Transferts de données de l’UE vers les USA: la saga continue

Élu en 2017 et réélu en 2022, Philippe Latombe est un fin connaisseur du monde du numérique. Il a ainsi rédigé en 2021 le rapport « Bâtir et promouvoir une souveraineté numérique nationale et européenne ». Il est membre de la Cnil.

Son dernier coup d’éclat a été de contester le « Data Privacy Framework » (DPF) – que l’on pourrait traduire par « Cadre pour les données personnelles » – devant le tribunal de l’Union européenne. Ce texte, qui concerne le transfert des données de l’Union européenne vers les États-Unis, a été publié le 10 juillet dernier. Le député a déposé deux recours, l’un pour suspendre immédiatement l’accord et l’autre sur le contenu du texte. Il existe une incertitude sur la recevabilité procédurale de ces plaintes. En effet le député a agi, sur le fondement de l’article 263, alinéa 4 du Traité sur le fonctionnement de l’UE (TFUE) qui permet aux citoyens européens d’attaquer une décision de la Commission européenne en formant un recours en annulation contre « les actes réglementaires qui les concernent directement et qui ne comportent pas de mesures d’exécution ». Il ne semble pas avoir de précédent dans l’application de cet article.

Cette contestation du DPF est la résultante d’un conflit plus ancien sur le transfert des données personnelles entre l’Europe et les États-Unis. Ce sujet est une véritable saga qui pourrait faire l’objet de multiples saisons dans une série, saga qui est sans doute loin d’être terminée.

• Le premier épisode de la série est la directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998. Elle prohibe le transfert de données personnelles vers des États non-membres de l’Union européenne sauf s’il y a une protection équivalente à celle exigée en Europe.

• Deuxième épisode : l’adoption du « Safe Harbor ». Il s’agit d’une décision de la Commission européenne de 2000 qui autorisait le transfert de données personnelles de l’Europe vers les États-Unis en considérant que ce pays présente des garanties suffisantes pour la protection de la vie privée.

• Dans le troisième épisode, c’est un jeune étudiant en droit autrichien, Maximilian Schrems (il est né en 1987), qui décide d’attaquer le « Safe Harbor ». Un combat de David contre Goliath ! Et comme dans l’épisode biblique, le plus faible va gagner : le 6 octobre 2015, la Cour de justice de l’Union européenne invalide l’accord Safe Harbor (arrêt de la grande chambre du 6 octobre 2015, Maximilian Schrems c/Data Protection Commissioner, C-362/14). La Cour souligne alors que « la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée ».

• Quatrième épisode : la commission européenne et les États-Unis adoptent le 12 juillet 2016, le « Privacy Shield » qui remplace donc le « Safe Harbor » et qui gère à nouveau le transfert des données personnelles.

• Maximilian Schrems ne se décourage pas et, dans le cinquième épisode, il remonte au créneau. Finalement, la Cour de justice de l’Union européenne annule, le 16 juillet 2020, le Privacy Shield. Cette annulation clos la saison 1.

La saison 2, dont on ne connaît pas enco