Les eurodéputés étrillent le successeur du Privacy Shield

Clément Bohic,
Linkedin
Data Privacy Framework Privacy Shield Parlement européen

Le Parlement européen a voté, à une large majorité, une motion invitant Bruxelles à ne pas adopter tel quel le successeur du Privacy Shield.

« Ça coince pour le successeur du Privacy Shield. » Ainsi nous étions-nous fait, en février dernier, l’écho d’une ébauche de proposition de résolution au Parlement européen. Elle émanait de la commission des libertés civiles, de la justice et des affaires intérieures.

En une dizaine de points, le constat était établi : les engagements des États-Unis sur ce futur cadre de potentiel de protection des flux transatlantiques de données personnelles (DPF, Data Privacy Framework) sont insuffisants.

Tendance confirmée la semaine passée en séance publique. À une large majorité (306 pour, 27 contre), les eurodéputés ont voté ladite motion. Quelques éléments s’y sont ajoutés par rapport à la version de février, mais les grands axes demeurent.

En première ligne, l’ordre exécutif 14086, que Joe Biden a signé en octobre 2022. Ce texte constitue, côté américain, le principal véhicule de négociation avec l’UE. Il est censé corriger ce qui a valu au Privacy Shield son annulation par la Cour de justice de l’Union européenne.

Les élus reconnaissent des avancées, mais les considèrent comme insuffisantes pour assurer un niveau de protection des données « substantiellement équivalent » à celui garanti dans l’UE. Et de pointer, notamment, l’interprétation des principes de proportionnalité et de nécessité. La définition que s’en font les USA n’est pas en ligne avec celle de la législation UE, affirment-ils.

Le DPF, encore trop dans l’esprit Privacy Shield ?

Le Parlement s’arrête aussi sur la liste de finalités légitimes sous le couvert desquelles les États-Unis pourraient tout de même mener activités de renseignement électronique (SIGINT, signals intelligence). Et surtout sur la possibilité, pour le président américain, de modifier cette liste sans en informer le public, ni même l’UE.

Autre appel à la vigilance : l’ordre exécutif n’interdit pas les collectes massives de données, y compris pour les contenus des communications. Et quand bien même il contient des garde-fous, il n’impose pas l’obtention préalable d’une autorisation issue d’un organisme indépendant.

Les députés européens dénoncent aussi le manque, dans ce même texte, de règles claires et strictes en matière de conservation des données. Ainsi que sur la question des transferts ultérieurs. L’ordre exécutif ne s’applique par ailleurs par aux données auxquelles les autorités publiques US accéderaient par d’autres moyens que le DPF. On parle, entre autres, du Patriot Act et du CLOUD Act.

Un mécanisme de recours trop dépendant de l’exécutif ?

Le Parlement a aussi trouvé à redire concernant le mécanisme de recours à deux niveaux pour les personnes estimant que leurs données ont fait l’objet de traitements « contraires à la loi américaine ». Au premier doit se trouver un « responsable de la protection des libertés civiles » (DPRC) placé sous la responsabilité du directeur du renseignement national. Au deuxième, un « tribunal indépendant ». Qui, dans les grandes lignes, examinera les décisions de ce responsable ; et déterminera, en cas de violation, les remèdes à mettre en œuvre.

Que relèvent les élus européens ? En particulier, que les décisions du DPRC seraient classifiées. Le plaignant serait simplement informé s’il y a effectivement eu des traitements contraire à la loi. Difficile pour lui, dans ce cadre, de faire jouer ses droits d’accès et de rectification des données le concernant.

Le mécanisme de recours ne fournit, en outre, pas de possibilité d’appel dans le circuit fédéral. Donc pas de possibilité de demander des dommages et intérêts. Quant au DPRC, il fait partie de la branche exécutive. Le président Biden peut en annuler les décisions, y compris en secret. Et mettre un terme au mandat de ses juges, dont l’indépendance n’est par là même pas garantie, regrettent les parlementaires. Exigence d’indépendance également inexistante pour l’avocat qui représentera les plaignants, ajoutent-ils.

C’est sans compter l’absence de définition et de règles clés sur des aspects comme le profilage et les prises de décisions automatisées. Ainsi que sur l’application des principes du DPF aux sous-traitants.

Photo d’illustration © PromessArt Studio