Le 10 juillet 2023, la Commission Européenne a adopté la décision d'adéquation de transfert de données entre Etats-Unis et Union Européenne. Etat des lieux et perspectives.

Publié le 12 juillet 2023

Ainsi donc, nous y sommes. Après un long processus débuté le 25 mars 2022, la décision d'adéquation relative aux transferts de données entre Etats-Unis et Union Européenne a été officialisée ce 10 juillet 2023. Nos lecteurs le savent : nous avons suivi pas à pas ce processus, qui fait voler en éclats l'arrêt dit "Schrems II" du 16 juillet 2020, et à cette occasion notre protection et notre droit à la vie privée, c'est du moins notre opinion.

Malgré les sérieuses réserves émises par le Comité Européen de Protection des données (CEPD), la Commission Européenne a dit oui.

Malgré le "non" catégorique et cinglant de la commission des libertés civiles du Parlement Européen, entériné au vote du Parlement, la Commission Européenne a dit oui.

Malgré la remise en cause de la section 702 de la loi portant sur les services de renseignement américains (Foreign Intelligence Service Act : FISA 702) par certains citoyens et politiques américains eux-mêmes, et dont le renouvellement doit être approuvé par le congrès avant la fin de cette année, la Commission Européenne, passant totalement à côté de l'opportunité, a dit oui.

Au nom du gaz et du business, au nom des sept mille milliards de dollars de volume de marché que cela représente.

On rappelle ici la chronologie des événements :

 

25 mars 2022 :

Joe Biden et Ursula von der Leyen annoncent conjointement que l'Union Européenne et les Etats-Unis sont parvenus à un accord politique sur les transferts internationaux de données, accord qui "permettra des flux de données prévisibles et dignes de confiance entre l’UE et les États-Unis, tout en préservant la vie privée et les libertés civiles.", fin de citation d'Ursula von der Leyen à cette occasion.

7 octobre 2022 :

les USA émettent en ce sens un décret ("Executive Order", ou "EO") qui entend apporter de nouvelles garanties à la protection des données personnelles d'européens hébergées par des moyens US : il s'agit de l'EO 14086.

13 décembre 2022 :

la commission européenne prend acte de l'émission de l'EO 14086, et lance le processus d'adoption de la décision d'adéquation relative aux transferts de données EU / US.

 

14 février 2023 :

La commission des libertés civiles du parlement Européen émet un projet de résolution rejetant en bloc la décision d'adéquation et demande à la commission européenne de ne pas l'adopter ; elle fait part de son avis à l'administration Biden. Cette résolution est adoptée au Parlement le 11 mai.

28 février 2023 :

le Comité européen à la protection des données (CEPD) rend son avis sur le projet de décision d’adéquation de la Commission européenne. Il "relève les améliorations apportées par le nouveau cadre juridique américain, mais indique que des préoccupations subsistent."
 

7 juillet 2023 :

les représentants des Etats membres de l'UE votent, à 24 voix pour et 3 abstentions (Autriche, Belgique et Slovénie), en faveur de l'adoption de la décision d'adéquation.

10 juillet 2023 :

La décision est adoptée et officialisée par la Commission Européenne.

L'Union Européenne considère donc adéquat l'application de l'EO 14086 en termes de protection de la vie privée. Le lecteur comprendra qu'il n'y a pas eu ici d'accord négocié entre parties, mais simplement la validation d'un texte unilatéralement promulgué par les Etats-Unis.
Cette décision est particulièrement conséquente, aussi avons-nous décidé d'en faire une lecture sous différents prismes (sans mauvais jeu de mots, pour les initiés).

 

La lecture politique

A notre sens, il s'agit là d'un magistral aveu de faiblesse, voire d'impuissance. C'est en tout état de cause un échec politique de la Commission européenne. De notre point de vue, le moins que l'on puisse dire est que les opportunités n'ont pas été saisies par un manque manifeste de vision politique.

