Le député MoDem Philippe Latombe a déposé un recours devant le Tribunal de l’Union européenne pour contester la validité du Data Privacy Framework. Il juge le remplaçant du Privacy Shield (lui-même héritier du Safe Harbor), qui doit encadrer les échanges de données entre l’Europe et les États-Unis, contraire au RGPD et à la Charte des Droits Fondamentaux de l’Union européenne.
Le problème passerait presque pour insoluble tant les solutions poussées ne satisfont pas. Le Data Privacy Framework (DPF) a été officialisé le 10 juillet et fait donc l’objet d’un premier recours. Philippe Latombe, spécialiste des questions numériques, a décidé d’aller seul devant le Tribunal de l’Union, en tant que simple citoyen.
On sait également que Maximilien Schrems, à qui l’on doit déjà la chute des deux précédents cadres – Safe Harbor en 2015 et Privacy Shield en 2020 –, prévoit de s’attaquer au DPF.
L’histoire des transferts de données entre l’Europe et les États-Unis est devenue complexe. Quand le Safe Harbor est tombé, la Cour de justice de l’Union européenne avait estimé que nos voisins d’outre-Atlantique n’offraient pas les garanties nécessaires à la protection des données européennes. Cinq ans plus tard, avec l’arrêt Schrems II, la Cour en a fait de même avec le Privacy Shield, pour les mêmes raisons : la confidentialité des données ne pouvait être garantie.
- La CJUE invalide le Safe Harbor américain : quelles conséquences ?
- Retour sur l'invalidation du Privacy Shield par la justice européenne
Le Data Privacy Framework, officialisé début juillet, pourrait entrer en application dans trois mois. Lors de sa finalisation, plusieurs nouvelles garanties ont été avancées, comme l’obtention, la correction ou la suppression des données, des voies de recours en cas de traitement incorrect des données, ou encore des « mécanismes indépendants et gratuits de résolution des litiges et un groupe d'arbitrage ». Les entreprises concernées doivent également s’engager sur plusieurs points, dont la limitation de la finalité et la minimisation des données, qui doivent par ailleurs être sécurisées et partageables avec des tiers.
En outre, le DPF prévoit la mise en place d’un délégué à la protection des libertés civiles et d’une Cour d'examen de la protection des données (DPRC), devant laquelle les consommateurs européens pourront déposer plainte. Cette cour est censée fonctionner de manière indépendante et obtenir des informations précises en cas de besoin.
Seulement voilà, l’association noyb (none of your business), fondée par Max Schrems, accusait dès cette officialisation le DPF d'être « en grande partie une copie du Privacy Shield ». Même son de cloche pour Philippe Latombe, qui nous explique en détails le recours qu’il vient de déposer.
