Le 6 septembre, Philippe Latombe, député français et membre de la CNIL, a déposé une demande d'annulation du cadre de protection des données UE-États-Unis devant la Cour de justice de l'UE, comme l'a d'abord rapporté Politico.
Une action en justice contre le cadre de protection des données personnelles était largement attendue. Cependant, l'action de M. Latombe pourrait être de courte durée, car il existe des obstacles procéduraux à la saisine de la Cour.
Ce blog explique ce qui se passe avec le cadre de transfert des données et pourquoi les exigences procédurales peuvent sonner le glas de la bataille juridique de M. Latombe.
- Qu'est-ce que le cadre de protection des données ?
- Quelle est l'histoire du cadre de protection des données ?
- M. Latombe parviendra-t-il à invalider le cadre ?
- Comment les choses se dérouleront-elles à long terme ?
- Conclusions
Qu'est-ce que le cadre de protection des données ?
Le cadre transatlantique de protection des données (DPF) est un cadre de transfert de données entre l'Union européenne et les États-Unis. Il est en place depuis juillet et permet des transferts de données à caractère personnel simples et conformes au GDPR entre l'UE et les États-Unis.
En d'autres termes, le GDPR prévoit des règles et des normes spécifiques pour le transfert de données en dehors de l'UE, et le DPF aide les organisations à les respecter. Sans ce cadre, certains transferts de données entre l'UE et les États-Unis seraient impossibles ou plus délicats.
Le cadre n'est pas un accord de droit international, mais plutôt une combinaison d'actes juridiques internes dans les cadres juridiques européen et américain. L'année dernière, le président américain Joe Biden a publié un décret(EO 14068) visant à limiter les pouvoirs des agences de surveillance en matière d'espionnage des données européennes. En juillet, la Commission européenne a adopté une décision d'adéquation, un acte qui, pour l'essentiel, "donne le feu vert" à un pays en tant que destination sûre pour les transferts de données dans le cadre du RGPD.
Pour plus d'informations sur le DPF et les mécanismes de transfert de données dans le cadre du GDPR, n'hésitez pas à consulter notre blog sur le sujet.
Quelle est l'histoire du cadre de protection des données ?
Nous avons déjà écrit sur ce sujet en long et en large, voici donc la version courte.
Le DPF n'est pas le premier cadre de ce type entre l'UE et les États-Unis. Deux autres cadres - l'accord Safe Harbor et le Privacy Shield - ont rempli la même fonction par le passé. Toutefois, ces deux cadres ont été invalidés par la Cour de justice de l'UE dans les arrêts Schrems I et II. Ces arrêts portaient sur la surveillance des données étrangères par les États-Unis et ont montré que les anciens cadres n'étaient pas suffisants pour protéger les données européennes contre les agences de renseignement.
Après Schrems II, l'ONG de défense de la vie privée noyb a fait pression pour une application plus stricte de Schrems II par le biais d'un litige stratégique visant Google Analytics, un outil d'analyse du web qui traite les données des visiteurs aux États-Unis. Le litige de Noyb a conduit à l'interdiction de facto de Google Analytics dans plusieurs États membres et a déclenché un débat animé sur la légalité des transferts de données entre l'UE et les États-Unis dans le cadre du GDPR.
Le DPF vise à mettre fin à cette situation d'incertitude chronique en trouvant un équilibre entre la protection de la vie privée des individus et la nécessité de mener une surveillance électronique pour la défense nationale.
Le gouvernement américain et la Commission européenne ont travaillé en étroite collaboration pour s'assurer que le nouveau cadre résisterait à l'examen de la Cour de justice de l'Union européenne (CJUE). Le décret publié par le président américain limite quelque peu les possibilités d'espionnage des données européennes par les agences de surveillance et introduit un nouveau système de contrôle et de recours en cas d'abus. Les États-Unis et la Commission européenne espèrent que ces nouvelles règles permettront au DPF de survivre à un arrêt "Schrems III".
M. Latombe parviendra-t-il à invalider le cadre ?
Nous en doutons, car des obstacles procéduraux pourraient empêcher que le bien-fondé soit discuté en premier lieu.
La plupart des affaires aboutissent à la CJUE par le biais d'une décision préjudicielle. En d'autres termes, l'affaire est d'abord portée devant la juridiction d'un État membre, puis renvoyée à la CJUE par le juge compétent afin de clarifier l'interprétation du droit européen. C'est ainsi que les affaires Schrems I et II ont également été portées devant la CJUE.
Le cas de M. Latombe est différent parce qu'il a introduit sa requête sous la forme d'un recours direct: il s'est adressé directement à la Cour et a demandé l'annulation du DPF.
Cette stratégie a ses avantages et ses inconvénients. D'une part, l'action directe contourne entièrement les juridictions nationales, ce qui réduit considérablement le temps nécessaire pour obtenir une décision de la CJUE. D'autre part, le droit communautaire impose des exigences assez strictes pour les actions directes : le requérant doit réussir à faire valoir que le DPF le concerne directement et individuellement. Cela pourrait poser un problème à M. Latombe, car il n'est pas plus concerné par le DPF que n'importe quel autre citoyen de l'UE.
Traditionnellement, la CJUE prend très au sérieux l'exigence d'un intérêt direct et individuel. C'est pourquoi la Cour rejettera probablement le recours sans en discuter le bien-fondé.
Nous espérons nous tromper, car le sort du DPF est source d'une grande incertitude juridique et de nombreuses organisations bénéficieraient grandement de la clarté qu'apporterait une décision de la CJUE.
Comment les choses se dérouleront-elles à long terme ?
Même si l'action de Latombe est déclarée irrecevable, quelqu'un d'autre interviendra. Noyb a déjà annoncé son intention de contester le cadre, et d'autres organisations de défense des droits pourraient également agir.
Tôt ou tard, la CJUE décidera donc du sort du DPF. Et il est difficile de dire comment les choses se dérouleront.
Les avis sur le nouveau cadre sont très partagés au sein de la communauté de la protection de la vie privée. Certains pensent que le DPF est la solution à laquelle tout le monde aspire. D'autres, dont noyb, considèrent qu'il s'agit d'une peinture du Privacy Shield et s'attendent à ce que la CJUE le démolisse dès que la balle atterrira dans son camp.
La vérité se situe probablement quelque part entre les deux : le DPF est globalement un pas en avant par rapport au passé, mais certains aspects du décret de Joe Biden restent préoccupants et pourraient poser problème à la Cour de justice.
Les institutions européennes elles-mêmes sont divisées sur les mérites du cadre. La Commission est, bien entendu, un partisan enthousiaste du DPF. En revanche, le Parlement européen a rejeté le DPF à une large majorité. Le vote du Parlement n'est pas contraignant, mais il pourrait influencer le ton du débat et exercer une certaine pression sur la CJUE. Enfin, le Conseil européen de la protection des données a adopté un avis quelque peu prudent sur le cadre, peut-être pour éviter d'influencer un débat déjà polarisé.
Conclusions
Nous pensons que la protection de la vie privée concerne tout le monde et que les entreprises doivent être responsables dans la manière dont elles collectent les données. C'est pourquoi nous avons créé Simple Analytics : l'outil d'analyse web qui fournit aux entreprises toutes les informations dont elles ont besoin, sans toucher aux données personnelles. Si cela vous convient, n'hésitez pas à nous essayer !