Lorsqu’un utilisateur publie un message sur Facebook, cherche un objet sur Amazon, ou encore aime une vidéo sur Instagram, il crée des données personnelles. Les géants de la tech américains …
Lorsqu’un utilisateur publie un message sur Facebook, cherche un objet sur Amazon, ou encore aime une vidéo sur Instagram, il crée des données personnelles. Les géants de la tech américains enregistrent toutes ces informations et les envoient vers leur pays. Ce transfert est encadré par le nouvel accord sur les transferts des données, baptisé Data Privacy Framework (DPF), adopté en juillet. Le député Philippe Latombe (MoDem) et commissaire de la CNIL, a déposé, ce mercredi 6 septembre, un recours au Tribunal de l’Union européenne (UE) pour suspendre ce cadre.
Les premiers accords de transferts de données personnelles entre UE-États-Unis remonte à 1998
Le 11 juillet dernier, Philippe Latombe avait déploré, dans un tweet, le nouveau cadre adopté par l’exécutif européen « La décision d’exécution de la Commission européenne au titre du cadre UE-États-Unis de protection des données à caractère personnel vient de tomber. Et avec elle, mes dernières illusions sur la capacité de la Commission à s’affirmer face aux États-Unis ». En ce début septembre, après avoir travaillé tout l’été avec des avocats spécialisés, le député a déposé un recours au tribunal de l’UE pour annuler le DPF.
Contacté par Siècle Digital, Philippe Latombe regrette le non-respect des précédentes décisions de la Cour de Justice de l’UE (CJUE) par le traité. En octobre 2015, la CJUE a annulé le Safe Harbor, un ensemble de principes mis en place entre 1998 et 2000 permettant aux entreprises américaines d’autoriser les transferts de données personnelles vers les États-Unis. En juillet 2016, un nouvel accord, baptisé Privacy Shield, avait été signé. 4 ans plus tard, il sera finalement supprimé par la justice européenne. Elle avait révélé que le régime actuel de transferts de données était contraire à la Charte des droits fondamentaux de l’UE et du Règlement général sur la protection des données (RGPD), mis en place en 2018.
« Fondamentalement, rien n’a changé entre le Privacy Shield et le DPF. Le Privacy Shield était la copie du Safe Harbor, et le DPF est la copie du Privacy Shield » clame le député de Vendée. Selon lui, la seule différence entre les deux textes est un décret signé par Joe Biden, le Président des États-Unis, pour répondre aux préoccupations de la CJUE. Avec cet ordre exécutif, les États-Unis ont mis en place un système de cour de justice pour traiter les recours des citoyens européens. Philippe Latombe affirme que ce tribunal n’est ni indépendant, ni impartial, pourtant obligatoire dans le droit européen. « Le juge de cette cour est sous la responsabilité du Ministre de la Justice des États-Unis qui traite les recours provenant des citoyens du Vieux Continent » appuie-t-il.
Le député confie également « En cas de dépôt d’un recours, le traité n’oblige pas le juge à expliquer pourquoi il y a atteinte ou non ». Ce manque de transparence est un manquement à la décision de la CJUE lors de l’annulation du Privacy Shield. En effet, la justice européenne avait précisé que lors d’une « collecte en vrac » de données personnelles, les entreprises doivent justifier plusieurs questions : quel type de données est collecté, dans quel but, quelles sont les durées de conservation…
Deux stratégies différentes entre Philippe Latombe et NOYB pour faire tomber le DPF
Dans l’historique des annulations du Safe Harbor et du Privacy Shield, l’avocat autrichien Max Schrems a joué un rôle fondamental. Il est à l’origine de l’action en justice qui a conduit à l’annulation de Safe Harbor et Privacy Shield. Il a ensuite créé l’association NOYB qui lance fréquemment des poursuites judiciaires pour faire respecter le RGPD. Philippe Latombe a admis ne pas avoir échangé avec l’activiste autrichien. « Nous étions pris par le temps. Nous avons deux procédures totalement différentes envers le traité. »
Philippe Latombe disposait de deux mois pour émettre son recours au tribunal de l’UE. « C’était une véritable course contre la montre » souffle le député, qui attend maintenant la recevabilité de sa requête. La justice européenne doit rendre son verdict au plus tard le 10 octobre. En cas d’acceptation, la première décision du tribunal sera de suspendre ou non le traité pour empêcher les premiers transferts de données.
Côté NOYB, la stratégie est différente. Lors de la publication du DPF, Max Schrems avait annoncé vouloir mener une action en justice. Contrairement au chemin du recours choisi par le député français, l’avocat autrichien passe par une question préjudicielle. En simplifiant, l’avocat attaque en Europe une entreprise, Meta par exemple, pour transfert de données aux États-Unis. Si la CJUE valide le caractère illégal du transfert, elle valide de fait la suppression du traité. Ces deux stratégies pourraient mener le DPF, à peine adopter, vers ses dernières heures.
0 commentaires