Un « coup » « de poker », « salutaire », « couillu », voire « désespéré » : voici comment était commenté le recours du député français Philippe Latombe contre le nouveau « Privacy shield », quelques heures après la publication de son communiqué. Jeudi 7 septembre, on apprenait que l’élu du MoDem avait initié une procédure contre l’accord sur le transfert de données de l’Europe vers les États-Unis, appelé le « Data Privacy Framework », ou « DPF ». Le Parlementaire est revenu, auprès de 01net, sur sa décision de porter, le tout premier, un « coup » au texte. Le DPF permet aux géants du numérique américains comme Amazon, Google ou Meta, la maison mère de Facebook, Instagram et WhatsApp, de transférer nos données personnelles et celles de tous les Européens aux États-Unis.
La Commission européenne l’avait officialisé le 10 juillet dernier, malgré l’inquiétude des associations et les réserves du Parlement européen et des CNILS européennes, dont les avis ne sont que consultatifs.
Le nouvel accord, « une copie conforme du “Privacy Shield”»
Pourquoi ce recours ? Parce que le DPF, qui remplace après deux ans de vide juridique le « Privacy Shield » « est une copie conforme de cet accord précédent », estime le député. Le « Privacy Shield » avait été invalidé par la Cour de justice de l’Union européenne (CJUE) en 2020. Ce texte succédait lui -même au « Safe Harbor », un accord aussi retoqué par la même cour en 2015.
À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Et pour le Parlementaire, le DPF devrait suivre le même chemin : il sera certainement invalidé par les juges européens. Le problème est qu’« il faudra bien deux ans, au mieux 18 mois, pour que le nouveau texte arrive devant la Cour de justice de l’UE », déplore l’homme politique français. Max Schrems, le fondateur de NOYB, l’association autrichienne à l’origine des deux premières « invalidations », a d’ores-et-déjà expliqué qu’il contesterait le DPF devant la CJUE. Comment ? Concrètement, « il va trouver une entreprise qui, selon lui, transfère des données d’Autrichiens aux États-Unis en appliquant le DPF. Il va saisir la justice de son propre pays, l’Autriche, et demander au juge autrichien d’émettre une question préjudicielle à la Cour de justice de l’UE », déroule l’élu.
Un « véritable préjudice pour les citoyens européens »
Cette procédure permet à un juge national de poser une question sur le droit européen au juge européen – question qui pourrait être, ici, le DPF protège-t-il suffisamment les citoyens européens ? « Ensuite, il faut que la Cour de justice y réponde », souligne Philippe Latombe. Ce qui, en pratique, va nécessiter des mois de procédure, autant de temps perdu « qui permettra aux entreprises américaines de s’engouffrer sur le marché », poursuit-il. De quoi constituer « un véritable préjudice pour les citoyens européens ».
Et si le quadragénaire a déjà exprimé son désaccord à propos de ce « Data Privacy Framework » , que pouvait-il faire de plus, en tant qu’homme politique français, une fois que le texte, décidé au niveau européen, était officiel ? C’est en consultant des juristes et des avocats que l’idée lui serait venue de « tenter le coup », résume celui qui se décrit comme « un porte-étendard ». Ce coup, c’est un recours qui « n’a jamais été fait auparavant ». Le député, aussi commissaire de la CNIL, explique agir, à titre individuel, sur le fondement d’un article du Traité sur le fonctionnement de l’UE (TFUE). L’article 263, alinéa 4 du TFUE, permet aux citoyens européens d’attaquer une décision de la Commission européenne, en formant un recours en annulation contre « les actes réglementaires qui les concernent directement et qui ne comportent pas de mesures d’exécution ». Et justement, le nouvel accord, le DPF, cocherait toutes les cases, veut croire le député.
Une procédure plus rapide, mais pas forcément recevable
L’avantage est que ce recours serait plus rapide que la procédure classique qu’initiera Max Schrems. L’inconvénient est que le député sera le premier à l’essayer. Il n’est donc pas certain que sa procédure soit recevable.
Concrètement, « on demande directement au tribunal de l’Union européenne de se prononcer. Et je n’ai pas besoin de trouver un cas particulier – une entreprise qui enverrait des données aux États-Unis. Je n’ai pas non plus besoin de faire un recours juridictionnel dans mon pays », souligne-t-il. Le député de Vendée demande aussi un « sursis, la suspension du DPF le temps qu’on examine le dossier, au fond ». Car le nouveau cadre juridique pourrait s’appliquer dès le 10 octobre, trois mois après son officialisation. Durant cette période, les entreprises qui souhaitent transférer les données des Européens aux États-Unis doivent réaliser une auto-certification.
