C'était attendu : d'après une information de L'Informé, que La Tribune a confirmée, le nouvel accord encadrant le transfert des données entre l'Europe et les Etats-Unis, intitulé Data Privacy Framework (DPF) est déjà attaqué en justice, moins de deux mois après son adoption le 10 juillet dernier.

Seule surprise : on attendait Max Schrems à la manœuvre. Connu pour ses combats pour défendre la vie privée des internautes avec son ONG None of Your Business (NOYB), le célèbre activiste autrichien avait obtenu l'annulation des deux précédents accords, respectivement en 2020 (le Privacy Shield) et en 2015 (le Safe Harbor). Mais cette fois, le coup vient du député français Philippe Latombe (MoDem). Ce spécialiste du numérique a déposé le 6 septembre deux plaintes auprès du Tribunal de l'Union européenne. L'objectif : obtenir l'annulation pure et simple de l'accord, qu'il estime illégal car incompatible avec le Règlement général sur la protection des données (RGPD) et avec la Charte des Droits Fondamentaux de l'Union.

Lire aussi« Cloud de confiance » : le député Philippe Latombe attaque le projet de Google et Thales (S3ns) auprès de la Cnil et de l'Anssi

Incompatibilité profonde entre le RGPD et les pratiques américaines

Cette action en justice place à nouveau dans l'incertitude les quelques 5.000 entreprises, essentiellement américaines, qui transfèrent quotidiennement des données entre les deux continents pour assurer le fonctionnement optimal de leurs services. Et notamment les géants du numérique, à commencer par les Gafam (Google, Apple, Facebook devenu Meta, Amazon et Microsoft), qui sont les principaux bénéficiaires de l'accord.

Le problème semble juridiquement insoluble en raison de l'adoption, en 2015, du Règlement général sur la protection des données (RGPD). Ce texte européen majeur grave dans la loi des obligations pour les entreprises et organisations du monde entier sur le traitement et l'exploitation des données personnelles des Européens. Il pose comme prérequis des notions comme le consentement éclairé des utilisateurs, la transparence des traitements de données, ou encore le droit d'accès à un tribunal impartial en cas de litige.

Plus qu'une simple régulation, le RGPD est une loi extraterritoriale, qui s'applique donc aux entreprises et organisations du monde entier du moment que des données d'Européens sont impliquées. Le RGPD impose donc au monde une philosophie juridique très européenne, qui place les droits fondamentaux des individus au-dessus des intérêts des Etats. Or, cette culture est profondément incompatible avec les lois extraterritoriales américaines, qui se supplantent à toute autre législation et qui placent les intérêts de la nation au-dessus des droits individuels, ce qui se traduit par l'autorisation de collectes de données massives sans le niveau de précautions du RGPD.

Ainsi, le Cloud Act et la loi FISA (Foreign Intelligence Surveillance Act), les deux textes les plus problématiques aux yeux des défenseurs du RGPD, sont particulièrement invasifs car ils autorisent de fait la surveillance de masse au nom de la sécurité nationale. Ces deux lois extraterritoriales permettent par exemple aux agences de renseignement américaines d'accéder aux données de citoyens non-américains, du moment qu'une entreprise, organisation ou même un citoyen américain est impliqué, et ce sans vraie obligation d'information ni réel recours des individus concernés au-delà de procédures longues, coûteuses, complexes, opaques et donc volontairement ineffectives.

Lire aussiTransfert de données : un parcours semé d'embûches pour le nouveau cadre légal entre l'UE et les Etats-Unis

Une annulation inévitable ?

Adopté il y a plus de vingt ans, en 2000, le premier accord transatlantique sur les transferts de données entre les deux continents, le Safe Harbor (traduit par « sphère de sécurité » à l'époque), était alors considéré comme une dérogation accordée à l'allié américain. La pratique d'exporter des données hors du pays des personnes concernées était alors nouvelle, en raison de l'éclosion d'Internet. L'Union européenne avait accordé cette faveur car elle estimait que les Etats-Unis, puissance amie, respectaient les standards européens de protection des données.

Cette croyance a volé en éclats en 2013, lorsque le lanceur d'alerte Edward Snowden a révélé au monde les pratiques de surveillance de masse des agences de renseignement américaines, y compris en Europe. Le RGPD est, en partie, une réponse juridique à ce scandale. En plus de donner à l'internaute le contrôle -théorique- sur ses données, le RGPD se donnait pour mission d'établir une véritable muraille de Chine contre la surveillance légale étrangère.

Ce contexte a abouti en 2015 à l'annulation logique du Safe Harbor par la Cour de justice européenne, suite à une plainte de l'activiste autrichien Max Schrems. Son angle d'attaque : les transferts de données illégaux de Facebook. En lui donnant raison, la CJUE a détruit le cadre juridique concernant l'ensemble des transferts de données entre les deux continents. Il fallait donc repartir de zéro : construire un nouveau cadre capable de satisfaire les impératifs de la sécurité nationale américaine, tout en respectant les exigences européennes de protection des données. Pas une mince affaire.

Le défi est manifestement trop complexe car pour l'instant, c'est un échec. Dès 2016, l'UE a accouché d'un nouveau texte, le Privacy Shield (« bouclier de vie privée »). En améliorant le texte précédent grâce à quelques garanties supplémentaires, la Commission a cru se tirer d'affaires. Insuffisant : Max Schrems a de nouveau attaqué le texte devant la CJUE, pour les mêmes motifs. Et avec le même résultat : une annulation tonitruante du Privacy Shield en 2020.