D'abord parce que très peu de personnes ont voulu voir dans Schrems II une réelle opportunité. On va dire tout haut ce que la plupart des acteurs tant politiques qu'économiques ont pensé tout bas, et on lève les euphémismes : pour beaucoup, Schrems II n'a fait qu'emmerder le monde. Voilà qui est dit. C'est faire bien peu de cas de droits fondamentaux du citoyen, car en effet c'est bien pour cette raison que Schrems II a existé (et probablement existera à nouveau sous sa troisième forme). Ce qui est regrettable, c'est que chacun n'a voulu y voir que ce qui l'entravait : pas de flux de données, pas d'utilisation de solutions techno US si pratiques et performantes, et de surcroît gratuites, moins de rentabilité, etc.

Ainsi, au nom de cette vision à court terme et de la recherche de rentabilité immédiate, aussi bien politique qu'économique, on exulte de joie en s'imaginant que les affaires vont pouvoir sainement reprendre. Aussi trouvons-nous pertinent de se poser les questions suivantes :

Pouvons-nous réellement penser que ce nouveau cadre d'échange de données est de nature à aider l'Europe à gagner en autonomie dans sa techno, ou allons-nous continuer d'atrophier notre (non pas souveraineté, car ce mot devient galvaudé) "moindre-dépendance", ou notre résilience, pour employer un terme qu'affectionne Tariq Krim et dont nous partageons l'idée, dans le domaine ? A l'heure où cette même Commission Européenne évoque de façon très sérieuse le "démantèlement" de Google , comment envisager une cohérence politique de cette même Commission qui a simplement dit "oui" en dépit des réserves plus ou moins modérées qu'ont exprimées certaines institutions européennes ?

Pensons-nous que l'ensemble de notre population va se réjouir de savoir qu'il y a désormais une sérieuse entrave levée pour que nos données continuent d'être hébergées chez Amazon via Doctolib ou chez Microsoft via le Health Data Hub (HDH) (i.e. nos données médicales), pour ne citer que ces exemples ?

Alors oui, Schrems II pouvait être perçu comme une entrave, mais accessoirement, cet arrêt aurait surtout pu constituer le socle juridique qui aurait permis et contraint l'Europe à réveiller sa techno et commencer à la développer de façon significative ; nous sommes à ce titre atterrés d'entendre les discours de satisfecit à l'ultra dépendance vers laquelle nous sommes en train de courir.

Zéro vision, zéro anticipation, zéro prospective, mais on réalise ce pitoyable constat : c'est une fois encore la société civile qui sauve les nations européennes d'elles-mêmes. Sur ces aspects, le politique a démissionné. Il n'y a du reste pas de politique : il y a plus que des gestionnaires.

Mais ce n'est pas grave : y'a du gaz...

Les acteurs politiques et économiques sont-ils en mesure d'évaluer la masse de data hébergée en europe comparée aux Etats-Unis ? Trouvent-ils ce constat pleinement satisfaisant, et surtout pensent-ils que le DPF va être de nature à changer cette situation ou au contraire potentialiser ce terrible déséquilibre ? Est-il encore besoin de rappeler l'importance de la data ? On les renvoie à cette excellente intervention de Benjamin Bayart visionnable sur ce lien (Attention : lien vers Youtube)

A notre sens, la souveraineté numérique ne se souhaite pas : elle se désire ardemment ; elle se conquiert. Elle est forcément coûteuse pour le politique, pour les entreprises, pour les acteurs européens que nous sommes. Le nouveau Data Privacy Framework (DPF) nous coûtera bien plus cher sur le long terme, si tant est que l'on veuille un jour mieux gérer nos dépendances techno. Le moins que l'on puisse dire, c'est que le compte n'y est pas.

Les Etats-Unis ont gagné une bataille importante de la donnée. Une tragédie.

 

La lecture juridique

Nous allons nous attarder sur le fameux décret américain publié le 7 octobre 2022 par Joe Biden (Executive Order 14086) : c'est ce décret qui, examiné par les instances européennes, fait l'objet de la décision d'adéquation. Le lecteur pourra en retrouver l'intégralité sur cette page. De façon générale, ce décret prétend combler (entre autres) deux lacunes majeures que présentait le "Privacy Shield" :

- l'absence de notion de proportionnalité et de nécessité dans la collecte de données par les services de renseignement américain,
- la faiblesse dans les possibilités de recours pour un citoyen non américain.

