Data Privacy Framework : « Ils se fichent vraiment de nous ! », s’agace Philippe Latombe
Impératifs politiques
La Commission européenne a annoncé hier que le cadre mis en place pour la protection de la vie privée entre l’Europe et les États-Unis donne satisfaction. Une position qui n’est pas sans provoquer des remous. Le député Philippe Latombe, notamment, s’insurge contre cette décision.
Le 10 octobre à 16h20
9 min
Droit
Droit
La Commission a publié un imposant rapport sur l’adéquation du Data Privacy Framework (DPF), entré en vigueur en juillet 2023. Il a remplacé le Privacy Shield, qui avait lui-même pris la relève du Safe Harbor, tous deux annulés par les arrêts Schrems rendus par la Cour de justice de l’Union européenne (CJUE).
Très critiqué dès les premières étapes de son élaboration, le DPF doit faire l’objet d’une évaluation régulière. Le rapport publié par la Commission européenne constitue la première de ces évaluations et sa conclusion est claire : tout va bien.
Les États-Unis remplissent leur part du contrat
« Sur la base des informations recueillies au cours de l'examen, la Commission conclut que les autorités américaines ont mis en place tous les éléments constitutifs du cadre. Il s'agit notamment de la mise en œuvre de garanties visant à limiter l'accès aux données à caractère personnel par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale, et de la mise en place d'un mécanisme de recours indépendant et impartial », indique ainsi le communiqué.
Le rapport évoque tout de même un « certain nombre de recommandations visant à garantir que le cadre continue à fonctionner efficacement, comme l'élaboration d'orientations communes entre les autorités américaines et les autorités de protection des données de l'UE sur les principales exigences du DPF ». La Commission rappelle qu’elle continuera à suivre l'évolution de la situation, avec des rapports à la clé.
Pourtant, les critiques sont restées les mêmes, notamment du côté de Max Schrems, qui y voyait une copie conforme du Privacy Shield.
Derrière la validation, les mêmes questions
S’il est si complexe d’établir un cadre avec les États-Unis, c’est que la loi américaine consacre la primauté de la sécurité nationale sur les droits citoyens. Or, dès que l’on évoque la protection des données personnelles, c’est tout le contraire en Europe : la protection individuelle est au premier plan. Les deux cadres juridiques sont fondamentalement incompatibles.
Plusieurs points posent particulièrement question, à commencer par la manière dont sont considérées les données personnelles aux États-Unis, surtout face aux forces de l’ordre et aux agences de renseignement. Des aménagements ont bien été faits, mais deux gros grains de sable sont toujours présents.
D’une part, sur le renseignement, le renouvellement de la section 702 de la loi FISA (Foreign Intelligence Surveillance Act) vient confirmer, une nouvelle fois, que le renseignement peut aller fouiller dans les données européennes, pour des questions de sécurité nationale. Son renforcement, plus tôt dans l’année, pour y inclure les données des opérateurs téléphoniques, est tout aussi marquant. L’ordre exécutif 14086 de Joe Biden a rendu les conditions d’accès plus strictes et structurées et rappelle le besoin de minimisation et de proportionnalité. Mais l’accès aux données persiste.
D’autre part, le « mécanisme de recours indépendant et impartial » pointé par la Commission européenne n’est considéré ni indépendant ni impartial par nombre de critiques. En juillet 2023, l’association noyb (créée par Max Schrems) relevait ainsi que cette Data Protection Review Court n’est pas une juridiction « au sens juridique normal de l'article 47 de la Charte ou de la Constitution américaine, mais un organe relevant du pouvoir exécutif du gouvernement américain ». Le plaignant doit passer par l’autorité nationale de son pays (la CNIL en France) et ne pourra pas faire appel, si sa demande de modification ou de suppression des données est refusée par la DPRC.
Philippe Latombe fustige un rapport « ubuesque »
« Ils se fichent vraiment de nous ! », s’agace jeudi le député Philippe Latombe, qui a déposé un recours devant le Tribunal de l’Union européenne il y a un an pour faire invalider le Data Privacy Framework.
« Le rapport dit expressément des choses contradictoires. Il dit qu’il n’y a pas de problème d’adéquation parce qu’il y a potentiellement un amendement dans une loi fiscale américaine qui va modifier et atténuer la loi FISA. Alors je vois mal le Congrès américain revenir maintenant sur quelque chose qu’ils ont renouvelé pour trois ans, confirmé et renforcé en avril dernier, par une loi fiscale », explique le député.
Pour Philippe Latombe, les objectifs des États-Unis concernant l’Europe sont clairs : transformer le Vieux continent en « une colonie numérique ».
Cette vision est prégnante dans le projet EUCS. Ici, le député rejoint de nombreux observateurs en France, dont le Cigref, qui pestent contre la suppression du niveau de sécurité High+ pour les offres cloud. Il devait garantir la protection contre les lois extraterritoriales et correspondait, dans les grandes lignes, à la certification SecNumCloud de l’ANSSI. Mais dans sa dernière version, ce niveau a disparu, au grand dam de la France.