Désormais, voici le troisième round. En juillet dernier, la Commission européenne, après d'interminables négociations, a validé un nouvel accord, le Data Privacy Framework (« cadre de confidentialité des données »). Comme le Privacy Shield avant lui, le DPF a été présenté comme un effort inédit d'adéquation au RGPD avec de nouvelles garanties... mais qui restent perçues comme insuffisantes aux yeux de nombreux experts juridiques.

Une troisième annulation en justice est-elle inévitable ? « Au-delà de reprendre les mots du RGPD, il faut aussi en reprendre l'esprit pour s'inscrire dans son cadre. Or, la fracture entre le RGPD européen et les lois de surveillance de masse américaines est si profonde que le scénario du Safe Harbor et du Privacy Shield semble devoir inexorablement se répéter », analysait l'avocat Pierre-Emmanuel Frogé, du cabinet BCLP, auprès de La Tribune.

Stratégie très risquée

Problème : pendant que l'UE et les Etats-Unis rejouent ce scénario digne du film Un jour sans fin, les transferts de données se poursuivent hors cadre légal, en utilisant des « clauses contractuelles types » loin d'apporter la sécurité, pour les Européens, d'un vrai accord. « Les citoyens et les entreprises européennes sont les grands perdants de ce jeu du chat et de la souris délétère », tonne le député Philippe Latombe auprès de La Tribune. Et de poursuivre : « L'incertitude juridique ne profite qu'aux géants du numérique, qui peuvent conforter leurs positions dominantes et prendre de nouveaux marchés, au détriment des entreprises européennes. C'est une violation des droits individuels autant qu'un préjudice pour l'économie et la souveraineté européennes. », dénonce-t-il, en prenant l'exemple de Google Actualités, qui avait été déclaré illégal par cinq pays en Europe (dont la France) en raison des transferts de données, mais qui peut à nouveau être utilisé depuis le 10 juillet dernier à cause de la validation du DPF.

C'est pourquoi le député, membre de la majorité présidentielle, s'est lancé lui-même dans le combat juridique. Avec une approche sensiblement différente de celle de Max Schrems : alors que ce dernier avait sélectionné une entreprise transférant des données aux Etats-Unis (à chaque fois Facebook) et l'avait attaquée en justice, aboutissant par ricochet à l'invalidation du dispositif légal, Philippe Latombe a choisi d'envoyer directement une requête d'annulation de l'accord auprès du Tribunal de l'Union européenne, en invoquant un préjudice personnel.

« C'est une voie procédurale encore inutilisée, mais offerte aux citoyens européens depuis le Traité de Lisbonne », précise l'élu, qui revendique agir en sa qualité de citoyen et non pas en tant que député ou membre du collège de la Cnil, l'autorité française de protection des données personnelles. Dans son mémoire de 33 pages remis au tribunal, Philippe Latombe attaque la forme de l'accord autant que le fond. D'après lui, le Data Privacy Framework (DPF) viole à la fois la Charte des Droits Fondamentaux de l'Union en raison de l'autorisation des collectes en vrac de données, et le RGPD en raison de l'insuffisance des garanties apportées. Ce qui viole ses droits à titre individuel, argue-t-il.

Mais ce choix d'invoquer un préjudice individuel pour demander l'annulation de l'accord global paraît très risqué. « Compte tenu du fait que le DPF n'est pas un acte de l'UE qui lui est destiné, M. Latombe devra démontrer, entre autres, que cet acte affecte directement sa situation juridique », analyse Théodore Christakis, professeur de droit européen et international, spécialisé dans la protection des données. Pas gagné : en 2020, la cour a jugée irrecevable une requête similaire car le plaignant invoquait l'intérêt général alors que ce mécanisme est individuel.

Philippe Latombe est conscient du risque de rejet de sa plainte en raison du combat politique qu'il mène contre l'hégémonie économique des Gafam en Europe. « Je tente le coup car si ma requête est recevable, cette procédure permettra de gagner beaucoup de temps par rapport à la voie choisie par Max Schrems, donc de limiter les effets néfastes du DPF. Et si ma plainte n'est pas recevable, le Tribunal devra justifier son refus, ce qui aidera ensuite Max Schrems dans sa propre requête auprès de la CJUE, et cela remettra également la pression sur la Commission européenne », estime-t-il.

Max Schrems va attaquer à l'automne

Effectivement, la méthode atypique de Philippe Latombe pourrait avoir le mérite de la rapidité : si sa plainte est recevable, le Tribunal pourrait suspendre immédiatement l'application du Data Privacy Framework, le temps de l'instruire et de se prononcer.

Au contraire, la méthode de Max Schrems, qui s'est révélée infaillible pour le Safe Harbor et le Privacy Shield, est plus longue. Pour des raisons de délais d'application du nouvel accord, l'Autrichien ne pourra déposer sa plainte qu'en octobre, au minimum, car il devra présenter des exemples de transferts de données problématiques. Le temps de l'instruction et de la décision est également plus long à la Cour de justice européenne qu'au Tribunal de l'UE.

En attendant, les deux hommes ont prévu de se rencontrer dans quelques jours. Ironiquement, Philippe Latombe vient de faire l'objet d'une attaque de la Quadrature du Net, association française de défense des libertés classée à gauche, qui l'accuse de soutenir les industriels de la surveillance en contradiction avec son devoir de réserve lié à ses fonctions de membre du collège de la Cnil. Des critiques jugées « infondées et ridicules » par l'intéressé.

Sylvain Rolland

11 Sept 2023, 7:09

Partager :