Quels sont les points qui nous préoccupent dans ce décret ?

1 - Justement, c'est un décret

La forme juridique du texte interroge, et fait partie des premiers points d'achoppement avec la Commission des Libertés Civiles du Parlement Européen (LIBE). Juan Lopez Aguilar, Président de cette commission, a parfaitement synthétisé les difficultés liées à la forme même du texte à l'occasion de la présentation de la résolution LIBE. Citation en langue originale : "[EO 14086] (...) which can be overruled, or changed, by any other President of the United States, anytime." Dans la mesure où l'on évoque un décret, il faut comprendre effectivement que celui-ci est modifiable et annulable à loisir, de façon, une fois encore, unilatérale. On peut émettre de sérieux doutes sur l'avenir : si ce décret venait à être très défavorablement modifié dans un futur proche pour les citoyens européens, quel recours aura l'Union pour s'y opposer ? Quand bien même, combien de temps cela prendra-t-il avant une hypothétique mise en place de mesures protectrices effectives ?

Car non seulement ce texte peut être modifié à loisir, mais encore cela est-il déjà prévu dans le décret en lui même :
 

Section 2 Activités de renseignement électromagnétique, (b) Objectifs, (i) Objectifs légitimes, para (B)

Le président peut autoriser des mises à jour de la liste des objectifs à la lumière de nouveaux impératifs de sécurité nationale, tels que des menaces nouvelles ou accrues pour la sécurité nationale des États-Unis, pour lesquelles le président détermine que les activités de collecte de renseignements électromagnétiques peuvent être utilisées. Le directeur du renseignement national (directeur) publiera publiquement toute mise à jour de la liste des objectifs autorisés par le président, à moins que le président ne détermine que cela poserait un risque pour la sécurité nationale des États-Unis.

 

Ainsi, non seulement la liste des objectifs est modifiable, mais encore peut-elle être en toute légalité ne pas être publiée ou communiquée. Si l'on comprend bien que cette absence de publication peut parfaitement répondre à un motif légitime, elle n'en reste pas moins un choix à la merci du seul Président. Il faut donc garder à l'esprit que ce qui est considéré comme adéquat aujourd'hui peut très bien ne plus l'être demain, sans aucun moyen de défense, ou si peu.

2 - La collecte des données en elle-même

Ce sujet précis nous est particulièrement difficile à objectiver. Pourquoi ? Parce qu'on observe une différence entre ce qu'énonce l'EO stricto sensu, ou du moins ce qu'il laisse supposer compte tenu de son imprécision (reprochée du reste par le CEPD), et la réalité des faits, qui semble paradoxalement plus rassurante sur certains points.

 

Nous avons dans un premier temps rédigé un article se focalisant essentiellement sur l'EO en lui-même. A cette occasion, dans une première version de cet article, nous avons cité Jean-Marc Manach, journaliste indépendant, qui a écrit un excellent billet sur le sujet dans Nextinpact, consultable en accès libre ici, et dont nous vous recommandons chaudement la lecture au regard de sa qualité. Il a au demeurant également rédigé un article tout récent sur la décision d'adéquation, dont nous conseillons également la lecture. Par correction, et dans la mesure où nous le citions, nous lui avons présenté un premier jet de cet article ; il a pris le temps de le lire et d'y apporter son opinion sur plusieurs points. Nous tenons ici à l'en remercier vivement. Nous considérons les points de vue qu'il a bien voulu partager précieux pour le lecteur ; on considère que son expérience et ses travaux en la matière font référence.

 

L'article de Jean-Marc Manach cité en premier tend à réduire les fantasmes que chacun peut émettre au sujet de la collecte de données en masse (on conserve ce terme en dépit des explications précises indiquées dans l'article, l'auteur préférant évoquer une collecte "en vrac" ; nous allons en expliquer ses raisons) réalisée par les services de renseignement américains.

