UE‑U.S. DPF : Exe­cu­ti­ve Order signé ; La bal­le est dans le camp de l’UE ; noyb exami­ne Schrems III

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

,
Ven­te à emporter (AI)
  • Le décret exé­cu­tif amé­ri­cain doit s’at­ta­quer aux lacu­nes en matiè­re de pro­tec­tion des don­nées (Schrems II) en pré­voyant des mesu­res de pro­tec­tion pour le rens­eig­ne­ment d’o­ri­gi­ne élec­tro­ma­gné­tique et la sur­veil­lan­ce des transmissions.
  • Nou­vel­les voies de recours intro­dui­tes : le Civil Liber­ties Pro­tec­tion Offi­cer et le Data Pro­tec­tion Review Court indé­pen­dant doi­vent offrir des méca­nis­mes de plain­te et d’examen.
  • Cri­tique (noyb) : La péné­tra­ti­on de mas­se de la sur­veil­lan­ce demeu­re, la DPRC n’est pas un véri­ta­ble tri­bu­nal, les per­son­nes con­cer­nées ne reçoi­vent sou­vent pas de noti­fi­ca­ti­on transparente.

Le pré­si­dent Joe Biden a signé hier, le 7 octobre 2022, un Exe­cu­ti­ve Order qui con­sti­tue l’u­ne des pier­res angu­lai­res du “Cad­re de pro­tec­tion des don­nées UE-USA“ („EU‑U.S. DPF” ou “Cad­re trans­at­l­an­tique de pro­tec­tion des don­nées„, „TADPF”). La secon­de serait la recon­nais­sance par l’UE, puis cer­tai­ne­ment par le PFPDT, du niveau de pro­tec­tion suf­fi­sant aux États-Unis dans le champ d’ap­pli­ca­ti­on du TADPF.

Le TADPF était annon­cée en mars 2022 après pres­que deux ans de négo­cia­ti­ons ent­re les Etats-Unis et l’UE. Elle est cen­sée com­bler le vide lais­sé par la CJUE avec Schrems II a déchiré.

La Cour de justi­ce des Com­mun­au­tés euro­pé­en­nes avait Arrêt Schrems II a notam­ment cri­ti­qué deux points de la légis­la­ti­on américaine :

  • que l’ac­cès aux don­nées par l’É­tat soit con­for­me aux exi­gen­ces des droits fon­da­men­taux en vigueur en Euro­pe. absence de base léga­le:

    180 … Dans ces con­di­ti­ons, cet­te dis­po­si­ti­on … n’est pas de natu­re à assurer un niveau de pro­tec­tion équi­va­lent à celui pré­vu par la Char­te – tel­le qu’­in­ter­pré­tée par la juris­pru­dence rap­pelée aux points 175 et 176 du pré­sent arrêt, selon laquel­le un base léga­le pour les att­ein­tes aux droits fon­da­men­tauxLa Com­mis­si­on esti­me que le niveau de pro­tec­tion de la vie pri­vée doit être équi­va­lent au niveau de pro­tec­tion garan­ti par le droit com­mun­au­tai­re et que, pour respec­ter le prin­ci­pe de pro­por­ti­on­na­li­té, elle doit déter­mi­ner elle-même la mesu­re dans laquel­le l’e­xer­ci­ce du droit en que­sti­on est limi­té, pré­voir des règles clai­res et pré­cis­es con­cer­nant la por­tée et l’ap­pli­ca­ti­on de la mesu­re en que­sti­on et fixer des exi­gen­ces minimales.

    184 Par con­sé­quent, il y a lieu de con­sidé­rer que ni l’ar­tic­le 702 de la FISA ni le E.O. 12333, lu en com­bi­nai­son avec la PPD-28, ne satis­font aux exi­gen­ces mini­ma­les exi­stant en droit de l’U­ni­on en ver­tu du prin­ci­pe de pro­por­ti­on­na­li­té, de sor­te qu’il ne sau­rait être con­sidé­ré que les pro­gram­mes de sur­veil­lan­ce fon­dés sur ces dis­po­si­ti­ons sont limi­tés à ce qui est stric­te­ment nécessaire.

