Le nouveau cadre transatlantique de protection des données personnelles est en grande partie une copie du "bouclier de protection des données".
La troisième tentative de la Commission européenne d'obtenir un accord stable sur les transferts de données entre l'UE et les États-Unis sera probablement renvoyée devant la Cour de justice (CJUE) dans quelques mois. Le prétendu "nouveau" cadre transatlantique de protection des données personnelles est en grande partie une copie du "bouclier de protection des données" qui a échoué. Malgré les efforts de relations publiques de la Commission européenne, la législation américaine et l'approche adoptée par l'UE n'ont guère changé. Le problème fondamental de la FISA 702 n'a pas été abordé par les États-Unis, qui considèrent toujours que seuls les ressortissants américains peuvent bénéficier de droits constitutionnels.
- Comparaison de l'évolution du droit américain depuis 2014 :
- Comparaison avec les efforts de relations publiques précédents :
- "Rétablir la confiance dans les flux de données entre l'UE et les États-Unis" et le "Parapluie" de 2013
- Communiqué de presse sur le "Privacy Shield" de 2016
- FAQ pour les médias sur le "bouclier de protection de la vie privée" de 2016
- Accord de principe d'une page entre M. Biden et Mme von der Leyen (2022)
- Projet de décision d'adéquation de la Commission européenne (décembre 2022)
Contexte. En 2013, Edward Snowden a révélé que le gouvernement américain utilisait des entreprises de "big tech" et des programmes tels que"PRISM" ou"Upstream" en vertu de la FISA 702 et de l'EO 12.333 pour espionner le reste du monde sans avoir besoin d'une cause probable ou d'une approbation judiciaire. Cet espionnage ne se limitait pas à la criminalité ou au terrorisme, mais s'étendait également à l'espionnage des "partenaires" des États-Unis. Depuis une loi européenne de 1995, les données personnelles ne peuvent généralement pas être envoyées en dehors de l'UE à moins qu'il n'existe une protection "essentiellement équivalente" dans le pays de destination. L'industrie américaine s'est fortement appuyée sur une décision de la Commission européenne appelée "Safe Harbor" qui a déclaré les États-Unis "essentiellement équivalents" en 2000. La CJUE a annulé la décision de la Commission dans l'affaire C-362/14 ("Schrems I") en 2015, compte tenu des lois de surveillance américaines. En 2016, la Commission européenne a adopté à nouveau la même décision sur les transferts de données entre l'UE et les États-Unis, sous le nouveau nom de "Privacy Shield", qui a été invalidée par la CJUE dans l'affaire C-311/18 ("Schrems II") en 2020, en grande partie pour les mêmes raisons.
Les tours de magie d'Ursula et de Joe. Après l'annulation du "Privacy Shield", les négociations entre l'UE et les États-Unis n'ont guère progressé. Les États-Unis ont insisté sur le fait que les données de l'UE resteraient soumises à la surveillance de masse américaine et que les personnes "non américaines" ne bénéficieraient pas des mêmes protections que les personnes américaines. Après plus d'un an et demi de stagnation, les États-Unis auraient utilisé la guerre en Ukraine pour faire pression sur l'UE en matière de partage des données à caractère personnel. Peu après, Joe Biden et Ursula von der Leyen se sont rencontrés le 25 mars 2022. Le même jour, les deux hommes ont soudainement "résolu" ce que les avocats n'avaient pas pu résoudre et ont présenté un"accord de principe", un document d'une page qui contenait essentiellement deux "astuces" qui devraient calmer le public :
- Premièrement, la CJUE a estimé que la surveillance en vrac prévue par la FISA 702 n'était pas "proportionnée" au sens de l'article 52 de la Charte des droits fondamentaux de l'Union européenne (CFR). Le "nouveau" décret américain 14086 (qui est largement équivalent à la PPD-28 de 2014) inclurait désormais le mot "proportionné". La "ruse" ici : les États-Unis attribueront un autre sens au mot "proportionné" que la CJUE. Le décret 14086 déclare que la surveillance de masse prévue par la loi FISA 702 est "proportionnée" en vertu d'une "interprétation américaine" non divulguée du terme et contrairement aux deux conclusions de la CJUE. De cette manière, l'UE et les États-Unis ont pu prétendre qu'ils s'étaient mis d'accord sur le même mot ("proportionné"), même s'il n'y a pas d'accord sur la signification du mot.
