Data Privacy Framework : Philippe Latombe nous explique son recours devant le Tribunal de l’Union européenne

Le député MoDem Philippe Latombe a déposé un recours devant le Tribunal de l’Union européenne pour contester la validité du Data Privacy Framework. Il juge le remplaçant du Privacy Shield (lui-même héritier du Safe Harbor), qui doit encadrer les échanges de données entre l’Europe et les États-Unis, contraire au RGPD et à la Charte des Droits Fondamentaux de l’Union européenne.

Le problème passerait presque pour insoluble tant les solutions poussées ne satisfont pas. Le Data Privacy Framework (DPF) a été officialisé le 10 juillet et fait donc l’objet d’un premier recours. Philippe Latombe, spécialiste des questions numériques, a décidé d’aller seul devant le Tribunal de l’Union, en tant que simple citoyen.

• La Commission européenne ((re)re)valide le transfert de données personnelles vers les États-Unis

On sait également que Maximilien Schrems, à qui l’on doit déjà la chute des deux précédents cadres – Safe Harbor en 2015 et Privacy Shield en 2020 –, prévoit de s’attaquer au DPF.

L’histoire des transferts de données entre l’Europe et les États-Unis est devenue complexe. Quand le Safe Harbor est tombé, la Cour de justice de l’Union européenne avait estimé que nos voisins d’outre-Atlantique n’offraient pas les garanties nécessaires à la protection des données européennes. Cinq ans plus tard, avec l’arrêt Schrems II, la Cour en a fait de même avec le Privacy Shield, pour les mêmes raisons : la confidentialité des données ne pouvait être garantie.

• La CJUE invalide le Safe Harbor américain : quelles conséquences ?
• Retour sur l'invalidation du Privacy Shield par la justice européenne

Le Data Privacy Framework, officialisé début juillet, pourrait entrer en application dans trois mois. Lors de sa finalisation, plusieurs nouvelles garanties ont été avancées, comme l’obtention, la correction ou la suppression des données, des voies de recours en cas de traitement incorrect des données, ou encore des « mécanismes indépendants et gratuits de résolution des litiges et un groupe d'arbitrage ». Les entreprises concernées doivent également s’engager sur plusieurs points, dont la limitation de la finalité et la minimisation des données, qui doivent par ailleurs être sécurisées et partageables avec des tiers.

En outre, le DPF prévoit la mise en place d’un délégué à la protection des libertés civiles et d’une Cour d'examen de la protection des données (DPRC), devant laquelle les consommateurs européens pourront déposer plainte. Cette cour est censée fonctionner de manière indépendante et obtenir des informations précises en cas de besoin.

Seulement voilà, l’association noyb (none of your business), fondée par Max Schrems, accusait dès cette officialisation le DPF d'être « en grande partie une copie du Privacy Shield ». Même son de cloche pour Philippe Latombe, qui nous explique en détails le recours qu’il vient de déposer.

Que contestez-vous dans ce recours ?

Je conteste formellement la perte de droit et de protection qui me sont offerts par le Règlement général sur la protection des données, du fait de l’accord d’adéquation.

Je vous donne un exemple : Google Analytics était interdit en France, et donc la CNIL avait interdit son utilisation et sanctionnait de plus en plus de sites Internet qui l’utilisaient. Depuis le 10 juillet, l’accord d’adéquation rend Google Analytics légal en France. À tel point que la CNIL dit dans sa communication : plus de plaintes à partir du 10 juillet et toutes les plaintes déposées avant seront traitées, même si j’ai perdu un pouvoir d’injonction et de sanction depuis le 10 juillet. Donc moi, en tant que personne, j’ai perdu des droits.

De manière générale, les entreprises qui voudront profiter du dispositif, donc de l’adéquation pure et simple, devront être auto-certifiées avant le 10 octobre, il y a une date limite. Une auto-certification imposée par le département américain du Commerce, absolument pas par l’Union européenne.

C’est l’objet de mon recours. C’est une demande de sursis : je demande au tribunal de dire que l’accord n’est pas applicable en l’état, le temps qu’on examine en profondeur la situation.

Pourquoi avoir déposé ce recours en tant que citoyen ?

C’est une voie procédurale extraordinairement étroite. Le texte dit qu’il faut que ce soit une décision de l’administration qui me touche personnellement et qui soit un acte unique. L’acte unique, c'est simple : la décision d’adéquation ne nécessite plus ensuite d’actes d’exécution successifs. Contrairement aux DSA et DMA, puisque la Commission a renvoyé vers une liste d’entreprises qui allaient y être soumises, il y a donc plusieurs décisions d’exécutions successives.

