Les autorités américaines ont bien mis en œuvre les nouvelles garanties prévues pour les Européens dans le DPF, le nouveau cadre juridique qui régit le transfert de données des Européens vers les États-Unis : voilà ce que conclut la Commission européenne, dans sa première analyse du cadre, plus d’un an après son entrée en vigueur. Services secrets, recours, partages d’informations… Nous avons épluché son rapport de 22 pages : voici ce qu’il faut en retenir.
Un nouveau feu vert ? Plus de douze mois après l’entrée en application du nouveau cadre transatlantique qui régit les transferts de données personnelles des Européens vers les États-Unis, Bruxelles donne à nouveau son aval. Mercredi 9 octobre, la Commission européenne « a publié les conclusions du premier examen de (s)a décision d’adéquation » qui concerne « le cadre UE-États-Unis de protection des données pour des flux de données transatlantiques sûrs », rapporte le commissaire européen à la Justice, Didier Reynders, sur son compte X.
Le rapport, long de 22 pages, conclut que les États-Unis ont bien mis en œuvre les « garanties » prévues par le DPF. Le texte prévoit que les services secrets américains ne peuvent avoir accès aux données personnelles des Européens que si cela est « nécessaire et proportionné pour protéger la sécurité nationale », détaille le communiqué de presse de la Commission.
Today, @EU_Commission has published the findings of the first review of the adequacy decision adopted in July 2023 on the EU-US Data Privacy Framework for safe transatlantic data flows.
Our report concludes that 🇺🇸 put in place the necessary structures and procedures to ensure… pic.twitter.com/Ozb3njWC3M— Didier Reynders (@dreynders) October 9, 2024
Un groupe de travail UE a interrogé des autorités américaines impliquées dans le DPF
En juillet 2023, Bruxelles publiait sa décision d’adéquation – un document qui atteste que « le Data Privacy Framework » ou DPF, le nouvel accord qui régit le transfert de données personnelles du Vieux continent vers les États-Unis, est suffisamment protecteur pour les Européens. Le précédent accord, le « Privacy Shield », avait été annulé par la Cour de justice de l’UE en 2020, tout comme un précédent accord en 2015 (« Safe Harbor »). Les juges européens estimaient alors que le droit américain n’offrait pas assez de garanties aux Européens – une saga aux mille et une imbrications, que nous vous racontions dans cet article.
À lire aussi : Pourquoi le transfert de vos données personnelles aux États-Unis est un incroyable casse-tête
Le nouveau cadre, le DPF, devait combler ces lacunes. Restait à savoir si ce dernier allait être mis en œuvre par les autorités américaines. C’est tout l’objet de ce premier « réexamen périodique », prévu par la décision d’adéquation de juillet 2023, et publié mercredi 9 octobre. Concrètement, la Commission européenne a cherché à savoir si tous les éléments prévus par le DPF« fonctionnent efficacement ».
Pour mener à bien ce rapport, Bruxelles a regroupé des représentants de la Commission européenne, ainsi que par cinq représentants désignés par le Comité européen de la protection des données, un organe chargé de la bonne application du RGPD (le règlement européen sur les données personnelles de 2018) au sein de l’Union européenne.
Le groupe de travail s’est entretenu avec des autorités américaines chargées d’appliquer ce cadre juridique – des autorités dont la Commission européenne salue « la très bonne coopération ». Ont aussi été consultés des organismes européens, des ONG spécialisées dans les droits numériques et la protection de la vie privée, ainsi que le grand public.
Aucun recours ou mécanisme d’arbitrage enclenché pour l’instant
On y apprend que les douze derniers mois ont été consacrés à la mise en place de ce DPF. Ainsi, près de 2 800 entreprises ont obtenu la certification DPF- un processus mené aux États-Unis qui garantit que telle société respecte bien les principes contenus dans le DPF. Le département du Commerce américain « a indiqué qu’il n’avait pas détecté de problèmes de conformité aux principes du DPF au cours de cette première année et qu’il n’avait pas renvoyé d’entreprises (aux autorités américaines) en vue d’une éventuelle action », écrit la Commission européenne.