L’idée est de dire : « Attendez, mettez le pied sur le frein, on examine le texte au fond, on ne laisse pas passer la date du 10 octobre, parce qu’une donnée, quand elle est partie aux États-Unis, elle est traitée – sans garantie de mes droits. En fait, je ne la reverrai jamais, ma donnée. J’aurais perdu mes droits », insiste l’élu.
Les données des Européens, une fois aux États-Unis, ne sont plus protégées
De quoi est-il question ici ? L’homme politique estime que nos données, une fois aux États-Unis, ne sont pas assez protégées – un avis partagé par le Parlement européen, les CNILs européennes, et des associations comme NOYB ou la Quadrature du Net, entre autres. Lorsque l’on publie des stories sur Instagram, que l’on effectue des recherches sur Google Research, ou que l’on donne son avis sur un produit acheté sur Amazon, des données sur nos centres d’intérêt, sur nos habitudes, notre pouvoir d’achat ou notre localisation sont récupérées par les géants américains. Ces dernières finissent aux États-Unis, où elles ne sont pas autant protégées qu’en Europe.
À lire aussi : Transfert de données transatlantique : Les États-Unis n’apporteront pas de garanties supplémentaires aux Européens
Les services secrets américains y ont notamment accès, en masse, en vertu d’une loi locale, la section 702. Ce texte autorise un accès massif et sans distinction aux données personnelles des Européens par le Renseignement américain. Or, Bruxelles impose, pour tout transfert de nos données vers d’autres pays, que la règle suivante soit respectée : la protection de nos data (couvertes notamment par le RGPD, le Règlement européen sur les données personnelles) dans le pays de destination (donc les États-Unis) doit être équivalente à celle qui existe en Europe.
Un décalage désormais comblé, selon Bruxelles
Et par deux fois, les juges européens ont estimé, en 2015 et en 2020, que ce n’était pas le cas. Le cadre juridique américain ne protège pas assez les Européens, écrivaient les juges qui relevaient des « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». Ce constat appartiendrait désormais au passé, puisque ce « décalage » serait compensé, selon la Commission. Le commissaire européen à la justice, Didier Reynders, expliquait notamment lors de la conférence de presse du 10 juillet que l’UE avait « obtenu des progrès considérables qui répondent aux exigences de la Cour européenne de justice. Le nouveau cadre (du DPF) est bien différent de ce qu’on connaissait sous le “Privacy Shield” ».
Cette protection est, pourtant, toujours insuffisante, tacle Philippe Latombe, listant des arguments qui « ont déjà été développés par pas mal d’universitaires et de spécialistes du sujet ». Parmi eux, « les recours (contre le fait que les services secrets américains accèdent par exemple à mes e-mails ou à mes appels téléphoniques, ndlr) ne sont pas détaillés mais automatisés, vous pouvez vous plaindre auprès des Américains et ils vont vous dire, vous avez raison ou vous avez tort, sans expliquer pourquoi ». De même, les juges « d’appel » mis en place par les Américains – pour trancher les litiges en matière d’accès aux données et de respect par le Renseignement américain de la vie privée – ne seraient pas vraiment indépendants. Les membres de la Data Protection Review Court (DPRC) « dépendent directement du ministre de la Justice américain, en étant directement sous sa responsabilité ». Enfin, le président des États-Unis « peut modifier le critère de surveillance et d’autorisation de collecte des données (des Européens) pour les services de renseignement de façon secrète, sans en informer personne », relève-t-il.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
« Si ça ne marche pas, il faudra attendre la procédure de Max Schrems »
L’homme politique a-t-il trouvé des soutiens dans l’Union européenne, hormis Max Schrems et son association NOYB ? S’il confie « avoir du monde derrière lui, des avocats, des juristes, des DPO (des délégués à la protection des données, chargés de la protection des données personnelles au sein d’une organisation, ndlr)», côté Eurodéputés, il ne s’attend à rien. Le Parlement européen a certes publié un avis réservé sur le nouvel accord. « Mais il n’a pas voté une résolution disant au Président du Parlement, dès que le Data Privacy Framework est publié, vous saisissez la Cour de justice », regrette-t-il.
Désormais, son recours en annulation est initié. « Maintenant, on va voir. La question c’est : est-ce que je suis recevable sur cette procédure ? », s’interroge-t-il. « Moi, je tente le coup », ajoute-t-il. « Si c’est recevable, tant mieux. Ce sera la première étape. Si c’est pas recevable, tant pis. Si ça ne marche pas, il faudra attendre la procédure de Max Schrems ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
