 juillet suivant, la décision d'adéquation a été prise par la Commission européenne[18]. Le Data Privacy Framework fournit à partir de juillet 2023 le nouveau cadre réglementaire et juridique entre les États-Unis et l'Europe. Tant du côté américain que du côté européen, on se félicite de ce nouveau cadre légal après des années d'incertitude. La Commission européenne prévoit d'examiner à intervalles réguliers l'adéquation du cadre réglementaire afin de déterminer s'il définit toujours un cadre adéquat de protection des données équivalent au RGPD[19].
Contestation de l'accord
modifierLe député Modem Philippe Latombe a déposé un recours le 7 septembre 2023 devant la Cour de justice de l'Union européenne contre l'accord transatlantique. Il lui reproche de ne toujours pas respecter les droits des citoyens européens quant à la protection des données personnelles[20]. Selon Philippe Latombe, il y a toujours une incompatibilité entre le RGPD et la pratique américaine qui privilégie le droit des états par rapport au droit des citoyens. Ainsi des textes américains comme le CLOUD Act ou la loi FISA sont particulièrement pointés du doigt car ils permettent la surveillance de masse au nom de la sécurité nationale[21],[22].
En octobre 2023 la cour a rejeté sa demande pour argumentation insuffisante[23].
Articles connexes
modifierDocumentation
modifierNotes et références
modifierRéférences
modifier- « Déclaration conjointe de la Commission européenne et des États-Unis sur le cadre transatlantique de protection des données personnelles » , Commission Européenne, (consulté le )
- « Déclaration du CEPD » , CNIL, (consulté le )
- Julien Lausson, « Les Cnil de l’UE accueillent avec prudence le plan pour transférer les données vers les USA » , Numerama, (consulté le )
- Florian Dèbes, « Accord surprise sur le transfert des données personnelles entre l'Europe et les Etats-Unis » , Les Échos, (consulté le )
- Florian Dèbes, « Transfert de données : les dessous d'une négociation » , La Tribune, (consulté le )
- Valérie Chavanne, « Joe Biden signe le décret présidentiel "Enhancing Safeguards For United States Signals Intelligence Activities" : vers un rétablissement pérenne des transferts transatlantiques de données » , Journal du Net, (consulté le )
- (en) « Executive order on Enhancing Safeguards for United States Signals Intelligence Activities », US Government, (consulté le )
- Ingrid Vergara, « Transfert des données avec l'Europe : les États-Unis présentent les nouvelles règles de l'accord » , Le Figaro, (consulté le )
- Fabienne Schmitt, « Transfert des données : l'Europe et les Etats-Unis parachèvent leur bouclier » , Les Échos, (consulté le )
- Sylvain Rolland, « Transferts de données aux Etats-Unis : l'UE fait un pas de plus vers un accord très incertain » , La Tribune, (consulté le )
- Stéphanie Bascou, « Transfert de données transatlantique : Les États-Unis n’apporteront pas de garanties supplémentaires aux Européens » , 01 Net, (consulté le )
- Jacques Cheminat, « Le Data Privacy Framework entériné et déjà contesté » , Le Monde Informatique, (consulté le )
- Charlotte Trueman, « Data Privacy Framework, un accord juridiquement et politiquement fragile » , Le Monde Informatique, (consulté le )
- (en) « EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain » , EDBP, (consulté le )
- Luca Bertuzzi, « Les eurodéputés demandent une renégociation du cadre de transfert de données entre l’UE et les États-Unis » , Euractiv, (consulté le )
- (en) Jude Karabus, « Privacy Framework draft isn't 'future-proof', say MEPs » , The Register, (consulté le )
- « Telex : Le Data Privacy Framework en bonne voie, IBM ferme son cloud pour l'éducation, GPT-4 disponible pour tous » , Le Monde Informatique, (consulté le )
- Nicolas Lellouche, « Transfert de données : ce que change l’accord entre l’Europe et les États-Unis » , Numerama, (consulté le )
- Julia Tar, « RGPD : la Commission européenne adopte un cadre de transfert de données avec les États-Unis » , Euractiv, (consulté le )
- Aurélien Defer, « Le député Philippe Latombe dépose un recours contre le Data Privacy Framework qui lie l'UE et les Etats-Unis » , L'Usine Digitale, (consulté le )
- Sylvain Rolland, « Souveraineté numérique : le coup de poker du député Philippe Latombe pour torpiller les transferts de données vers les Etats-Unis » , La Tribune, (consulté le )
- Théo Janvier, « Philippe Latombe (Assemblée Nationale) "Avec le Data Privacy Framework, un citoyen européen a moins de droits que le citoyen américain " » , Journal Du Net, (consulté le )
- « Le député Philippe Latombe débouté par la CUEJ pour la suspension du transfert des données » , Stratégies, (consulté le )