Il semble qu’il n’y ait pour l’instant aucun recours formé par une entreprise ou un particulier contre un accès à des données personnelles ou un transfert qui serait non conforme au DPF. Il n’y a eu aucun arbitrage déclenché par un particulier, ni aucune plainte reçue par les autorités compétentes, les nouveaux mécanismes de recours n’ayant pas été déclenchés, écrivent les auteurs du rapport.
Ce point ne devrait pas surprendre les réfractaires de ce texte, à l’image de Max Schrems, le juriste autrichien qui, avec son association NOYB, attaque régulièrement les géants du numérique. Ce dernier déplorait en janvier dernier chez Politico, une procédure si opaque et confidentielle que son accès ne pourrait qu’être théorique.
Certaines procédures internes des agences de renseignements adaptées, mais…
Le groupe de travail s’est particulièrement penché sur les agences de renseignement américaines, dont l’accès aux données personnelles des Européens jugé « disporportionné » avait convaincu la Cour de justice de l’UE, en 2015 puis en 2020, d’annuler les précédents cadres transatlantiques. Les services secrets « ont mis en place de nouvelles politiques et lignes directrices internes » en vue de respecter le décret présidentiel de Joe Biden d’octobre 2022, relève la Commission dans son examen.
Pour rappel, en 2022, cet « executive order » avait été présenté comme le gage de bonne volonté de Washington dans ce dossier. Ce décret était venu modifier la législation américaine pour insérer davantage de garde-fous pour les Européens. On pouvait y lire, par exemple, que l’accès, par les agences de renseignement américaines, à des données recueillies en Europe et transférées ou hébergées outre-Atlantique, devait désormais être limité à ce qui est « nécessaire » et « proportionné » vis-à-vis de la sécurité nationale américaine : ces deux critères n’existaient pas jusqu’alors. Le décret américain a aussi ajouté « un nouveau mécanisme de recours à deux niveaux, doté d’une autorité indépendante et contraignante », dont la mise en place d’une nouvelle cour, la « Data Protection Review Court ».
Mais ces nouvelles garanties avaient été jugées bien insuffisantes pour de nombreux organismes européens comme les CNILS européennes, le Parlement européen, ou des associations de défense des droits, à l’image de Max Schrems, le fondateur de NOYB à l’origine des deux précédentes annulations des accords transatlantiques par la justice européenne.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
En pratique, la CIA et le FBI auraient adapté certaines procédures internes, note la Commission qui relève la mise en place d’« autorisation interne, de contrôles d’accès documentés afin que seules les personnes qui ont été correctement formées (…) aient accès aux informations, etc.) pour veiller à ce que les exigences de nécessité et de proportionnalité soient respectées dans le contexte de la collecte (…) » de données personnelles.
… la Commission européenne « apprécierait d’avoir l’occasion de discuter d’exemples concrets »
Toutefois, écrivent les auteurs du rapport dans un ton très diplomate, la Commission européenne « apprécierait d’avoir l’occasion de discuter d’exemples concrets de la manière dont le décret est appliqué dans la pratique (tout en respectant les considérations applicables en matière de confidentialité) dans le cadre de futurs réexamens ».
Plusieurs pages sont consacrées au renouvellement de la loi FISA – qui autorise l’espionnage des étrangers, dont les Européens, par les services secrets américains. La Commission note que « les autorités américaines ont confirmé lors de la réunion d’examen que toutes les garanties du décret (de Joe Biden) continuent à s’appliquer pleinement à toutes les collectes et utilisations de données en vertu de la section 702 de la FISA, y compris à la suite des modifications » de la loi en avril 2024.
En d’autres termes, toutes les garanties apportées par le décret de Joe Biden pour les Européens s’appliqueraient, malgré la loi FISA renouvelée et modifiée en avril dernier, écrit en substance la Commission européenne. La loi adoptée six mois plus tôt a bien élargi « le champ des entreprises susceptibles de recevoir une injonction (des services secrets, NDLR) », mais « elle ne limite pas l’exercice des droits », estime l’exécutif européen. « Néanmoins, il sera important de suivre les développements ultérieurs (législatifs et en matière de rapports) et de recevoir des informations sur l’application de ces nouvelles règles dans la pratique », ajoute la Commission. Le prochain examen aura lieu dans trois ans.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Premier examen de la Commission européenne du DPF publié le 8 octobre 2024 (anglais)