- Cybersécurité européenne : en France, les critiques continuent de pleuvoir sur la certification EUCS
Une cour indépendante ? « Ce n’est pas vrai »
Le député s’en prend également à la Data Protection Review Court : « Ils viennent nous dire qu’ils ont mis en place les juridictions qu’ils avaient promises. Je rappelle que ce ne sont pas des juridictions. Ce sont des systèmes de revue, des personnes issues de l’administration américaine et qui n’ont pas d’autonomie. Ce sont des fonctionnaires qui dépendent du ministre de la Justice (DoJ) ».
La Commission affirme pourtant que cette cour est indépendante et impartiale. « Ce n’est pas vrai », déclare Philippe Latombe, « parce que ce ne sont pas des juridictions et la CJUE a une jurisprudence constante sur le sujet ». Et de rappeler qu’une juridiction doit motiver ses décisions, dont on doit pouvoir faire appel. Dans le cas de la Data Protection Review Court, « ce n’est pas le cas, car elle ne peut donner que deux types de réponse : soit "Non il n’y a aucun problème", soit "Oui il y a un problème, mais il a été corrigé" ».
Impératifs politiques
Le député note également que le rapport survient alors que l’administration européenne va changer en novembre. Il aurait bien mieux valu, selon lui, valider pour quelques mois et procéder à un nouvel examen en janvier. Maintenant, la nouvelle révision aura lieu dans trois ans. « Je ne suis même pas en colère, tellement c’était prévisible », indique Philippe Latombe. « Ce qui est plus gênant, c’est qu’ils l’affichent à ce point ».
La procédure initiée par Philippe Latombe pourrait remonter jusqu’à la CJUE (qui fait office d’appel après le Tribunal de l’Union). Max Schrems travaille également sur son propre recours de la CJUE. En outre, en mars dernier, le Contrôleur européen de la protection des données (CEPD, la « CNIL des CNIL ») a jugé que l’utilisation d’Office 365 par la Commission européenne enfreint les règles de protection des données de l’Union. La Commission a contesté l’avis de son propre contrôleur et l’affaire sera examinée, ici aussi, devant la CJUE. La même Cour qui a déjà fait tomber les cadres d’adéquation à deux reprises.
Pourquoi cette dichotomie ? Parce que les impératifs politiques se heurtent à l’application stricte de certains cadres, et tout particulièrement le RGPD. C’est ce qui ressortait notamment d’un avis de Guillaume Poupard, ancien directeur de l’ANSSI, sur l’évolution d’EUCS. Il rappelait que les pays membres de l’Union ne sont pas tous d’accord sur « la » grande question : la protection des données doit-elle être stricte au point de brusquer violemment les relations commerciales avec les États-Unis ?
Invalider le Data Privacy Framework ou réinstaurer le niveau High+ dans EUCS revient, à chaque fois, à proclamer l’inadéquation des grandes entreprises américaines sur le terrain de la protection des données personnelles. Ce problème se retrouve partout et est au centre notamment des polémiques entourant le Health Data Hub, dont les données sont stockées dans le cloud de Microsoft (Azure).
Et si le DPF était invalidé et qu’il fallait trouver une solution pérenne ? « Ça obligerait ces entreprises à devenir vraiment des entreprises européennes. Et donc à respecter les règles économiques et fiscales européennes. Ça obligerait à remettre tout à plat, et là ce serait intéressant. Mais comme on a perdu notre influence en Europe – et on le voit bien avec l’épisode Thierry Breton – on n’est pas écoutés. Et EUCS, c’est ce problème-là, par exemple », ajoute Philippe Latombe.
Data Privacy Framework : « Ils se fichent vraiment de nous ! », s’agace Philippe Latombe
-
Les États-Unis remplissent leur part du contrat
-
Derrière la validation, les mêmes questions
-
Philippe Latombe fustige un rapport « ubuesque »
-
Une cour indépendante ? « Ce n’est pas vrai »
-
Impératifs politiques
Commentaires (11)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 10/10/2024 à 18h41
t'inquiète pas,
tout est bien,
démerde toi
avec les ricains
Le 10/10/2024 à 18h58
Si c'est pour faire un énième texte, avec les mêmes règles, et qui sera attaqué et jugé des années après, c'est tout bénéf' pour les majors stazuniennes : pendant qu'on lutte, eux profitent, et s'imposent de plus en plus, au détriment de nos données persos et notre droit européen.
Modifié le 11/10/2024 à 10h18
Il parle bien fort alors que les seuls résultats concrets dans cette lutte sont obtenus par Schrems et NOYB. (EDIT: et +1 pour le message de Jarodd, en attendant le procès suivant et la CJUE, les souris dansent)
...et en même temps il vend son âme (cher, j'espère pour lui) à l'ensemble de l'industrie de la vidéosurveillance.
Y a pas à dire il a bien trouvé son créneau pour à la fois se faire bien voire des partisans de la protection de la vie privée ET de ceux qui la violent de façon industrielle.
Chapeau l'artiste.
