Passer au contenu

Transfert de données UE-US : la nouvelle cour de Biden déjà sous le feu des critiques

La « Data Protection Review Court » est une nouvelle « cour » mise en place par l’administration Biden pour trancher les litiges liés aux données personnelles des Européens. Cette juridiction, présentée comme une concession faite par Washington lors de la négociation du nouvel accord transatlantique, aurait commencé à fonctionner, dans la plus grande confidentialité pour les uns, la plus grande opacité pour les autres. Ce qui n’a pas empêché les critiques de fuser.

Lieu secret, audience sans plaignant, décision confidentielle, absence de recours… La « Data Protection Review Court », la cour spéciale mise en place aux États-Unis pour trancher les cas de collecte de données personnelles des Européens par des services secrets américains, aurait commencé à fonctionner. Et en la matière règne la plus grande opacité, rapporte Politico, le 18 janvier dernier. Cette nouvelle juridiction fait partie d’une série de « garde-fous » mise en place par l’administration américaine en octobre 2022. Après l’annulation du « Privacy Shield » par la justice européenne en 2020, Bruxelles avait demandé à Washington d’octroyer aux Européens davantage de garanties, lorsque leurs données personnelles (e-mail, conversations privées) traversent l’Atlantique et finissent dans des centres de données américains et parfois, dans les mains des agences de renseignement.

Pour qu’une donnée personnelle d’un Européen soit transférée dans un pays en dehors de l’Union européenne (UE), il faut que l’État en question offre aux Européens un niveau de protection équivalent à celui en place sur le Vieux continent. Si c’est le cas, l’UE prend des « décisions d’adéquation » qui consistent à dire : votre droit est équivalent au nôtre, donc nos données personnelles peuvent être transférées sur votre sol en toute sécurité. Or, par deux fois (en 2014 et en 2020), la justice européenne a estimé que le système américain n’offrait pas suffisamment de garantie aux résidents européens. Elle a donc annulé les deux précédents accords de transfert de données, à savoir le « Safe Harbor » et le « Privacy Shield ».

À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête

Huit juges nommés

Ce qui a conduit à ce que Washington et Bruxelles négocient un nouvel accord. En mars 2022, Joe Biden et Ursula von der Leyen ont scellé un accord politique, aboutissant sept mois plus tard à un « executive order ». Ce décret présidentiel est venu ajouter « un nouveau mécanisme de recours à deux niveaux, doté d’une autorité indépendante et contraignante », dont la mise en place d’une nouvelle cour, la « Data Protection Review Court », précise l’UE dans un communiqué. Auparavant, si un Européen estimait que ses données (comme ses emails ou ses conversations privées) avaient été consultées abusivement par la CIA ou le FBI, il pouvait faire appel à un médiateur. Mais cette procédure n’aurait jamais été, en pratique, utilisée, souligne Max Schrems, sur son compte X.

https://twitter.com/maxschrems/status/1747920810252099618

Désormais, un Européen mécontent peut saisir cette nouvelle « cour », la « Data Protection Review Court », après un long processus.

Et près de six mois après l‘officialisation du nouvel accord transatlantique (le « Data Privacy Framework », le DPF en juillet 2023), les nouvelles concernant cette fameuse DPRC sortent au compte-goutte. On sait que ses huit juges ont bien été nommés. Mais hormis cela, rien ne filtre. Où siègent-ils ? Impossible à savoir. Ont-ils déjà rendu des décisions ? Difficile à dire. Et si on comprend que les cas jugés sont particulièrement sensibles —  il s’agit ni plus ni moins d’un possible abus dans la surveillance des agences de renseignement américaines — la confidentialité a été imposée à un point tel que l’accès à un tel recours pourrait n’être que théorique.

Saisir la DPRC : le parcours du combattant

Quiconque souhaite contester une « collecte abusive de données personnelles » par une autorité américaine doit en effet passer par différentes étapes. Tout commencerait théoriquement par un soupçon, une impression d’être surveillé ou de l’avoir été par la CIA, le FBI ou la NSA – un élément qui peut être difficilement appréciable et qui pourrait ramener les cas de saisine à zéro. « Je ne pense pas qu’un citoyen espagnol mécontent de s’être vu refuser son visa puisse penser que cela pourrait être dû à des transferts de données vers les États-Unis et passer par cette procédure », estime Max Schrems, le juriste autrichien à l’origine de l’annulation des deux accords transatlantiques, interrogé par Politico.