  • et que absence de voies de recours effi­caces:

    191 À cet égard, la Com­mis­si­on … a décla­ré : “Bien que les par­ti­cu­liers, y com­pris les per­son­nes con­cer­nées dans [l’U­ni­on], dis­po­sent d’un cer­tain nombre d’in­stru­ments de recours s’ils ont fait l’ob­jet d’u­ne sur­veil­lan­ce (élec­tro­ni­que) illé­ga­le pour des rai­sons de sécu­ri­té natio­na­le, il est clair qu’au moins cer­tai­nes bases juri­di­ques que les ser­vices de rens­eig­ne­ment amé­ri­cains peu­vent uti­li­ser (par exemp­le, [l’]E.O. 12333) [ne sont pas cou­ver­tes]”. Elle a donc, dans ce 115e con­sidé­rant en ce qui con­cer­ne l’E.O. 12333, l’ab­sence de tou­te voie de recours a été souli­g­née. Selon la juris­pru­dence rap­pelée au point 187 du pré­sent arrêt, une tel­le lacu­ne dans la pro­tec­tion juri­dic­tion­nel­le cont­re les ingé­ren­ces liées aux pro­gram­mes de rens­eig­ne­ment fon­dés sur ce décret pré­si­den­tiel s’op­po­se à la con­sta­ta­ti­on fai­te par la Com­mis­si­on dans la décis­i­on DSS selon laquel­le le droit des États-Unis assu­re un niveau de pro­tec­tion équi­va­lent, quant au fond, à celui garan­ti par l’ar­tic­le 47 de la Charte.

    192 Par ail­leurs, tant en ce qui con­cer­ne les pro­gram­mes de sur­veil­lan­ce fon­dés sur la sec­tion 702 de la FISA que ceux fon­dés sur l’E.O. 12333, il a été con­sta­té, aux points 181 et 182 du pré­sent arrêt, que ni la PPD-28 ni l’E.O. 12333 ne con­fè­rent aux per­son­nes con­cer­nées des droits sus­cep­ti­bles d’êt­re invo­qués en justi­ce cont­re les auto­ri­tés amé­ri­cai­nes, de sor­te que ces per­son­nes ne dis­po­sent pas d’un recours effectif.

Dans ce con­tex­te, l’E­xe­cu­ti­ve Order don­ne, con­for­mé­ment au Fiche d’in­for­ma­ti­on de la Mai­son Blan­che pré­voit essen­ti­el­le­ment ce qui suit :

  • Mesu­res de pro­tec­tion” con­cer­nant Acti­vi­tés de recon­nais­sance des signaux amé­ri­cains (“Signals intel­li­gence” ou “Upstream Sur­veil­lan­ce” ; c’est-à-dire en ce qui con­cer­ne l’in­ter­cep­ti­on sys­té­ma­tique de don­nées lors de leur trans­mis­si­on, par exemp­le sur la base de la FISA 702 et de l’OE 12333, qui ont tou­tes deux été dans le col­li­ma­teur de la CJCE), par exemp­le une limi­ta­ti­on à une acti­vi­té pro­por­ti­onnée à cer­ta­ins objec­tifs de sécu­ri­té natio­na­le et tenant comp­te de la pro­tec­tion des don­nées, éga­le­ment au pro­fit de citoy­ens non américains ;
  • Direc­ti­ves rela­ti­ves au trai­te­ment des don­nées per­son­nel­les et des responsa­bi­li­tés élar­gies pour les fonc­tion­n­aires con­cer­nés, afin que des mesu­res appro­priées soi­ent pri­ses en cas d’infraction ;
  • un Mise à jour des poli­ti­ques et pro­cé­du­res de la com­mun­au­té du rens­eig­ne­ment des États-Unis ;
  • pro­tec­tion juri­di­que indé­pen­dan­te pour les par­ti­cu­liers des Qua­li­fy­ing Sta­tes et pour cer­tai­nes orga­ni­sa­ti­ons, en cas de vio­la­ti­on pré­su­mée de la pro­tec­tion des don­nées, par l’in­ter­mé­di­ai­re du “Civil Liber­ties Pro­tec­tion Offi­cer” (CLPO) qui peut prend­re des décis­i­ons con­traignan­tes ; puis sur une nou­vel­le Cour d’ex­amen de la pro­tec­tion des don­nées (DPRC), qui peut exami­ner les décis­i­ons du CLPO. Le ou les DPRC doi­vent être com­po­sés de maniè­re indé­pen­dan­te et agir sans ins­truc­tions du gouvernement ;
  • l’ac­tuel Pri­va­cy and Civil Liber­ties Over­sight Board (PCLOB) doit exami­ner régu­liè­re­ment les poli­ti­ques et les pro­cé­du­res de la com­mun­au­té du renseignement.

