Connexion
Abonnez-vous

Data Privacy Framework : « Ils se fichent vraiment de nous ! », s’agace Philippe Latombe

Impératifs politiques

Data Privacy Framework : « Ils se fichent vraiment de nous ! », s’agace Philippe Latombe

La Commission européenne a annoncé hier que le cadre mis en place pour la protection de la vie privée entre l’Europe et les États-Unis donne satisfaction. Une position qui n’est pas sans provoquer des remous. Le député Philippe Latombe, notamment, s’insurge contre cette décision.

Le 10 octobre à 16h20

La Commission a publié un imposant rapport sur l’adéquation du Data Privacy Framework (DPF), entré en vigueur en juillet 2023. Il a remplacé le Privacy Shield, qui avait lui-même pris la relève du Safe Harbor, tous deux annulés par les arrêts Schrems rendus par la Cour de justice de l’Union européenne (CJUE).

Très critiqué dès les premières étapes de son élaboration, le DPF doit faire l’objet d’une évaluation régulière. Le rapport publié par la Commission européenne constitue la première de ces évaluations et sa conclusion est claire : tout va bien.

Les États-Unis remplissent leur part du contrat

« Sur la base des informations recueillies au cours de l'examen, la Commission conclut que les autorités américaines ont mis en place tous les éléments constitutifs du cadre. Il s'agit notamment de la mise en œuvre de garanties visant à limiter l'accès aux données à caractère personnel par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale, et de la mise en place d'un mécanisme de recours indépendant et impartial », indique ainsi le communiqué.

Le rapport évoque tout de même un « certain nombre de recommandations visant à garantir que le cadre continue à fonctionner efficacement, comme l'élaboration d'orientations communes entre les autorités américaines et les autorités de protection des données de l'UE sur les principales exigences du DPF ». La Commission rappelle qu’elle continuera à suivre l'évolution de la situation, avec des rapports à la clé.

Pourtant, les critiques sont restées les mêmes, notamment du côté de Max Schrems, qui y voyait une copie conforme du Privacy Shield.

Derrière la validation, les mêmes questions

S’il est si complexe d’établir un cadre avec les États-Unis, c’est que la loi américaine consacre la primauté de la sécurité nationale sur les droits citoyens. Or, dès que l’on évoque la protection des données personnelles, c’est tout le contraire en Europe : la protection individuelle est au premier plan. Les deux cadres juridiques sont fondamentalement incompatibles.

Plusieurs points posent particulièrement question, à commencer par la manière dont sont considérées les données personnelles aux États-Unis, surtout face aux forces de l’ordre et aux agences de renseignement. Des aménagements ont bien été faits, mais deux gros grains de sable sont toujours présents.

D’une part, sur le renseignement, le renouvellement de la section 702 de la loi FISA (Foreign Intelligence Surveillance Act) vient confirmer, une nouvelle fois, que le renseignement peut aller fouiller dans les données européennes, pour des questions de sécurité nationale. Son renforcement, plus tôt dans l’année, pour y inclure les données des opérateurs téléphoniques, est tout aussi marquant. L’ordre exécutif 14086 de Joe Biden a rendu les conditions d’accès plus strictes et structurées et rappelle le besoin de minimisation et de proportionnalité. Mais l’accès aux données persiste.

D’autre part, le « mécanisme de recours indépendant et impartial » pointé par la Commission européenne n’est considéré ni indépendant ni impartial par nombre de critiques. En juillet 2023, l’association noyb (créée par Max Schrems) relevait ainsi que cette Data Protection Review Court n’est pas une juridiction « au sens juridique normal de l'article 47 de la Charte ou de la Constitution américaine, mais un organe relevant du pouvoir exécutif du gouvernement américain ». Le plaignant doit passer par l’autorité nationale de son pays (la CNIL en France) et ne pourra pas faire appel, si sa demande de modification ou de suppression des données est refusée par la DPRC.

Philippe Latombe fustige un rapport « ubuesque »

« Ils se fichent vraiment de nous ! », s’agace jeudi le député Philippe Latombe, qui a déposé un recours devant le Tribunal de l’Union européenne il y a un an pour faire invalider le Data Privacy Framework.

« Le rapport dit expressément des choses contradictoires. Il dit qu’il n’y a pas de problème d’adéquation parce qu’il y a potentiellement un amendement dans une loi fiscale américaine qui va modifier et atténuer la loi FISA. Alors je vois mal le Congrès américain revenir maintenant sur quelque chose qu’ils ont renouvelé pour trois ans, confirmé et renforcé en avril dernier, par une loi fiscale », explique le député.

