GuiGui's Show

Data Privacy Framework (DPF) = décision d'adéquation (art 45 du RGPD) entre l'Union européenne et les États-Unis d'Amérique.

2023

Rapport 2022 déclassifié de la FISA Court (FISC). Environ 278 000 abus en 2020-2021. Environ 23 000 recherches sur des citoyens états-uniens impliqués dans l’attaque du Capitole (page 30). Recherche sur environ 19 000 donateurs pour une élection au congrès (idem). Recherche sur 133 personnes arrêtées dans le cadre du mouvement social de protestation suite au meurtre de Floyd par un flic (page 27). DOJ NSD (division de la sécurité nationale du ministère de la Justice) a estimé que ces recherches (comme d’autres) ne pouvaient raisonnablement pas être susceptibles de porter sur du renseignement étranger ou à récolter des preuves d’un crime (auquel cas FBI peut utiliser la section 702 sur des citoyens ricains).

Le droit des USA prévoit une information des personnes espionnées, notamment quand un produit de la surveillance sera utilisé contre eux dans un procès pénal. Sans surprise, cette information est perfectible et non-systématique.

2024

Consultation publique préalable + rapport de la Commission européenne (ComUE). Article 45(3) du RGPD + considérant 211 du DPF : un an après l'adoption puis au moins tous les quatre ans. En résumé : circulez, les institutions sont en place, les USA sont adéquats au droit de l'UE, et autosatisfaction. Contribution d'Aeris. La mienne n'a pas été publiée car déposée hors délai (mais la ComUE m'a assuré qu'elle la prendrait en compte, trololo). Avis de Dignilog. Rapport du CEPD. Ce rapport est une très bonne synthèse toujours d'actualité. En résumé : y a encore du travail. Article de Next.

Renouvellement de FISA : 4 mois fin 2023, puis loi RISAA d'avril 2024 qui l'a ré-autorisé jusqu'en avril 2026. Des chefs du FBI incitaient à l'utilisation des outils de surveillance pour justifier le renouvellement.

La loi Reforming Intelligence And Securing America Act (RISAA) étend la définition des entités qui doivent collaborer avec les services de renseignement. Même le lobby des multinationales états-uniennes du numérique s'en est inquiété. La meilleure source est la section 3.2 du rapport précité du CEPD. Lire aussi : article 1 de Next ; Article 2 de Next ; Article d'Ars Technica. Notons que le projet de loi concurrent, préparé par la Commission sénatoriale du renseignement, prévoyait le recours à FISA 702 à l'encontre des demandeurs d'asile, et de visas, dont les visas permanents…

2025

Jugement T-354/22 du Tribunal de l'UE. Il illustre la difficulté de convaincre une juridiction lorsque une entité états-unienne héberge les données sur le sol de l'UE. Pourvoi en cours (C-206/25).

Le retour de Trump au pouvoir, sa volonté de concentrer le pouvoir (ex. : décret présidentiel EO 14215, les agences fédérales doivent soumettre leurs mesures réglementaires au Président), son limogeage de membres du PCLOB (dispositif central du DPF et du contrôle du renseignement ricain, sur lequel le CEPD s'appuie lourdement), limogeage de la patronne de la FED, limogeage à la tête de la FTC, etc., mettent en lumière l'absence d'indépendance des contre-pouvoirs prévus pour le DPF. Le patron de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a écrit à ce sujet au Commissaire européen de la direction générale de la justice et des consommateurs (DG JUST) de la ComUE.

Deux articles de noyb : US Cloud soon illegal? Trump punches first hole in EU-US Data Deal et EU-US Data Transfers: Time to prepare for more trouble to come.

Rejet du recours Latombe contre le DPF. Voir ici. Pourvoi en cours.

2026

En avril 2026, prolongation de 10 jours puis de 45 jours de la section 702 de la loi FISA, le temps de trouver un accord politique sur son énième renouvellement couplé, ou non, à une énième réforme.

Rapports

L'Office of the Director of National Intelligence (ODNI, directeur du renseignement national) publie un rapport annuel de transparence.

Rapports annuels FISA du Ministère de la justice (DOJ).

