Data privacy Framework : un accord qui passe difficilement en Europe
Le 10 juillet, la Commission européenne a décidé de valider la décision d’adéquation concernant le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework). Un accord bien accueilli par les fournisseurs américains, synonyme de prudence pour d’autres et déjà combattu par Max Shrems.
Troisième round. Après un accord de principe signé le 25 mars 2022, pour donner suite au décret présidentiel américain (EO14086) publié le 7 octobre 2022, et à l’engagement mis en œuvre le 3 juillet 2023 par le secrétaire d’Etat au commerce américain, la Commission Européenne convient que les « États-Unis garantissent un niveau de protection adéquat – comparable à celui de l'Union européenne – pour les données à caractère personnel transférées de l'UE vers des entreprises américaines ».
Selon le texte de 137 pages, ces transferts de données pourraient se faire « en toute sécurité de l'UE vers des entreprises américaines participant au cadre », sans nécessité de « mettre en place des garanties supplémentaires en matière de protection des données ».
Pour rappel, les précédents accords transatlantiques de transferts de données, le Safe Harbor et le Privacy Shield, avaient été invalidés par la Cour de justice de l’Union Européenne (CJUE) en 2015 et 2020 après les interventions de l’étudiant en droit devenu avocat, Maximilian Shrems.
Les « garanties » apportées par le Data Privacy Framework
Selon la CE, ce cadre de protection des données « 3.0 » introduirait de « nouvelles garanties contraignantes » qui répondraient aux « préoccupations soulevées par la CJUE ».
Les personnes habitants dans l’UE bénéficient de nouveaux droits, comme l’accès aux données, la rectification, la suppression de données inexactes ou traitées illégalement.
L’accès aux données de citoyens européens hébergées sur les instances des géants du Web par les renseignements américains seraient désormais limités « à ce qui est nécessaire et proportionné pour la sécurité nationale » des États-Unis.
De plus, le gouvernement américain s’engage à renforcer le contrôle des activités de ses services de renseignement « afin de garantir le respect des limitations applicables aux activités de surveillance ».
En cas de litige, l’accord prévoit « un mécanisme de recours indépendant et impartial », selon la Commission européenne.
Les personnes pourront déposer une réclamation auprès de l’autorité locale de protection des données, comme la CNIL en France, qui fera suivre la demande auprès du « délégué à la protection des libertés civiles » de la communauté américaine du renseignement.
Si la demande est refusée, un recours peut être déposé auprès d’une Cour américaine chargée du contrôle de la protection des données (DPRC), « composée de membres extérieurs au gouvernement » américain. En cas d’une violation avérée du décret présidentiel américain, cette DPRC pourra prendre « des décisions correctives » comme la suppression des données. Un avocat « spécial » sera nommé pour représenter le plaignant.
Un accueil mitigé
« C'est avec un certain soulagement que les membres de l'AFCDP ont pris connaissance de la décision de la Commission européenne de reconnaître l'adéquation des États-Unis pour les transferts de données personnelles, avec le nouveau "Cadre de protection des données personnelles" », affirme Patrick Blum, Délégué Général de l'Association Françaises des Correspondants à la protection des Données à caractère Personnel.
« Cette décision est propre à permettre et simplifier les processus qui s'appuient sur de tels transferts », ajoute-t-il.
De son côté, AWS avait « salué » l’accord de principe signé en mars 2023 en indiquant qu’il s’engagerait à « procéder à la certification conformément au cadre de protection des données dès son adoption ». « Nous attendons avec impatience que nos clients et leurs utilisateurs finaux bénéficient des nouvelles garanties » écrivaient Mickael Punke, vice-président Global AWS Public Policy chez Amazon, en avril dernier.
Pour Drew Bagley, Vice-président & Counsel, Privacy and Cyber Policy chez Crowdstrike, le Data Privacy Framework « est une avancée positive dans le cadre de la protection des individus et des entreprises contre les cybermenaces sur les deux rives de l’Atlantique ».
Pour autant, l’annonce ne répondrait pas aux craintes des fournisseurs de services de cloud souverain.
« En ce qui concerne l’immunité aux lois extraterritoriales américaines, c’est bien de permettre aux entreprises de sortir du flou juridique. Mais en sommes-nous vraiment sortis ? », s’interroge pour sa part Sébastien Lescop, Directeur général de Cloud Temple.
Jérôme Valat, cofondateur de Cleyrop, un data hub européen va plus en se rangeant à l’avis de NOYB (None of Your Business), l’association dirigée par Max Schrems.
« La Commission européenne ne fait malheureusement que repousser le problème sans mettre fin à l’incertitude juridique pour de nombreuses entreprises », écrit-il dans un commentaire envoyé à la presse. « Pas de surprise, pas de suspense. Nous repartons pour 2 ans de procédure dont on connait déjà l’issue : une invalidation, pour la troisième fois, par la Cour de justice [européenne] ».