Pour Philippe Latombe, les objectifs des États-Unis concernant l’Europe sont clairs : transformer le Vieux continent en « une colonie numérique ».

Cette vision est prégnante dans le projet EUCS. Ici, le député rejoint de nombreux observateurs en France, dont le Cigref, qui pestent contre la suppression du niveau de sécurité High+ pour les offres cloud. Il devait garantir la protection contre les lois extraterritoriales et correspondait, dans les grandes lignes, à la certification SecNumCloud de l’ANSSI. Mais dans sa dernière version, ce niveau a disparu, au grand dam de la France.

Une cour indépendante ? « Ce n’est pas vrai »

Le député s’en prend également à la Data Protection Review Court : « Ils viennent nous dire qu’ils ont mis en place les juridictions qu’ils avaient promises. Je rappelle que ce ne sont pas des juridictions. Ce sont des systèmes de revue, des personnes issues de l’administration américaine et qui n’ont pas d’autonomie. Ce sont des fonctionnaires qui dépendent du ministre de la Justice (DoJ) ».

La Commission affirme pourtant que cette cour est indépendante et impartiale. « Ce n’est pas vrai », déclare Philippe Latombe, « parce que ce ne sont pas des juridictions et la CJUE a une jurisprudence constante sur le sujet ». Et de rappeler qu’une juridiction doit motiver ses décisions, dont on doit pouvoir faire appel. Dans le cas de la Data Protection Review Court, « ce n’est pas le cas, car elle ne peut donner que deux types de réponse : soit "Non il n’y a aucun problème", soit "Oui il y a un problème, mais il a été corrigé" ».

Impératifs politiques

Le député note également que le rapport survient alors que l’administration européenne va changer en novembre. Il aurait bien mieux valu, selon lui, valider pour quelques mois et procéder à un nouvel examen en janvier. Maintenant, la nouvelle révision aura lieu dans trois ans. « Je ne suis même pas en colère, tellement c’était prévisible », indique Philippe Latombe. « Ce qui est plus gênant, c’est qu’ils l’affichent à ce point ».

La procédure initiée par Philippe Latombe pourrait remonter jusqu’à la CJUE (qui fait office d’appel après le Tribunal de l’Union). Max Schrems travaille également sur son propre recours de la CJUE. En outre, en mars dernier, le Contrôleur européen de la protection des données (CEPD, la « CNIL des CNIL ») a jugé que l’utilisation d’Office 365 par la Commission européenne enfreint les règles de protection des données de l’Union. La Commission a contesté l’avis de son propre contrôleur et l’affaire sera examinée, ici aussi, devant la CJUE. La même Cour qui a déjà fait tomber les cadres d’adéquation à deux reprises.

Pourquoi cette dichotomie ? Parce que les impératifs politiques se heurtent à l’application stricte de certains cadres, et tout particulièrement le RGPD. C’est ce qui ressortait notamment d’un avis de Guillaume Poupard, ancien directeur de l’ANSSI, sur l’évolution d’EUCS. Il rappelait que les pays membres de l’Union ne sont pas tous d’accord sur « la » grande question : la protection des données doit-elle être stricte au point de brusquer violemment les relations commerciales avec les États-Unis ?

Invalider le Data Privacy Framework ou réinstaurer le niveau High+ dans EUCS revient, à chaque fois, à proclamer l’inadéquation des grandes entreprises américaines sur le terrain de la protection des données personnelles. Ce problème se retrouve partout et est au centre notamment des polémiques entourant le Health Data Hub, dont les données sont stockées dans le cloud de Microsoft (Azure).

Et si le DPF était invalidé et qu’il fallait trouver une solution pérenne ? « Ça obligerait ces entreprises à devenir vraiment des entreprises européennes. Et donc à respecter les règles économiques et fiscales européennes. Ça obligerait à remettre tout à plat, et là ce serait intéressant. Mais comme on a perdu notre influence en Europe – et on le voit bien avec l’épisode Thierry Breton – on n’est pas écoutés. Et EUCS, c’est ce problème-là, par exemple », ajoute Philippe Latombe.

Commentaires (11)

votre avatar
Vieux refrain traditionnel européen:

t'inquiète pas,
tout est bien,
démerde toi
avec les ricains
votre avatar
Et si le DPF était invalidé et qu’il fallait trouver une solution pérenne ?
Ça changerait quoi ? (vraie question, no troll). Comme le rappelle l'article, le Privacy Shieldet le Safe Harbor ont déjà été annulés, et on nous ressert la même soupe ensuite.
Si c'est pour faire un énième texte, avec les mêmes règles, et qui sera attaqué et jugé des années après, c'est tout bénéf' pour les majors stazuniennes : pendant qu'on lutte, eux profitent, et s'imposent de plus en plus, au détriment de nos données persos et notre droit européen.
votre avatar
Il est marrant Latombe quand même.