- Deuxièmement, la CJUE a estimé que le recours via le "médiateur" du Privacy Shield n'était pas du tout conforme à l'article 47 du CFR - même si le médiateur a été salué par les relations publiques de la Commission en 2016 comme une forme "indépendante" de "recours dans le domaine de la sécurité nationale". L'"astuce" en matière de recours : le mécanisme du médiateur a été renommé et divisé en un officier de protection des libertés civiles (CLPO) et une soi-disant "Cour" (qui n'est pas un tribunal, mais un organe exécutif partiellement indépendant). Bien qu'il y ait quelques améliorations mineures par rapport au médiateur, l'individu n'aura aucune interaction directe avec les nouveaux organes (il devra envoyer une plainte à une autorité de protection des données de l'UE et ne sera pas entendu par les États-Unis) et ceux-ci donneront exactement la même réponse que l'ancien "médiateur". En vertu du décret 14086, le CLPO et la Cour doivent en tout état de cause répondre en disant : "Sans confirmer ou infirmer que le plaignant a fait l'objet d'activités de renseignement d'origine électromagnétique de la part des États-Unis, l'examen n'a pas identifié de violations couvertes ou la Cour d'examen de la protection des données a rendu une décision exigeant des mesures correctives appropriées" (voir ici). Le "jugement" de cette "Cour" est donc connu avant même qu'une affaire soit introduite. Ce mécanisme pose de nombreux autres problèmes, qui garantiront dans une large mesure que les plaintes ne seront même pas admises. Il semble impensable que la Cour de justice accepte cela comme un "recours judiciaire" au titre de l'article 47 du traité FCE.
- Enfin, les États-Unis ont refusé de réformer la loi FISA 702 afin d'accorder aux personnes non américaines des protections raisonnables en matière de vie privée. Les deux côtés de l'Atlantique s'accordent à dire que FISA 702 et EO 12.333 violent les droits fondamentaux en vertu du 4e amendement aux États-Unis et des articles 7, 8 et 47 du CFR dans l'UE - mais les États-Unis continuent d'insister sur le fait que les personnes non américaines n'ont pas de droits constitutionnels aux États-Unis - par conséquent, une violation de leur droit à la vie privée n'est pas couverte par le 4e amendement.
- La loiFISA 702 devra être prolongée jusqu'à la fin de l'année 2023, étant donné qu'il existe une "clause de caducité" dans la législation américaine. Cela aurait été l'occasion idéale d'améliorer la législation américaine, mais étant donné le nouvel accord avec l'UE, les États-Unis n'auront que peu de raisons de réformer la loi FISA 702.
Dans l'ensemble, le nouveau "cadre transatlantique de protection des données personnelles" est une copie du Privacy Shield (de 2016), qui était lui-même une copie du "Safe Harbor" (de 2000). Étant donné que cette approche a déjà échoué à deux reprises, il n'y avait pas de base juridique pour ce changement de cap - la seule logique de l'accord était politique.