Le tex­te inté­gral de l’e­xe­cu­ti­ve order est dis­po­ni­ble ici.

La bal­le est main­tenant dans le camp de la Com­mis­si­on euro­pé­en­ne qui peut lan­cer la pro­cé­du­re pour une décis­i­on d’a­dé­qua­ti­on. Dans ce cad­re, le Comi­té euro­pé­en de la pro­tec­tion des don­nées (CEPD/EDSA) et les États mem­bres se pro­non­ce­ront, et le Par­le­ment euro­pé­en a un droit de regard. Pour plus d’in­for­ma­ti­ons, voir les Que­sti­ons & répon­ses de la Com­mis­si­on euro­pé­en­ne sur le TADPF. En atten­dant, les ent­re­pri­ses restent tri­bu­tai­res des clau­ses con­trac­tu­el­les types (sauf excep­ti­ons ou aut­res “outils de transfert”).

Il n’est guè­re sur­prenant que la Réac­tion de noyb, l’ONG de Max SchremsExe­cu­ti­ve Order on US Sur­veil­lan­ce unli­kely to satis­fy EU law”. La rai­son invo­quée est que

  • les mesu­res de sur­veil­lan­ce se poursuivent :

    Cepen­dant, mal­gré le chan­ge­ment de ces mots, il y a pas d’in­di­ca­ti­on que la sur­veil­lan­ce de mas­se amé­ri­cai­ne chan­ge­ra dans la pra­tique. La sur­veil­lan­ce dite “en vrac” se pour­suiv­ra sous le nou­veau décret exé­cu­tif (voir sec­tion 2 (c)(ii)) et tou­tes les don­nées envoy­ées aux four­nis­seurs amé­ri­cains finiront tou­jours dans des pro­gram­mes tels que PRISM ou Upstream, mal­gré le fait que le CJEU décla­re que les lois et pra­ti­ques de sur­veil­lan­ce amé­ri­cai­nes ne sont pas “pro­por­ti­onnées” (selon l’ac­cep­ti­on euro­pé­en­ne du ter­me) à deux reprises.

  • le DPRC n’est pas un véri­ta­ble tribunal :

    Cour” n’est pas une vraie cour. Le décret exé­cu­tif vise éga­le­ment à ajou­ter un recours. Il s’a­gi­ra désor­mais d’u­ne pro­cé­du­re en deux étapes, la pre­miè­re étant cel­le d’un offi­ci­er du direc­teur du rens­eig­ne­ment natio­nal et la secon­de cel­le d’un “tri­bu­nal d’ex­amen de la pro­tec­tion des don­nées”. Cepen­dant, il ne s’a­gi­ra pas d’u­ne “cour” au sens juri­di­que nor­mal de l’ar­tic­le 47 de la Char­te ou de la Con­sti­tu­ti­on des États-Unis, mais d’un orga­ne au sein de la bran­che exé­cu­ti­ve du gou­ver­ne­ment amé­ri­cain. Le nou­veau système est une ver­si­on amé­lio­rée du système pré­cé­dent de “média­teur”, qui avait déjà été reje­té par le CJUE. Il est clair que cet orga­ne exé­cu­tif ne pour­rait pas, en ver­tu de la Char­te de l’UE, exer­cer de “recours judiciaire”.

  • les per­son­nes con­cer­nées con­ti­nuent à ne pas être infor­mées si elles ont effec­ti­ve­ment fait l’ob­jet d’u­ne surveillance

    Com­me pré­cé­dem­ment, le gou­ver­ne­ment amé­ri­cain ne con­firm­era ni ne nie­ra que l’uti­li­sa­teur était sous sur­veil­lan­ce et se con­t­en­te­ra d’in­for­mer l’uti­li­sa­teur qu’il n’y a pas eu de vio­la­ti­on ou qu’il y a eu des recours (voir la sec­tion 3(c)(E) de l’APG). L’uti­li­sa­teur n’en sau­ra pas plus. Cela rend éga­le­ment inu­tile l’op­ti­on d’ap­pel, car il n’y a tout sim­ple­ment rien à appe­l­er, tant que l’uti­li­sa­teur a reçu cet­te répon­se d’essai.

noyb veut con­tin­uer à ana­ly­ser la situa­ti­on juri­di­que et déci­der ensuite si noyb vise Schrems III.