Pourquoi parler de collecte en vrac ? Parce que l'auteur considère qu'il existe une forme d'exagération paranoïde de l'idée commune de ce qu'est la collecte de données "multiple et indifférenciée" (pour n'employer ni le vocable "en masse", ni "en vrac"). Car si pour ce qui concerne l'Adtech, on peut de façon très limpide évoquer non pas une collecte de masse, mais bien une collecte ultra massive de données personnelles, rien ne nous prouve qu'il en va de même pour ce qui concerne les services de renseignements US. On peut dire sans se tromper que Jean Marc Manach a pour le moins creusé le sujet.

Pour commencer, les motifs de cette collecte sont limités et semblent légitimes. Mais, sans vouloir travestir l'esprit de l'article, on se permet d'y apporter quelques positions. Que l'auteur nous en pardonne.

Qui décide de collecter massivement des données, dans quels cas, et qui est concerné par cette collecte ?

Pour ce qui concerne les décideurs, la réponse est plutôt générique : on évoque un "élément de la communauté du renseignement". Si l'on conçoit bien que cet élément n'est certainement pas "Private Tartempion from CIA", on peut observer qu'aucune autorité contradictoire ne supervise la prise de décision, au regard de l'EO du moins, car Jean-Marc Manach a réagi sur ce point en évoquant notamment le système de contrôle bureaucratique des services de renseignement US qui existait en 2017, qu'il qualifie dans son style (qu'on affectionne au passage) "d'armée mexicaine de sous-comités". Le détail en est fourni dans cet article du journal Libération qu'il a écrit, en accès libre. Bien que n'ayant pas d'éléments actuels, il y a toutes les raisons de penser que cette armée mexicaine est toujours en place, ou du moins qu'elle n'a pas complètement disparu.

 

Le contexte dans lequel une collecte en masse se réalise est défini par la section 2(c)(ii). Dans l'article de J.M. Manach, l'auteur évoque notamment ce que Michael Hayden, ancien directeur de la CIA et de la NSA, a déclaré, expliquant que la majeure partie des données collectées ne sont pas exploitées, ce qui paraît effectivement très vraisemblable. En revanche, stricto sensu, la liste des catégories citées dans l'article (et que nous citons à nouveau ci-dessous dans le texte original traduit), ne concerne que l'EXPLOITATION des données collectées, ET NON LEUR COLLECTE EN ELLE-MEME, comme le précise le paragraphe (A). La collecte , elle, concerne bien les "éléments de priorité validés". Nous avons encadré de trois astérisques les passages sur lequel toute l'attention du lecteur doit être portée.

Section 2 Activités de renseignement électromagnétique, (c) Protection de la vie privée et des libertés civiles, (ii) Collecte en masse de renseignements électromagnétiques.

(A) La collecte ciblée doit être priorisée. La collecte massive de renseignements électromagnétiques n'est autorisée que sur la base d'une décision - prise par un élément de la communauté du renseignement ou par l'intermédiaire d'un comité interinstitutions composé en tout ou en partie des chefs d'éléments de la communauté du renseignement, des chefs de département contenant de tels éléments , ou leurs délégués - *** selon laquelle les informations nécessaires pour faire avancer une priorité de renseignement validée ne peuvent raisonnablement pas être obtenues par une collecte ciblée. *** Lorsqu'il est déterminé qu'il est nécessaire *** de s'engager dans une collecte en masse afin de faire avancer une priorité de renseignement validée ***, l'élément de la communauté du renseignement applique des méthodes et des mesures techniques raisonnables afin de limiter les données collectées uniquement à ce qui est nécessaire pour faire avancer une priorité de renseignement validée. (...)