Mais si un résident européen porte néanmoins plainte, ses doléances sont reçues par un responsable européen de la protection des données (le Conseil européen de la protection des données), qui va échanger avec le « Civil Liberties Protection Officer », une autorité américaine rattachée au Renseignement outre Atlantique. Ce « Bureau de la protection des libertés » est chargé de veiller à ce que les agences de renseignement respectent bien la vie privée et les droits fondamentaux, détaille l’UE dans son communiqué.

Dans ce nouveau système, ce Bureau a le rôle d’une première instance : c’est lui qui va décider s’il y a eu une violation des droits. Concrètement, il dira, à l’issue de son enquête : soit : « une violation est constatée, et nous avons pris des mesures appropriées pour y mettre fin » (mais il ne précisera pas lesquelles). Soit : « aucune violation a eu lieu ». C’est seulement à ce moment-là que l’Européen pourra faire appel et saisir la « Data Protection Review Court », mais seulement via un « avocat spécial » désigné par cette cour. Et là aussi, aucune chance d’avoir des détails de l’affaire, puisque le plaignant ne pourra pas lui-même comparaître.

Aucun recours prévu

Or, la décision du Bureau étant inaccessible, « que va-t-on écrire dans l’appel ? Rien, car on ne sait pas quelle réponse a été donnée (en première instance, NDLR) », déplore Max Schrems, interrogé par nos confrères. « En tant qu’avocat, il est vraiment difficile de gagner un cas en disant “Je fais appel” sans dire quel est votre problème avec la (première) décision », ajoute-t-il. Enfin, le plaignant ne saura pas comment son affaire a été tranchée par la « Data Protection Review Court ». Et aucun recours n’a été prévu, ce qui signifie que ni les agences fédérales, ni les plaignants ne peuvent contester ses décisions, un point particulièrement critiqué par les défenseurs des droits. Cette absence d’appel inquiète aussi les agences fédérales, ces dernières craignant de se voir imposer de nouvelles limites à leur surveillance, rapporte Politico.

Un point dont doute Max Schrems, qui estime que ce processus montre surtout que cette DPRC n’est pas un recours effectif au sens de l’article 47 de la Charte des droits fondamentaux de l’UE, écrivait-il sur le site de NOYB, l’association qu’il a fondée. La question sera certainement tranchée par la Cour de justice de l’UE dans quelques années. Le juriste autrichien avait annoncé en juillet dernier qu’il attaquait en justice le nouvel accord transatlantique, le DPF.

Pas de citoyenneté américaine, pas de droits

Pourquoi ne pas avoir mis en place une cour d’appel qui est plus conforme à notre système européen à double instance ? L’explication se trouve dans la conception du droit aux États-Unis. Outre Atlantique, « seuls les ressortissants américains peuvent bénéficier de droits constitutionnels » – comme le droit à un recours effectif devant un tribunal impartial et indépendant. « Les étrangers (non citoyens) n’ont aucun droit », nous expliquait Max Schrems il y a plusieurs mois. Ce qui explique qu’en mettant en place ce système, Washington fait certes des concessions qui, pour certains, n’ont jamais été vues en droit américain pour des personnes qui ne sont ni citoyens américains, ni résidents aux États-Unis.

Mais ils restent très insuffisants, estime Max Schrems : un avis partagé par le gardien des libertés européen, qui avait rendu un avis réservé à ce sujet, ainsi que par le Parlement européen. Pour sortir de l’impasse, il faudrait soit accorder plus de droits aux Européens aux États-Unis, ce qui ne semble pas être la voie choisie – la loi FISA, qui autorise l’accès des agences de renseignements à nos conversations et nos données, vient d’être renouvelée pour quelques mois. Autre option : mettre en place un traité international avec des garanties minimales réciproques en cas de surveillance par les agences de renseignement. Cette étape pourrait prendre des années.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Politico