EDIT2: petite remarque à Next: puisque Latombe est quand même bien connu dans le milieu de la tech, ça aurait été bien de rappeler un peu ses affiliations. (son appartenance à un groupe de l'Assemblée éclairerait un peu le truc mais surtout ses prises de positions et liens avec l'industrie)
Le 11/10/2024 à 10h20
Ce n'est pas l'un ou l'autre. Les deux sont complémentaires. Les actions de Latombe aujourd'hui permettront peut être à Schrems et NOYB de porter plainte demain.
Le 11/10/2024 à 10h33
Il n'apporte pas de changement au cadre légal, il n'est pas député européen ou commissaire (s'il avait remplacé Verstager par exemple on aurait pu y voir ce que tu dis).
Ses réelles actions sont côté franco-français avec un soutient appuyé à l'industrie de la vidéo surveillance. Toutes les installations de caméras+algorithme dans tout plein de villes sous couvert d'expérimentation (certaines retoquées par la justice, beaucoup découvertes après coup grâce à des contrats secrets) n'ont été possibles que grâce à lui. (et Ô surprise, la vidéosurveillance "temporaire" des JOs va être pérennisée).
C'est pour ça que je pointe du doigt cette différence dans mon message précédent. D'un côté y a la comm, de l'autre y a les actes.
Le 11/10/2024 à 10h44
Il n'est pas spécialement pour la vidéosurveillance, mais reste lucide sur le monde dans lequel on est, et sait que cela se fera d'une manière ou d'une autre, c'est juste une question de temps. Il préfère donc dire "oui, et encadrer" que d'être dans une opposition constante.
Il fait très certainement beaucoup plus pour protéger nos données personnelles que la très grande majorité de nos concitoyens, toi et moi y compris.
Le 11/10/2024 à 11h10
Donc si, il est très spécialement pour, va à leur conférence professionnelles pour afficher son soutien, se félicite des expérimentation dans les villes à l'époque où c'était illégal, au nom de la libre entreprise (et du sentiment complètement fictif de sécurité parce que bon, si en plus on peut caresser le facho dans le sens de la peur, on le fait).
... et donc il n'encadre rien du tout, son discours est dans la droite ligne habituelle de laisser faire, et de laisser les autres ramasser les pots cassés.
Hors sujet politique:
"réalité du monde" ou pas. Ce fatalisme à la noix donne envie de vomir. C'est le discours des industrialistes qui nous amènent dans le mur. "puisque d'autres vont dans le mur, vous comprenez ma bonne dame, il faut bien qu'on y aille aussi, et en accélérant s'il vous plait, en plus y a de la sainte thune à se faire pour moi, si vous êtes sage je vous en laisserai quelques miettes".
Le 11/10/2024 à 11h22
- va à leur conférence professionnelles pour afficher son soutien : source ?
- se félicite des expérimentation dans les villes à l'époque où c'était illégal : source ?
Ca, c'est un sophisme.
Le 11/10/2024 à 13h48
J'ai presque envie d'invoquer la Loi de Brandolini pour le coup.
La quadrature du net,
www.technopolice.fr
https://www.laquadrature.net/wp-content/uploads/sites/8/2023/09/Courrier-LQDN-CNIL-05092023-anon.pdf
et les journalistes qui font leur taf (dont Next ici : Next
Tient c'est marrant aussi, comme tout politique qui n'assumera jamais (i.e. qui ne subira jamais les conséquences de ses actes et positions). "il assume".
(un autre exemple de surveillance illégale dont Next s'est fait l'écho : Next
A chaque fois c'est la même chose : une mairie de droite et un industriel font un partenariat secret, c'est découvert, "oui mais c'est juste un essais , on sait qu'on n'a pas le droit on est pas des fadas non plus", et ensuite ça reste, et aucun "maraudeur" n'est arrêté, par contre les gens racisés et les militants politiques sont harcelés.
On conclue ça 2 ans plus tard la poussée de Latombe pour assouplir la loi (et donc désencadrer plutôt qu'encadrer, pour celles et ceux qui ont suivi). et enfin rendre légales les pratiques qui existaient déjà citées plus haut : https://www.laquadrature.net/2023/04/05/videosurveillance-biometrique-derriere-ladoption-du-texte-la-victoire-dun-lobby/
Le 11/10/2024 à 14h24
Quoi qu'il en soit, je te remercie pour les liens.
Poser une question ça rentre dans ce cadre ?
Maintenant, sur un peu plus sur le fond. J'avoue que j'ai du mal, à titre personnel, avec les positions de la Quadrature du Net en général. Le cas présent ne fait pas exception. La protection des données personnelles est un chantier très vaste, qui est loin de se résumer à la vidéosurveillance seule.
Ca ne va pas m'empêcher de creuser un peu plus pour connaître le positionnement de M. LATOMBE sur la vidéosurveillance (pour ça, je te dis encore merci).
Mais je ne vais pas me contenter des déclarations de La Quadrature, qui semble plus prompte à attaquer quelqu'un qui partage pourtant certains idéaux qu'à mener des combats plus "utiles" (suppression du niveau High+, manque d'action contre le Privacy Shield (heureusement que Max Schrems et Nyob sont là), etc.)
Modifié le 14/10/2024 à 23h57