(B) Chaque élément de la communauté du renseignement qui collecte des renseignements électromagnétiques par le biais d'une collecte en masse *** ne doit utiliser *** (NDLR : et non collecter !) ces informations que dans la poursuite d'un ou plusieurs des objectifs suivants :
(1) la protection contre le terrorisme, la prise d'otages et la détention d'individus captifs (...)
(2) la protection contre l'espionnage, le sabotage, l'assassinat ou d'autres activités de renseignement (...)
(3) la protection contre les menaces liées au développement, à la possession ou à la prolifération d'armes de destruction massive ou de technologies et de menaces connexes (...)
(4) la protection contre les menaces de cybersécurité créées ou exploitées par, ou contre les cyberactivités malveillantes (...)
(5) protéger contre les menaces contre le personnel des États-Unis ou de ses alliés ou partenaire (...)
(6) la protection contre les menaces criminelles transnationales, y compris le financement illicite et le contournement des sanctions (...)

Les collectes ciblées

Elles sont loin d'être un épiphénomène. Jake Laperruque, directeur adjoint du projet de sécurité et de surveillance au Centre pour la démocratie et la technologie (CDT) à Washington, précise, dans l'un de ses récents articles portant sur la FISA 702, que les demandes ciblées s'élevait au nombre de 246 000 l'année dernière (Attention, ce nombre inclue l'ensemble des demandes ciblées). Celles-ci ne sont pas du reste sans lien avec les collectes en masse, et on se pose la question par ailleurs d'un type de collecte, non évoquée, rentrant dans le champ de la collecte ciblée, mais qu'on pourrait qualifier du point de vue du citoyen de "ciblée - très - élargie"
 

De qui les données sont-elles collectées ?

A titre d'exemple que nous trouvons parlant, il faut bien comprendre que dans le contexte décrit par ce décret, des contacts d'abonnés de réseaux sociaux peuvent ainsi faire l'objet d'une collecte (Réseaux sociaux dont on rappelle que la plupart sont américains, Tiktok excepté). Ainsi, pour les personnes possédant de gros comptes, privés ou professionnels, dont un ou plusieurs abonnés sont des personnes considérées comme sérieusement dangereuses pour la sécurité des Etats-Unis, des données peuvent très vraisemblablement être collectées via Facebook, Whatsapp, Instagram, Twitter, Linkedin, Pinterest, Twitch, etc. On considère donc que le fait d'être très rarement concerné par cette collecte n'est pas forcément si vrai que cela. En revanche, il faut rappeler, comme dit plus haut, que ces données ne seront pas pour autant exploitées systématiquement. Dans tous les cas, la conclusion reste la même : vous existez pour l'administration du renseignement américain.

 

Pendant combien de temps les données collectées en masse sont-elles conservées ?

l'EO 14086 se veut plutôt rassurant dans l'esprit, il faut le reconnaître. Mais sur ce point, le CEPD reste circonspect car effectivement, les termes employés sont peu précis. voici l'un des extrait de l'EO qui évoque ce point :

Section 2 : Activités de renseignement électromagnétique, (c) Protection de la vie privée et des libertés civiles , (ii) Collecte en masse de renseignements électromagnétiques, paragraphe (D):

(D) Afin de minimiser tout impact sur la vie privée et les libertés civiles, une activité ciblée de collecte de renseignements électromagnétiques qui utilise temporairement des données acquises sans discriminants (par exemple, sans identifiants spécifiques ou termes de sélection) doit être soumise aux garanties décrites dans la présente sous-section, sauf si ces données sont :

(1) utilisées uniquement pour soutenir la phase technique initiale de l'activité ciblée de collecte de renseignements électromagnétiques ;
(2) conservées uniquement pendant la courte période de temps nécessaire pour terminer cette phase ; et
(3) supprimées par la suite.

 

Combien de temps dure donc la "phase technique initiale" ? On peut raisonnablement estimer que, par manque de précision, celles-ci puissent être conservées sur une durée significative (sans pour autant être exploitées, rappelons-le encore une fois). De même, les jeux de données recueillis peuvent-ils être exploités pour une autre "priorité de renseignement" différente de la priorité initiale ? Nous n'avons pas trouvé d'éclaircissement sur ce point dans l'EO, et, de ce que l'on en comprend, le CEPD et LIBE non plus.

