Le 10 juillet 2023, la Commission européenne a adopté la nouvelle décision d'adéquation des États-Unis en matière de données personnelles : EU-US Data Privacy Framework (ou Trans-Atlantic DPF ou Cadre de protection des données). Les données personnelles peuvent donc à nouveau circuler librement entre l'UE et les É-U (à destination des seules entités ricaines auto-certifiées, pour être précis, cf. ci-dessous).
Pour les définitions, les enjeux, et l'historique, lire ici.
TL;DR : rien de sérieux, pas d'apport sur les points bloquants ayant entraînés l'invalidation de la précédente décision, l'UE a, une fois encore, baissé pavillon.
Cette décision n'a pas d'effet rétroactif, donc les plaintes adressées antérieurement à la CNIL (et autres APD) ne sont pas caduques (cf. question 10). Depuis le 10 juillet :
L'avis du Comité Européen de la Protection des Données (CEPD), qui coordonne toutes les Autorités nationales de Protection des Données (APD) comme la CNIL, est mitigé :
Le Parlement européen a voté une résolution qui va dans le même sens : attendre que le nouveau cadre, qui n'a pas été assez amendé pour offrir une protection équivalente au RGPD, soit appliqué côté États-Unis avant d'adopter une décision d'adéquation. Une fois encore, on s'est torché avec la démocratie.
La réaction de NOYB ne diffère pas de mon résumé de novembre 2022 pointé au début de ce shaarli.
La section 702 de la loi ricaine FISA (qui autorise la collecte des données et des metadonnées des personnes ne disposant pas de la citoyenneté ricaine, voir ici, point 2) est caduque à la fin de l'année sauf renouvellement par le Congrès. En adoptant une décision d'adéquation avant ce débat, l'UE prive le parlement ricain et se prive de tout levier de négociation. Même si nous dépendons énormément des ricains au niveau technique cf. le bilan de mes plaintes CNIL, l'UE, c'est environ 450 millions de personnes, donc un sacré marché économique, donc il y avait moyen de peser. L'UE a renoncé à une vision géopolitique (une fois de plus). :(
Comme d'autres, je trouve facile la critique des États-Unis quand nous, Français, pratiquons ce qu'on leur reproche. La réponse-type et l'absence de droit d'accès (ce que déplore aussi le CEPD), c'est ainsi que procèdent la CNIL, la CNCTR et le Conseil d'État dès qu'un citoyen veut savoir s'il est fiché par les renseignements ou les flics français (deuxième source). Seize (!) dossiers sont toujours devant la CEDH.
Ce traitement vaut aussi pour les non-citoyens français surveillés par la France via sa loi de surveillance internationale de 2015 (voir 1 et 2).
Que penser de l'absence de contrôle par une autorité indépendante quand, chez nous, la CNCTR, chargée de contrôler le renseignement, se déclare chaque année, et pas plus tard qu'en juin 2023, en manque de moyens et de compétences, ainsi qu'impuissante à contrôler les techniques de renseignement les plus intrusives ?
Le refus d'accès au dossier d'instruction durant de longues années dans le cadre d'une affaire pénale (toute thématique confondue), c'est aussi une pratique bien établie (Canard enchaîné du 16/11/2022).
Je ne suis pas en train de dire qu'il ne faut pas asticoter les États-Unis, mais qu'il faut aussi nettoyer devant notre porte.