Il parle bien fort alors que les seuls résultats concrets dans cette lutte sont obtenus par Schrems et NOYB. (EDIT: et +1 pour le message de Jarodd, en attendant le procès suivant et la CJUE, les souris dansent)

...et en même temps il vend son âme (cher, j'espère pour lui) à l'ensemble de l'industrie de la vidéosurveillance.
Y a pas à dire il a bien trouvé son créneau pour à la fois se faire bien voire des partisans de la protection de la vie privée ET de ceux qui la violent de façon industrielle.
Chapeau l'artiste.


EDIT2: petite remarque à Next: puisque Latombe est quand même bien connu dans le milieu de la tech, ça aurait été bien de rappeler un peu ses affiliations. (son appartenance à un groupe de l'Assemblée éclairerait un peu le truc mais surtout ses prises de positions et liens avec l'industrie)
votre avatar
Il est marrant Latombe quand même.
Il parle bien fort alors que les seuls résultats concrets dans cette lutte sont obtenus par Schrems et NOYB.
Philippe LATOMBE a choisi un moyen d'action différent : via la politique, il veut faire évoluer le cadre légal. Schrems et NOYB ne peuvent s'appuyer que sur le cadre légal existant.

Ce n'est pas l'un ou l'autre. Les deux sont complémentaires. Les actions de Latombe aujourd'hui permettront peut être à Schrems et NOYB de porter plainte demain.
votre avatar
C'est bien là qu'est l'os: il n'a (à mon sens) pas choisi un moyen d'action, il a choisi un axe de communication. Il ne fait rien pour changer le cadre légal et pousse même activement en France dans l'autre sens.

Il n'apporte pas de changement au cadre légal, il n'est pas député européen ou commissaire (s'il avait remplacé Verstager par exemple on aurait pu y voir ce que tu dis).

Ses réelles actions sont côté franco-français avec un soutient appuyé à l'industrie de la vidéo surveillance. Toutes les installations de caméras+algorithme dans tout plein de villes sous couvert d'expérimentation (certaines retoquées par la justice, beaucoup découvertes après coup grâce à des contrats secrets) n'ont été possibles que grâce à lui. (et Ô surprise, la vidéosurveillance "temporaire" des JOs va être pérennisée).

C'est pour ça que je pointe du doigt cette différence dans mon message précédent. D'un côté y a la comm, de l'autre y a les actes.
votre avatar
Il n'apporte pas de changement au cadre légal, il n'est pas député européen ou commissaire (s'il avait remplacé Verstager par exemple on aurait pu y voir ce que tu dis).
Sauf erreur (car j'avoue ne pas suivre non plus M. LATOMBE de manière très assidue), il est député en France, et commissaire à la CNIL. Il peut donc faire évoluer "directement" le cadre légal national, et indirectement le cadre européen (via la sensibilisation de ses collègues par exemple). C'est loin d'être rien.

Il n'est pas spécialement pour la vidéosurveillance, mais reste lucide sur le monde dans lequel on est, et sait que cela se fera d'une manière ou d'une autre, c'est juste une question de temps. Il préfère donc dire "oui, et encadrer" que d'être dans une opposition constante.

Il fait très certainement beaucoup plus pour protéger nos données personnelles que la très grande majorité de nos concitoyens, toi et moi y compris.
votre avatar
visiblement tu le suis bien en fait :

Donc si, il est très spécialement pour, va à leur conférence professionnelles pour afficher son soutien, se félicite des expérimentation dans les villes à l'époque où c'était illégal, au nom de la libre entreprise (et du sentiment complètement fictif de sécurité parce que bon, si en plus on peut caresser le facho dans le sens de la peur, on le fait).
... et donc il n'encadre rien du tout, son discours est dans la droite ligne habituelle de laisser faire, et de laisser les autres ramasser les pots cassés.