Pas de quoi sauter au plafond en termes de garanties, donc, pour un texte étranger que l'Europe dit trouver "adéquat". Rappelons, s'il en est besoin, que nous ne parlons pas d'un sujet pour lequel "les Français parlent aux Français", mais bien de l'approbation d'un comportement de "data-pique-assiette" d'une nation étrangère.

Ainsi, vous l'aurez compris, le sujet du transfert de données ne porte pas seulement sur l'entrave à l'échange qui impacte un marché colossal, mais surtout sur le respect des droits fondamentaux, sans oublier la notion de sûreté nationale des Etats membres de l'UE. Si les conséquences visibles et bassement concrètes se reportent sur l'utilisation de Google Analytics par exemple (et contre laquelle nous avons porté plainte), tout ce que nous venons de détailler montre bien (on l'espère du moins) que le sujet est bien moins économique qu'éminemment politique. On le redit : la Commission Européenne, sous pression, n'a volontairement pas envisagé la problématique sous cet angle, et cela est fort regrettable.

3 - Les voies de recours d'un éventuel plaignant

Comme déjà dit, la possibilité de recours par un citoyen européen est l'un des points qui a fait tomber le "Privacy Shield" à l'occasion de Schrems II. A cette fin, toute une section a donc été rédigée dans l'EO 14086 : la section 3. Mais pour commencer : comment un citoyen pourrait-il avoir connaissance de la collecte de ses données, surtout lorsque celle-ci s'est faite dans un contexte de collecte en masse ? L'ONG NOYB, tout comme LIBE, expriment leurs doutes quant à cette procédure. Nous partageons leur position en la matière. Explications.

Le bureau du Directeur du renseignement national américain est l'organisme qui reçoit la plainte, via les APD nationales ou le CEPD. Si un processus d'enquête initiale est décidé, l'officier de protection des droits civils (Civil Liberties Protection Officer : CLPO) est saisi. Problème : le CLPO est un haut-fonctionnaire dépendant du bureau du renseignement lui-même. Il n'existe donc dans cette procédure aucune intervention d'élément indépendant extérieur.
Une autre demande, en deuxième niveau, peut être néanmoins formulée par un plaignant : une demande d'examen par la Cour de révision de la protection des données. Si tel est le cas, une cour de révision est nommée, cette fois-ci par un organisme dépendant du ministère de la justice. On notera toutefois que là encore, cette cour est liée au pouvoir exécutif, et non judiciaire.

Quel que soit le niveau de plainte, il est bon de savoir que le plaignant aura, en tout et pour tout, deux types de réponses :

soit : "l'examen n'a identifié aucune violation couverte", ou bien :

"la Cour de révision de la protection des données a rendu une décision exigeant une réparation appropriée"

 

Il n'y aura en aucun cas confirmation ou infirmation de collecte de données. Quoi qu'il arrive, la plaignant devra se contenter de l'une de ces deux phrases, et de rien d'autre.

(H) Une fois qu'un examen est terminé en réponse à la demande d'examen d'un plaignant, le tribunal de révision de la protection des données, par le biais de procédures prescrites par les règlements du procureur général, informe le plaignant, par l'intermédiaire de l'autorité publique appropriée dans un État éligible et sans confirmation ni niant que le plaignant faisait l'objet d'activités de renseignement électromagnétique des États-Unis, que "l'examen n'a identifié aucune violation couverte ou que la Cour de révision de la protection des données a rendu une décision exigeant une réparation appropriée".

Jean-Marc Manach de son côté fait très justement observer qu'il se passe la même chose en France, dans une situation comparable. Et il sait de quoi il parle : il a lui-même formulé, en France, une réclamation qu'on peut considérer d'une certaine manière comme analogue. La réponse qui lui a été fournie par la CNIL est affichée en bandeau de son profil Twitter. Ce que nous déplorons déjà pour notre propre pays, nous le déplorons tout autant pour une nation étrangère.

 

4 - La notion de nécessité et de proportionnalité.

