GuiGui's Show

Le 10 juillet 2023, la Commission européenne a adopté la nouvelle décision d'adéquation des États-Unis en matière de données personnelles : EU-US Data Privacy Framework (ou Trans-Atlantic DPF ou Cadre de protection des données). Les données personnelles peuvent donc à nouveau circuler librement entre l'UE et les É-U (à destination des seules entités ricaines auto-certifiées, pour être précis, cf. ci-dessous).

Pour les définitions, les enjeux, et l'historique, lire ici.

TL;DR : rien de sérieux, pas d'apport sur les points bloquants ayant entraînés l'invalidation de la précédente décision, l'UE a, une fois encore, baissé pavillon.

Cette décision n'a pas d'effet rétroactif, donc les plaintes adressées antérieurement à la CNIL (et autres APD) ne sont pas caduques (cf. question 10). Depuis le 10 juillet :

• les entités ricaines doivent à nouveau s'auto-certifier. Liste ici. Tant que ce n'est pas fait, des transferts de données persos ne peuvent pas reposer sur ce nouveau cadre ;
  
  
• l'annulation des décisions antérieures a eu un effet rétroactif (cf. 3^e paragraphe en partant de la fin), et tout semble indiquer que la nouvelle décision se fera invalider par la CJUE, donc, si le DFP est invalidé, ouvrir des plaintes sous son régime revient à faire constater un manquement au RGPD durant une plus longue période.

L'avis du Comité Européen de la Protection des Données (CEPD), qui coordonne toutes les Autorités nationales de Protection des Données (APD) comme la CNIL, est mitigé :

• Le décret ricain EO 14086 laisse intacte la surveillance de masse temporaire (koikecé ?), toujours nommée « collecte en vrac », qui ne fait l'objet d'aucun contrôle par une autorité indépendante, ni avant, ni après ;
  
  
• Le prétendu tribunal permettant un droit de recours aux Européens est toujours un comité fantoche de l'exécutif ricain qui répondra toujours une réponse-type qui ne pourra pas faire l'objet d'un appel (comme avant, quoi) ;
  
  
• Il faudra vérifier en pratique le sens donné aux mots utilisés dans le décret ricain (genre « nécessité » et « proportionnalité ») et l'application concrète du cadre. Ce qui est impossible sans compter sur un lanceur d'alerte comme Snowden… ;
  
  
• Les exceptions permettant de sortir du nouveau cadre défini sont floues ;
  
  
• Quand toutes les agences de renseignement ricaines seront-elles mises en conformité avec ce nouveau cadre (octobre 2023, d'après la promesse ricaine) ? ; Droit d'accès (indirect, je présume) très restreint ; Et de nombreux autres petits points qui ne font pas sérieux à mes yeux (je vais y revenir).

Le Parlement européen a voté une résolution qui va dans le même sens : attendre que le nouveau cadre, qui n'a pas été assez amendé pour offrir une protection équivalente au RGPD, soit appliqué côté États-Unis avant d'adopter une décision d'adéquation. Une fois encore, on s'est torché avec la démocratie.

La réaction de NOYB ne diffère pas de mon résumé de novembre 2022 pointé au début de ce shaarli.

La section 702 de la loi ricaine FISA (qui autorise la collecte des données et des metadonnées des personnes ne disposant pas de la citoyenneté ricaine, voir ici, point 2) est caduque à la fin de l'année sauf renouvellement par le Congrès. En adoptant une décision d'adéquation avant ce débat, l'UE prive le parlement ricain et se prive de tout levier de négociation. Même si nous dépendons énormément des ricains au niveau technique cf. le bilan de mes plaintes CNIL, l'UE, c'est environ 450 millions de personnes, donc un sacré marché économique, donc il y avait moyen de peser. L'UE a renoncé à une vision géopolitique (une fois de plus). :(

Comme d'autres, je trouve facile la critique des États-Unis quand nous, Français, pratiquons ce qu'on leur reproche. La réponse-type et l'absence de droit d'accès (ce que déplore aussi le CEPD), c'est ainsi que procèdent la CNIL, la CNCTR et le Conseil d'État dès qu'un citoyen veut savoir s'il est fiché par les renseignements ou les flics français (deuxième source). Seize (!) dossiers sont toujours devant la CEDH.

Ce traitement vaut aussi pour les non-citoyens français surveillés par la France via sa loi de surveillance internationale de 2015 (voir 1 et 2).

Que penser de l'absence de contrôle par une autorité indépendante quand, chez nous, la CNCTR, chargée de contrôler le renseignement, se déclare chaque année, et pas plus tard qu'en juin 2023, en manque de moyens et de compétences, ainsi qu'impuissante à contrôler les techniques de renseignement les plus intrusives ?

Le refus d'accès au dossier d'instruction durant de longues années dans le cadre d'une affaire pénale (toute thématique confondue), c'est aussi une pratique bien établie (Canard enchaîné du 16/11/2022).

Je ne suis pas en train de dire qu'il ne faut pas asticoter les États-Unis, mais qu'il faut aussi nettoyer devant notre porte.