Rendez-vous devant la CJUE fin 2023 ou début 2024 ? L’association NOYB (None Of Your Business) et son fondateur Max Schrems sont dans les starting-blocks après l’adoption du Data Privacy Framework.
Ce texte constitue, dans le jargon juridique européen, une « décision d’adéquation ». Et pour cause : en l’entérinant, l’UE reconnaît que les États-Unis offrent un niveau de protection des données personnelles « substantiellement équivalent » à celui qu’elle garantit en son propre sein.
À ce titre, le Data Privacy Framework « légitimera », pour les organisations qui y adhéreront, les flux transatlantiques de données. C’est précisément ce qu’ont tour à tour permis, par le passé, le Safe Harbor et le Privacy Shield… jusqu’à leur invalidation par la Cour de justice de l’Union européenne, respectivement en 2015 et en 2020. Dans l’un et l’autre cas, l’impulsion était venue, en particulier, de Max Schrems. D’où les noms « Schrems I » et « Schrems II » donné à ces deux affaires.
Y aura-t-il un Schrems III ? NOYB a en tout cas préparé le terrain et affirme disposer de diverses options. Sur le papier, elle a effectivement avancé plusieurs éléments susceptibles d’être brandis auprès de la CJUE. Parmi eux, des divergences d’interprétation des notions de proportionnalité et de nécessité entre l’UE et les USA. Ou l’inconformité du mécanisme de recours proposé aux personnes concernées.
Il est une institution européenne où le Data Privacy Framework n’est pas passé comme une lettre à la poste. Le Parlement s’y est effectivement opposé, et à une large majorité. Les eurodéputés ont eux aussi étrillé le mécanisme de recours. Ainsi, entre autres, que les dispositions en matière de conservation des données, de transferts ultérieurs et de finalités légitimes sous le couvert desquelles Washington pourrait tout de même mener des activités de renseignement électronique.
Leur vote n’avait toutefois que valeur d’avis. Bruxelles ne manque pas de le souligner dans sa plaquette de présentation. Et d’évoquer, dans sa « FAQ Data Privacy Framework », un « mécanisme de recours indépendant et impartial ». Comme, d’ailleurs, une « supervision améliorée des activités de renseignement ».
À consulter en complément :
10 ans après Snowden, qu’en est-il de la protection des données ? (juin 2023)
Les eurodéputés étrillent le successeur du Privacy Shield (mai 2023)
Data Privacy Framework : le compte n’y est pas pour les Cnil européennes (mars 2023)
Bientôt un successeur au Privacy Shield ? (février 2022 ; Washington s’apprêtait à soumettre une première proposition à Bruxelles)
Privacy Shield : la justice casse le bouclier de données UE – États-Unis (juillet 2020)
La justice européenne invalide le Safe Harbor, et après ? (octobre 2015)
Photo d’illustration © PromessArt Studio
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…