Hors sujet politique:
"réalité du monde" ou pas. Ce fatalisme à la noix donne envie de vomir. C'est le discours des industrialistes qui nous amènent dans le mur. "puisque d'autres vont dans le mur, vous comprenez ma bonne dame, il faut bien qu'on y aille aussi, et en accélérant s'il vous plait, en plus y a de la sainte thune à se faire pour moi, si vous êtes sage je vous en laisserai quelques miettes".
votre avatar
Donc si, il est très spécialement pour, va à leur conférence professionnelles pour afficher son soutien, se félicite des expérimentation dans les villes à l'époque où c'était illégal, au nom de la libre entreprise (et du sentiment complètement fictif de sécurité parce que bon, si en plus on peut caresser le facho dans le sens de la peur, on le fait).
Désolé de faire ça, mais c'est peut être que j'ai raté quelque chose :
- va à leur conférence professionnelles pour afficher son soutien : source ?
- se félicite des expérimentation dans les villes à l'époque où c'était illégal : source ?
et donc il n'encadre rien du tout
Ca, c'est un sophisme.
votre avatar
Je sais pas très bien ce qui t'empêchait de faire une recherche web ou ne serait-ce que Next qui a fait un bon boulot au fil des ans là-dessus.
J'ai presque envie d'invoquer la Loi de Brandolini pour le coup.

La quadrature du net,
www.technopolice.fr

https://www.laquadrature.net/wp-content/uploads/sites/8/2023/09/Courrier-LQDN-CNIL-05092023-anon.pdf

et les journalistes qui font leur taf (dont Next ici : next.ink Next

Tient c'est marrant aussi, comme tout politique qui n'assumera jamais (i.e. qui ne subira jamais les conséquences de ses actes et positions). "il assume".

(un autre exemple de surveillance illégale dont Next s'est fait l'écho : next.ink Next

A chaque fois c'est la même chose : une mairie de droite et un industriel font un partenariat secret, c'est découvert, "oui mais c'est juste un essais , on sait qu'on n'a pas le droit on est pas des fadas non plus", et ensuite ça reste, et aucun "maraudeur" n'est arrêté, par contre les gens racisés et les militants politiques sont harcelés.

On conclue ça 2 ans plus tard la poussée de Latombe pour assouplir la loi (et donc désencadrer plutôt qu'encadrer, pour celles et ceux qui ont suivi). et enfin rendre légales les pratiques qui existaient déjà citées plus haut : https://www.laquadrature.net/2023/04/05/videosurveillance-biometrique-derriere-ladoption-du-texte-la-victoire-dun-lobby/
votre avatar
Je sais pas très bien ce qui t'empêchait de faire une recherche web ou ne serait-ce que Next qui a fait un bon boulot au fil des ans là-dessus.
C'est toi qui annonce, pas moi. Appelle cela de la flemme si tu veux, j'ai passé trop de temps dernièrement à montrer que des propos étaient faux. Donc je préfère inverser la charge et qu'on me montre qu'ils sont vrais et étayés.

Quoi qu'il en soit, je te remercie pour les liens.
J'ai presque envie d'invoquer la Loi de Brandolini pour le coup.
Poser une question ça rentre dans ce cadre ?



Maintenant, sur un peu plus sur le fond. J'avoue que j'ai du mal, à titre personnel, avec les positions de la Quadrature du Net en général. Le cas présent ne fait pas exception. La protection des données personnelles est un chantier très vaste, qui est loin de se résumer à la vidéosurveillance seule.

Ca ne va pas m'empêcher de creuser un peu plus pour connaître le positionnement de M. LATOMBE sur la vidéosurveillance (pour ça, je te dis encore merci).

Mais je ne vais pas me contenter des déclarations de La Quadrature, qui semble plus prompte à attaquer quelqu'un qui partage pourtant certains idéaux qu'à mener des combats plus "utiles" (suppression du niveau High+, manque d'action contre le Privacy Shield (heureusement que Max Schrems et Nyob sont là), etc.)
votre avatar
Attention, l'article confond le Contrôleur européen de la protection des données (CEPD, EDPS en anglais) avec le Comité européen de la protection des données (CEPD aussi :mad2:, mais EDPB en anglais). C'est l'EDPB qui est la "CNIL des CNIL" (c'est un peu plus compliqué que cela mais effectivement elle peut jouer le rôle d'arbitre entre autorités membres), alors que celle dont on parle ici est l'EDPS, la "CNIL des institutions de l'UE" (Commission européenne, BCE, Europol, etc.), qui joue un rôle de conseil et de supervision auprès de celles-ci, et est donc legitime pour contrôler si la Commission européenne protège bien les données à caractère personnel qu'elle traite.

Data Privacy Framework : « Ils se fichent vraiment de nous ! », s’agace Philippe Latombe

  • Les États-Unis remplissent leur part du contrat

  • Derrière la validation, les mêmes questions

  • Philippe Latombe fustige un rapport « ubuesque »

  • Une cour indépendante ? « Ce n’est pas vrai »

  • Impératifs politiques

Fermer