Bien qu'il s'agisse d'un sujet important, il nous est difficile de nous positionner sur ce thème, car cela nécessite à notre sens de profondes connaissances juridiques en la matière. Nous allons donc de façon simple exprimer la position de chacun. Factuellement, L'EO 14086 emploie bel et bien pour sa part les termes de nécessité et de proportionnalité. Le lecteur aura déjà relevé la notion de nécéssité dans une citaiton plus haut, pour ce qui concerne la proportionalité, le principal paragraphe qui l'évoque est le suivant :

section 2 :Activités de renseignement sur les transmissions, (a) Principes, paragraphe (B).

(B) les activités de renseignement électromagnétique ne sont menées que dans la mesure et d'une manière qui sont proportionnées à la priorité de renseignement validée pour laquelle elles ont été autorisées, dans le but d'atteindre un juste équilibre entre l'importance de la priorité de renseignement validée et l'impact sur la vie privée et les libertés civiles de toutes les personnes, quelle que soit leur nationalité ou leur lieu de résidence.
NOYB et LIBE, de leur côté, estiment que la notion de proportionnalité évoquée dans l'EO ne correspond pas à la notion européenne, décrite notamment dans l'article 52 de la Charte européenne des droits fondamentaux ; le CEPD, pour sa part, salue l'introduction de ces notions, sans guère plus de commentaires. Il est clair que ce sujet fera partie des items de plainte à venir déposé par NOYB ; la Cour de Justice de l'Union Européenne (CJUE) tranchera très certainement de façon étayée sur le sujet en cas de plainte déposée (ce à quoi il faut s'attendre).

La lecture "tech" : Google Analytics and co : c'est reparti pour un tour !

De façon plus concrète, ce qui était jugé non conforme au RGPD il y a peu va désormais être reconsidéré. Ainsi, pour prendre un exemple qui fut emblématique, l'utilisation de Google Analytics tel quel par des éditeurs européens va (re)passer du domaine de l'illicite au licite, ainsi que la CNIL le précise sur sa page :

Par cette décision, la Commission décide que les modifications apportées par les États-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat des données personnelles transférées de l'UE vers les organisations situées aux États-Unis lorsqu’ils font la démarche de respecter ce nouveau « cadre de protection des données ». La liste de ces organismes est gérée et sera prochainement rendue publique par le ministère américain du commerce.

Les transferts de données personnelles depuis l'Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert.

Il n'aura pas échappé au lecteur que cette liste du DPF est "gérée" par le ministère américain du commerce. A notre connaissance, il n'existe donc à ce stade aucune notion de contre-vérification par quelque autorité de contrôle européenne que ce soit. L'unilatéralisme devient décidément la norme en la matière.

De ce que l'on peut donc comprendre, l'inscription seule au DPF sera suffisante pour que les transferts vers les Etats-Unis deviennent licites. Mais si tel n'est pas le cas, il existe une roue de secours, bien connue car déjà utilisée, et jusqu'alors prétendument revendiquée par certains organismes pour légitimer le fait qu'ils réalisaient des transferts vers les US : les clauses contractuelles types, (CCT, ou SCC en anglais). Ces CCT sont des contrats adoptés par la Commission européenne permettant d’encadrer les transferts de données personnelles. Problème : pour ce qui concerne les Etats-Unis, jusqu'alors, les CCT en elles-même n'étaient pas suffisantes, et surtout n'avaient pas de sens au regard de la législation américaine. Aujourd'hui, la notion est plus floue, car sans être déclarées pleinement légales, le fait de challenger juridiquement leur validité devient plus délicat, ainsi que l'explique le cabinet juridique Orrick, sur sa page consacrée au DPF, surfant sur une situation désormais juridiquement imprécise dans ce domaine.

La décision d'adéquation confirme que, du moins de l'avis de la Commission européenne, les mesures mises en place par le biais de l'EO 14086 sont suffisantes pour répondre aux préoccupations soulevées par la CJUE. Par conséquent, il serait difficile pour une autorité de contrôle de la protection des données de l'UE de faire valoir qu'un transfert de données à caractère personnel à un destinataire aux États-Unis sur la base des SCC ou des BCR ne bénéficierait pas d'un niveau de protection des données suffisant. La suspension d'un transfert ou l'imposition d'une amende à une entreprise qui s'appuie sur les SCC ou les BCR pour transférer des données à caractère personnel vers les États-Unis nécessiterait probablement une contestation de l'adéquation de la Commission elle-même.

