Arnaud Le Gall
Question N° 10932 au Ministère de l’europe
Question soumise le 22 août 2023
M. Arnaud Le Gall interroge M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur le Data Privacy Framework, nouvel accord de transfert transatlantique des données entre les Etats-Unis et l'Union européenne, validé le 10 juillet 2023 par la Commission européenne. Ce texte est la troisième version de l'accord. Déjà présenté sous les noms de Safe Harbor, puis de Privacy Shield, il a été invalidé à deux reprises par la Cour de justice de l'Union européenne. Celle-ci avait en effet estimé, à raison, que l'accord n'offrait pas de garanties suffisantes concernant l'utilisation des données personnelles des Européens aux États-Unis, et qu'il constituait, à ce titre, une atteinte grave à la souveraineté de l'Union et aux droits fondamentaux de ses ressortissants (art. 7, 8, 11, 47 et 52 de la Charte des droits fondamentaux de l'Union européenne). Cette nouvelle mouture ne comporte pas de modification substantielle. Elle reste soumise au cadre législatif problématique des États-Unis, notamment le décret 14086 du Président des États-Unis, Joe Biden, ainsi que des textes antérieurs (FISA, Cloud Act, Patriot Act, Executive Order 12333). Dans ce cadre, les instances chargées de la protection des utilisateurs et utilisatrices ne sont pas indépendantes : le responsable de la protection des libertés civiles du Bureau est sous contrôle du directeur du renseignement national, lui-même sous le contrôle direct du Président des États-Unis ; la Data Protection Review Court, est nommée par le Président des Etats-Unis après validation du Sénat ; la « collecte massive de renseignements électromagnétiques » reste possible (Section 2. c. ii. A). Selon toute vraisemblance, cette dernière version sera, comme les précédentes, invalidée par la justice européenne. Mais il n'existe pas de garantie à ce stade. Inquiet de cette situation, M. le député souhaite connaître la position adoptée par la délégation française lors de la réunion du Comité représentatif du 4 au 6 juillet 2023 (CMTD(2023)1164) précédant la validation du nouvel accord. Il s'interroge également sur les éventuels recours possibles pour la France en ce qui concerne la protection des données personnelles si la justice européenne n'invalide pas ce nouvel accord de transfert transatlantique des données.
Réponse émise le 7 novembre 2023
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation concernant les transferts de données personnelles vers les États-Unis (Data Privacy Framework), conformément aux dispositions du règlement (UE) 2016/679, dit règlement général sur la protection des données (RGPD). Cette nouvelle décision d'adéquation est destinée à remplacer la précédente (Privacy Shield), qui avait été annulée par la Cour de justice de l'Union européenne (CJUE) dans un arrêt du 16 juillet 2020 (C-311/18). L'adoption du nouveau Data Privacy Framework fait suite à des évolutions notables du cadre juridique américain, obtenues à la suite de négociations menées par la Commission européenne auprès des autorités américaines, avec pour objectif de répondre aux critiques formulées par la CJUE. Le projet de nouvelle décision d'adéquation initialement proposé par la Commission a également été révisé à la suite d'une analyse juridique approfondie du Comité européen à la protection des données (CEPD) (avis 5/2023 publié le 28 février 2023 et disponible en ligne) et d'une résolution du Parlement européen (2023/2501 (RSP), adoptée le 11 mai 2023). La France a activement participé à l'élaboration de cette nouvelle décision d'adéquation dans le cadre de la procédure de comitologie prévue par l'article 93 du RGPD, en portant des positions ayant fait l'objet d'un travail interministériel approfondi et en prenant en compte les critiques émises par le CEPD et le Parlement européen. Des modifications importantes ont été obtenues dans le cadre de ces négociations. Plusieurs dispositions ont été précisées pour en clarifier la portée, notamment s'agissant de la mise en œuvre des principes de nécessité et de proportionnalité, des droits des personnes concernées par le transfert des données, et concernant le volet commercial. Des garanties supplémentaires ont été ajoutées s'agissant des voies de recours disponibles, par exemple pour faire obstacle à toute annulation par le Président américain des décisions rendues par la Data Protection Review Court et préciser les procédures de nomination pour garantir l'indépendance des juridictions constituant le mécanisme de recours. Le CEPD et le comité de l'article 93 du RGPD ont également été associés à la révision périodique de la décision d'adéquation. La décision d'adéquation a été ainsi été adoptée à la suite d'un avis favorable d'une large majorité d'États membres, dont la France, dans le cadre du comité 93 du RGPD. Dans le prolongement de leur implication dans ces négociations, les autorités françaises et européennes resteront particulièrement attentives à ce que la mise en œuvre des dispositions de la décision d'adéquation par les États-Unis soit effective et constante, et la protection des données personnelles des Européens transférées aux États-Unis entièrement garantie. En tout état de cause, la décision d'adéquation fera l'objet d'un réexamen un an après son adoption, en juillet 2024, comme prévu par l'article 45 du RGPD.
Aucun commentaire n'a encore été formulé sur cette question.