Data Privacy Framework : un an après, les États-Unis invités à corriger le tir

Suffit-il aux agences de renseignement américaines d'acheter des données pour contourner le Data Privacy Framework ?

Le CEPD (Comité européen de la protection des données) s'en inquiète. En l'état, constate-t-il, cette pratique apparaît moins encadrée que les activités de SIGINT (signals intelligence ; renseignement d'origine électromagnétique). Il existe, certes, un ordre exécutif et un framework qui couvrent le sujet. Mais le premier - qui date de l'ère Reagan - ne permet pas de garantir le niveau de protection qu'exige le DPF. Tandis que le second n'aborde ni les principes de nécessité et de proportionnalité, ni les mécanismes de recours. En outre, l'applicabilité des garde-fous aux citoyens non américains n'est pas claire.

Concernant le DPF en lui-même, le CEPD exprime nombre de réserves. En voici quelques-unes.

Sur le contrôle de conformité

Comme sous l'ère Privacy Shield, le CEPD dénonce le manque de supervision ex officio et de mesures structurelles coercitives concernant la conformité des organisations ayant adhéré du DPF. Au regard du faible nombre de plaintes pouvant déboucher sur de telles mesures, il appelle à davantage de proactivité de la part du DoC et du DoT (départements du Commerce et des Transports) ainsi que de la FTC (Commission fédérale du commerce). Entre autres, par le recours à des instruments tels que les vérifications ponctuelles et les questionnaires d'évaluation de conformité.

Sur les organisations "inactives"

Au moment de l'évaluation du DPF par le CEPD (juillet 2024), environ 2800 organisations y adhéraient. Quelque 2600 étaient "inactives" (certification expirée) et 1100 s'en étaient retirées.
Le CEPD incite le DoC à contrôler si ces 3700 organisations ont bien supprimé les données concernées. Et si, dans le cas contraire, elles continuent bien à appliquer les principes du DPF.

Sur les transferts ultérieurs

Le CEPD invite le DoC à publier des lignes directrices concernant les transferts ultérieurs de données vers des pays tiers par des importateurs américains. Les retours de l'industrie montrent, affirme-t-il, que certaines entreprises s'appuient sur des outils qui n'offrent pas un niveau de protection adéquat.

Sur la définition des données RH

Les divergences d'interprétation de la notion de données RH étaient un souci sous l'ère Privacy Shield. Elles le restent. Le DoC considère que le terme n'englobe que les traitements de données d'employés au sein d'un même groupe. Le CEPD estime quant à lui qu'elle couvre toutes les données traitées dans le cadre d'une relation employeur-employé, peu importe si le transfert se situe dans le périmètre du groupe (notion de "fournisseur non affilié" dans la définition que donne le DPF).

Sur les principes de nécessité et de proportionnalité

L'ordre exécutif 14086 introduit, dans le cadre juridique américain sur le SIGINT, les principes de nécessité et de proportionnalité.

Le CEPD regrette de ne pas avoir eu l'opportunité, pendant son évaluation du DPF, de discuter d'exemples qui identifient clairement comment les agences de renseignement interprètent et appliquent ces principes.

Sur les exceptions accordées aux agences de renseignement

La plupart des politiques et procédures internes rendues publiques contiennent des dispositions permettant des exceptions en certaines circonstances ; par exemple, le caractère immédiat ou grave d'une menace pour la sécurité nationale. Le CEPD souhaiterait mieux comprendre la nature de ces dispositions et leurs implications potentielles en pratique. Il se demande dans quelle mesure cela satisferait effectivement aux exigences de l'EO 14086.

Sur les autorisations préalables aux collectes massives

En l'état, le cadre juridique américain n'impose pas, lorsqu'il permet les collectes massives, d'autorisation préalable par une autorité indépendante (alors que la jurisprudence CEDH l'exige), ni une évaluation ex post systématique pour un tribunal ou par un organe indépendant équivalent.

Sur la section 702 du FISA

Quant à la section 702 du FISA (Foreign Intelligence Surveillance Act), le CEPD regrette qu'à l'occasion de sa récente reconduction, n'y aient pas été codifiés tous les garde-fous de l'EO 14086. En particulier, les 12 finalités considérées comme légitimes pour le SIGINT.

Sur la définition de "fournisseur de service de communication électronique"

Sous le régime de la section 702, il peut être demandé à ces entités de divulguer des données personnelles.

Récemment étendue, la définition couvre désormais aussi "tout autre fournisseur de service ayant accès à des équipements utilisés ou susceptibles d'être utilisés pour transmettre ou stocker des communications filaires ou électroniques".

Le DoJ (département de la Justice) a assuré que cette extension serait appliquée de manière "très restrictive". Le procureur général s'est prononcé dans le même sens : elle couvrira un "très petit nombre" d'entreprises.

L'élargissement de la définition découle d'une jugement de la FISC (Cour de surveillance du renseignement étranger des États-Unis) confirmé par la FISCR (instance d'appel). Quoique les décisions aient été publiées, de nombreux éléments sont masqués, dont les catégories d'entreprises concernées... Dans ce contexte, le CEPD déplore que la définition ne répond pas aux exigences de clarté, précision et accessibilité. Il existe donc, in fine, un doute sur la portée de la section 702. Et quand bien même peu d'entreprises seraient concernées, le nouveau périmètre pourrait englober bien plus de données qu'auparavant.

Sur les amici curiae

Les amici curiae sont des experts non gouvernementaux sollicités pour apporter aux tribunaux des éclairages juridiques ou techniques. Depuis peu, leur assistance est circonscrite aux problèmes spécifiquement identifiés par ces tribunaux. Si le CEPD reconnaît que cela peut contribuer à améliorer l'efficacité des prises de décisions, il craint une entrave à la capacité de ces experts à conseiller sur les intérêts du grand public en matière de vie privée.

Illustration © PromessArt Studio