Nous tenons ici à relever cependant, ainsi que l'a évoqué à maintes reprises un Internaute, que les autorités de contrôle ont la possibilité juridique d'ester en justice une décision de la Commission si elles l'estiment illégitime. Par ailleurs, on souligne à nouveau que le CEPD n'a pas (du tout) la même vision que la Commission. Comme nous l'avons déjà fait observer sur les réseaux sociaux, si Max Schrems gagne une troisième fois la partie, cela signifiera sans ambiguïté que nos autorités de contrôle n'ont pas accompli leur devoir.

 

Quelles perspectives ?

Après tout ce qui vient d'être souligné, il convient de faire observer que les garanties apportées par l'oncle Sam, si elles restent insuffisantes pour beaucoup, ont évolué de manière significative. C'est du reste ce qu'a souhaité communiquer le CEPD dans son rapport. Il n'empêche : le compte n'y est (toujours) pas. Nous savons tous d'ores et déjà qu'une plainte sera déposée par NOYB à la CJUE, qui enclenchera une nouvelle fois une procédure de trois ans selon son président, Max Schrems, et risque possiblement d'aboutir à un arrêt "Schrems III". Max Schrems ironise en déclarant : "Je prendrai ma retraite à Schrems VI".

 

Ainsi, une fois encore, les citoyens que nous sommes vont rester les impuissants spectateurs de cette bien triste partie de ping-pong, qui ne cessera définitivement que lorsque nos responsables politiques décideront de traiter le fond, et non la forme. Le lecteur comprendra désormais (on l'espère) le sens de nos plaintes déposées contre l'utilisation de Google Analytics, qui cristallise de façon très prosaïque la problématique. Celles-ci ont-elles donc été vaines ? Pas forcément.

 

Il existe effectivement désormais une petite musique, consistant à penser que cette nouvelle situation n'est que provisoire, et que Schrems III peut voir le jour. Cette incertitude pèse sur le marché qui n'aime guère cela, et bon an mal an, les éditeurs veulent de moins en moins être confrontés à ce genre de difficulté, et finissent par s'adapter. L'épée de Damoclès qu'ont représenté les plaintes déposées à la CNIL n'a donc, de façon très épiphénoménale il faut le reconnaître, pas été sans aucun effet.

Par ailleurs, la réaction de la CNIL suite aux plaintes en cours et non encore clôturées sera intéressante à plus d'un titre. En effet, si l'on décide d'apporter une antériorité à la décision d'adéquation, on peut l'antidater au 7 octobre 2022, date de promulgation de l'EO. Quid des plaintes déposées entre le 10 février 2022 (date de communication de la CNIL au sujet de l'emploi de Google Analytics), et le 7 octobre ? Pour mémoire, l'envoi d'une majorité de nos plaintes date du 29 août ; elles n'ont donc à notre sens pas de raison d'être balayées. A suivre, donc. Nous porterons en tous cas un vif intérêt au libellé des réponses fournies par la CNIL, si tant est qu'elle le fasse (mais soyons honnêtes, il n'y a pas de raison qu'elle ne nous réponde pas).

En attendant, alors que rien n'a changé sur le fond (ou si peu), les solutions tech américaines peuvent à nouveau être utilisées à outrance en toute légalité par des éditeurs européens qui doivent en être ravis et soulagés. Et une fois encore, c'est le citoyen européen qui en est la première des victimes.

Bref, ce 10 juillet 2023 n'est pas vraiment un jour à marquer d'une croix blanche sur le calendrier de la "Privacy".

 

Dignilog.

©Dignilog 2023, tous droits réservés
A propos Politique de confidentialité
Contact : contact@dignilog.com
twitter : @Dignilog1 mastodon : @Dignilog@pouet.chapril.org
 

Pascal VAUTRIN

Lien :?