Max Schrems, président du noyb: "On dit que la définition de la folie est de faire la même chose encore et encore et de s'attendre à un résultat différent. Tout comme le "bouclier de protection de la vie privée", le dernier accord n'est pas basé sur des changements matériels, mais sur des intérêts politiques. Une fois de plus, la Commission actuelle semble penser que le gâchis sera le problème de la prochaine Commission. FISA 702 doit être prolongé par les Etats-Unis cette année, mais avec l'annonce du nouvel accord, l'UE a perdu tout pouvoir pour obtenir une réforme de FISA 702"
Me tromper trois fois ? Dès le lendemain des révélations de Snowden en 2013, la Commission européenne a annoncé qu'elle allait "rétablir" la confiance et"rendre Safe Harbor plus sûr" et proposer un"accord-cadre". En 2016, les journalistes ont appris que le "Privacy Shield" signifierait que "pour la première fois, les États-Unis ont donné à l'UE une assurance écrite", qu 'il y aurait " des limitations, des garanties et des mécanismes de contrôle clairs" et même "pas de surveillance de masse indiscriminée" . Aucune de ces affirmations et aucun de ces systèmes ne se sont avérés stables lorsqu'ils ont été soumis à la CJUE. Dans la version actuelle des efforts de relations publiques de la Commission, les mêmes affirmations (qui se répètent sans cesse) sont maintenues.
Max Schrems :"Nous avons maintenant des "ports", des "parapluies", des "boucliers" et des "cadres", mais aucun changement substantiel dans le droit américain de la surveillance. Les communiqués de presse d'aujourd'hui sont presque une copie littérale de ceux des 23 dernières années. Se contenter d'annoncer que quelque chose est "nouveau", "robuste" ou "efficace" ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n'est tout simplement pas le cas
Le recours devant la CJUE est prêt à être déposé. Toute personne dont les données personnelles seront transférées dans le cadre du nouvel accord peut introduire un recours auprès des autorités de protection des données ou des tribunaux. noyb a préparé diverses options procédurales pour ramener le nouvel accord devant la CJUE. Nous nous attendons à ce que le nouveau système soit mis en œuvre par les premières entreprises dans les prochains mois, ce qui ouvrira la voie à une contestation par une personne dont les données sont transférées dans le cadre du nouvel instrument. Il n'est pas improbable qu'un recours parvienne à la CJUE d'ici la fin de l'année 2023 ou le début de l'année 2024. La CJUE aurait alors la possibilité de suspendre le "cadre" pendant la durée de la procédure. Une décision finale de la CJUE serait vraisemblablement rendue en 2024 ou 2025. Quelle que soit l'issue de ce recours, le "cadre transatlantique de protection des données" sera clarifié dans un délai d'environ deux ans.
Max Schrems : "Nous avons déjà dans nos tiroirs plusieurs options de recours, mais nous en avons assez de ce ping-pong juridique. Nous nous attendons actuellement à ce que la Cour de justice soit à nouveau saisie au début de l'année prochaine. La Cour de justice pourrait même suspendre le nouvel accord pendant qu'elle en examine la substance. Dans l'intérêt de la sécurité juridique et de l'État de droit, nous saurons alors si les minuscules améliorations apportées par la Commission étaient suffisantes ou non. Au cours des 23 dernières années, tous les accords entre l'UE et les États-Unis ont été déclarés invalides rétroactivement, rendant ainsi illégaux tous les transferts de données effectués dans le passé par les entreprises - il semble que nous venons d'ajouter deux années supplémentaires à ce ping-pong
La Commission européenne se soucie peu de l'État de droit et de la vie privée des citoyens. Cette troisième tentative d'adoption de la même décision illégale soulève également des questions quant au rôle plus large de la Commission européenne en tant que gardienne des traités de l'UE. Au lieu de défendre l'"État de droit", la Commission se contente d'adopter encore et encore une décision invalide, malgré les arrêts clairs de la CJUE. Malgré l'indignation générale suscitée par les révélations de Snowden dans l'UE et les appels répétés du Parlement européen à prendre des mesures, la Commission semble donner la priorité aux relations diplomatiques avec les États-Unis et aux pressions commerciales des deux côtés de l'Atlantique plutôt qu'aux droits des Européens et aux exigences de la législation de l'UE.
Max Schrems :"La Commission est censée être la 'gardienne des traités' et le défenseur de 'l'état de droit'. Elle adore ce rôle lorsqu'il s'agit d'États membres qui violent le droit communautaire. Aujourd'hui, la Commission elle-même ignore tout simplement la Cour de justice pour la troisième fois"