Des craintes entourent le FISA Act
D’après Noyb, ce UE-US Privacy Data Framework apporte « quelques améliorations mineures », par l’intermédiaire « d’astuces » pour réintroduire des mécanismes déjà présents dans le Privacy Shield.
L’association assure que, encore une fois, le plaignant « n’aura aucune interaction directe avec les nouveaux organes », à savoir le délégué et la Cour. L’association pointe du doigt le fait que le décret EO14086 définit expressément pour le compte du délégué les réponses à apporter à une demande auprès d’une autorité de protection des données d’un pays européen. Celui-ci pourra écrire « sans confirmer ou infirmer que le plaignant a fait l’objet d’activités de renseignement d’origine électromagnétique de la part des États-Unis » que :
- « l’examen n’a pas identifié de violations couvertes » ou ;
- « le délégué de la protection des libertés civiles au bureau du directeur du renseignement national a émis une décision exigeant des mesures correctives appropriées ».
« Ce mécanisme pose de nombreux autres problèmes, qui garantiront dans une large mesure que les plaintes ne seront même pas admises », anticipe Noyb.
Le véritable problème, selon l’association présidée par Max Schrems tient dans le fait que « le décret 14086 déclare que la surveillance de masse prévue par la loi FISA 702 est "proportionnée" en vertu d'une "interprétation américaine" non divulguée du terme et contrairement aux deux conclusions de la CJUE ».
Introduit en 2008, l’article 702 du Foreign Intelligence Surveillance Act permet au gouvernement américain et à ses agences des « surveillances ciblées » des communications électroniques des étrangers à l’étranger. Si le CLOUD Act est souvent mis en avant, c’est bien le FISA Act qui pose un véritable problème d’accès aux données des citoyens européens. Le CLOUD Act implique l’avis d’un juge et une notification de l’intéressé, le FISA Act ne prévoit pas de telles mesures.
Or le titre VII (qui comprend tous les articles 70X du FISA Act) doit expirer le 31 décembre 2023, ce que l’Administration Biden ne souhaite pas. Selon Associated Press, le président américain « tente de convaincre les membres du Congrès que de renouveler la loi » en ne mettant plus uniquement sur la table l’argument de la lutte contre le terrorisme (moins populaire qu’auparavant aux yeux de l’opinion publique américaine), mais aussi celui des luttes contre le trafic de drogues et les cyberattaques.
Toujours d’après AP, les agents utilisent également, parfois à tort, la section 702 dans le cadre d’enquêtes concernant des citoyens américains sans mandat, évitant ainsi de les mettre en alerte.
« Tout comme le Privacy Shield, le dernier accord n'est pas basé sur des changements matériels, mais sur des intérêts politiques », avance Max Shrems. « Une fois de plus, la Commission actuelle semble penser que le gâchis sera le problème de la prochaine Commission. FISA 702 doit être prolongé par les Etats-Unis cette année, mais avec l'annonce du nouvel accord, l'UE a perdu tout pouvoir pour obtenir une réforme de FISA 702 », ajoute-t-il.
Max Shrems prévoit déjà un recours auprès de la CJUE
Selon Noyb, « le recours devant la CJUE est prêt à être déposé ». L’association espère ainsi obtenir une troisième invalidation de l’accord transatlantique, déjà nommé Schrems III par les internautes. Une procédure pouvant durer deux ans.
Dans son avis publié le 28 février 2023, même s’il saluait les améliorations apportées par l’EU-US Data Privacy Framework, le Comité européen de la protection des données (CEPD) se disait « préoccupé par l'absence d'exigence d'autorisation préalable par une autorité indépendante pour la collecte de données en vrac au titre du décret 12333, ainsi que par l'absence de contrôle indépendant systématique a posteriori par un tribunal ou un organe indépendant équivalent ».
Le décret 12333 définit la manière dont la NSA « conserve, analyse et diffuse des informations sur les renseignements étrangers ».
« Les membres de l'AFCDP restent prudents : la décision de la Commission, prise malgré l'opposition du Parlement européen et les importantes réserves formulées par le CEPD, consultés pour avis, est en effet très politique et sans doute peu robuste sur le plan juridique », signale Patrick Blum.
« Le soulagement pourrait donc n'être que de courte durée », ajoute-t-il. « L'AFCDP recommande de faire preuve de prudence dans le recours à ce Safe Harbor v3 ».
Pour approfondir sur Réglementations et Souveraineté
-
Espionnage économique par l’IT : les États-Unis renforcent FISA, l’Europe réagira-t-elle ?
-
DMA : des membres du Congrès américain craignent pour la compétitivité des géants du cloud
-
Contrôle des données dans Workspace : Google précise son calendrier
-
Oodrive : le temps de la croissance, la fin de l’innocence