Mon retour d'expérience

En 2022, j'ai déposé des plaintes auprès de la CNIL concernant des transferts de données à caractère personnel survenant sur le site web de médias en ligne. Début 2024, la CNIL n'ayant pas traité ces plaintes dans un délai raisonnable, j'ai saisi le Conseil d'État. Dans la foulée, la CNIL a clôturé mes plaintes : le DPF corrige la situation, et elle a rappelé leurs obligations aux journaux en ce qui concerne les transferts survenus en l'absence de décision d'adéquation. J'ai saisi le Conseil d'État en l'invitant à transmettre à la CJUE une question portant sur la validité du DPF. Je me suis fait tej.

En effet, les faits sont antérieurs au DPF, donc le CE s'est borné à constater qu'un rappel aux obligations légales par la CNIL est une mesure correctrice suffisante. Comme tout acte d'une administration, le DPF est présumé légal, donc la CNIL pouvait légitimement considérer qu'il constitue une mesure correctrice. Si je pensais l'inverse, il m'appartenait d'en informer la CNIL après son adoption, ce que je n'ai pas fait. Dès lors, la CNIL n'était pas saisie de la validité du DPF, donc le CE n'avait pas à se prononcer dessus, et donc à saisir la CJUE. On retrouve les mêmes rejets procéduraux dans les recours contre la Plateforme des données de santé (HDH).

Néanmoins, j'ai œuvré avec un avocat spécialiste de ces sujets. En résumé : le DPF est difficile à dézinguer. Il faut aller dans le détail, en mélangeant du droit ricain et du droit européen, l'analyse de noyb (cf. articles supra) est superficielle, donc c'est très coûteux. Il ne suffit pas de prétendre qu'il est un copier-coller des décisions d'adéquation antérieures (Safe Harbor et Privacy Shield). D'ailleurs, noyb n'a pas agi contre le DPF (je leur ai demandé en février 2024).

Quelques détails :

• Doute sur la possibilité de prendre en compte les dérives de Trump, car il semble que la CJUE statue en prenant en compte les éléments connus à la date de l'édiction du DPF (donc juillet 2023). Même lors d'une question préjudicielle. Voir, en ce sens, ses arrêts DRI et Schrems I (Snowden est cité en contexte général, pas en argument). Un type de recours permet peut-être d'influer sur cela, mais il faut l'identifier ;
  
  
• Certains membres du PCLOB qui ont été limogés par Trump ont contesté en justice. Ils ont gagné en première instance. L'État a fait appel. En attente de la décision de la Cour suprême dans les dossiers FED et FTC (cf. les liens ci-dessus). La justice européenne pourrait répondre que l'état de droit fonctionne (même si le membre du PCLOB n'a pas été réintégré, alors que l'appel n'étant a priori pas suspensif) ;
  
  
• Remettre en cause l'indépendance de la DPRC, du PCLOB, du CLOP de l'ODNI, etc., au motif qu'ils sont l'exécutif et/ou qu'ils sont nommés ou révoqués par lui, y compris par l'intermédiaire du Procureur général, est insuffisant : dans l'UE, et en France, les magistrats, y compris du siège, sont indirectement nommés par le président de la République, et la CEDH valide. Il faut aller plus loin juridiquement dans la critique en vérifiant les critères précis de la CEDH. Les arrêts CJUE contre la Hongrie et la Pologne en ce qui concerne l'indépendance des juges ne sont pas forcément topiques ;
  
  
• Énoncer que, pour accomplir son devoir de conseil auprès de la ComUE, le CEPD se repose sur le PCLOB qui ne fonctionne plus, est sans incidence : le RGPD ne prévoit pas que le CEPD se base sur des autorités étrangères (ou européennes) pour préparer sa position ;
  
  
• Comme je l'ai écrit dans un précédent article, des choses que nous reprochons aux ricains sont monnaie courante dans l'UE et/ou en France, donc ça ne convaincra aucune juridiction…

Bref, le débat juridique contre le DPF est vraiment pointu.

Il reste des arguments : mise à jour secrète, par le président ricain, des objectifs de renseignement (pour la collecte en vrac, le Tribunal de l'UE a dit OK, mais il n'a pas été saisi sur les autres activités de renseignement) ; l'absence d'information des personnes surveillées empêche tout recours (on a pareil en France, ceci dit) ; (in)effectivité de la mise en œuvre des principes de nécessité et de proportionnalité, notamment au regard des abus référencés supra ; auto-certification des importateurs, qui, par ailleurs, peinent à respecter le RGPD, et absence de contrôle effectif par la FTC ; et les nombreuses dérogations prévues par le décret présidentiel EO 14086 annihilent le principe.

Je les ai soulevés dans des plaintes CNIL déposées en 2025. En cours de traitement.