L’article 263 al. 4 du traité de fonctionnement de l’Union européenne (TFUE) dit qu’il faut que ce soit une décision unique et qu’il n’y ait plus rien ensuite. C’est le cas du Data Privacy Framework, il n’y a pas de débat. Le vrai débat se concentre sur la recevabilité d’une d’action individuelle. Je ne pouvais pas le faire en tant que député, je n’ai pas de pouvoir là-dessus, ni en tant que membre de la CNIL. Ces cas ne sont pas prévus par le TFUE, qui ne parle que de « personne physique ou morale » impactée. Je dois prouver, moi, Philippe Latombe, que je suis impacté par la décision d’adéquation.

C’est la première fois que ce type de procédure est tenté, comment ça va se dérouler ?

Le tribunal va examiner la recevabilité du recours, puis très certainement demander à la Commission européenne ce qu’elle en pense.

Comme ce n’est pas arrivé avant, soit le tribunal regarde uniquement la recevabilité – c’est sa décision, c’est recevable ou pas, point. Soit il dit à la Commission « quelqu’un a déposé un recours au titre de l’invalidation du DPF, qu’est-ce que vous pensez de sa recevabilité et, le cas échéant, quels sont les arguments que vous opposez au recours de la personne ? ».

Si c’est cette deuxième solution qui prime, même si je suis irrecevable à l’arrivée, cela veut dire que la Commission aura été obligée de dévoiler ses arguments. Et donc ça préparera le travail à Max Schrems.

C’est l’idée derrière la procédure ?

Non, pas uniquement. Je l’ai fait aussi pour qu’il y ait une pression tout de suite sur le DPF. C’est aussi un signal envoyé aux entreprises pour qu’elles mettent un peu le pied sur le frein, que ce soient les grosses sociétés américaines auto-certifiées qui se prépareraient à transférer massivement des données ou les entreprises européennes qui voudraient profiter de ces transferts pour prendre des prestataires américains. Pour qu’elles attendent de voir ce que les différents recours vont générer.

L’autre point, c’est que je voulais mettre un coup de projecteur sur le DPF, pour montrer qu’il était attentatoire aux droits, que je sois recevable ou pas. Que ça puisse devenir public et qu’il y ait une discussion sur le sujet.

Quelles sont les chances que la procédure aboutisse ?

Très sincèrement, je n’ai pas d’estimation. Je l’ai fait parce qu’il y avait une chance. S’il n’y en avait pas eu, je n’aurais pas fait ça comme ça.

Recevez-vous de l’aide pour cette procédure ?

On a été une petite trentaine à bosser sur le sujet, des universitaires, des DPO [délégués à la protection des données, ndlr] qui ont bossé sur leur temps perso, et des avocats qui ont soit participé à la rédaction, soit relu. Je ne sais pas si on va recevoir d’autres aides, pour l’instant, nous n’en demandons pas puisqu’on n’a plus qu’à attendre le résultat.

Si la procédure perdure, on verra à ce moment-là. Mais je pense qu’on aura alors de l’aide de beaucoup de personnes qui vont s’insérer dans la procédure. Mais à l’heure actuelle, j’avais l’obligation de le dire dans les deux mois qui suivaient l’officialisation du texte, donc avant le 10 septembre. Je n’avais pas le choix, je devais le faire vite.

Et je ne suis pas en concurrence avec Max Schrems. Lui, il part sur une procédure classique, qu’il a déjà faite deux fois, très claire et balisée. C’est la question préjudicielle, donc il va trouver un cas d’entreprise qui transfère des données aux États-Unis, il va l’attaquer en droit national autrichien et demander au tribunal de faire une question préjudicielle devant la cour de justice de l’Union. Comme avec Facebook.

Si je ne suis pas recevable et que la Commission a été obligée de donner ses arguments, rien que ça, ça sera un succès.

L’article utilisé du TFUE ne mentionne que des personnes physiques ou morales, comment procèderait-on si un groupe de personnes s’estime lésé ?

Il n’y a pas le choix, le groupe devra vérifier s’il a le droit de déposer un recours collectif dans le droit national de son pays. S’il a le droit, il devra saisir le tribunal et poser une question préjudicielle à la cour de justice de l’Union.

En France, c’est un peu plus compliqué, c’est pour ça que Schrems le fait en Autriche, parce que c’est assez simple. En France, pour poser une question préjudicielle, on a rarement un tribunal de première instance qui le fait. S’il le souhaite, il va renvoyer vers le Conseil d’État, qui lui décide s’il l’envoie vers la CJUE. Il n’y a pas d’automaticité. Généralement, le Conseil d’État attend plutôt que ça vienne d’une cour d’appel, parce que c’est plus solide en termes de construction juridique. La procédure est plus longue et complexe.

Si la procédure fonctionne, ou si les arguments révélés par la Commission aident Max Schrems à obtenir un nouvel arrêt en sa faveur, on aura alors trois invalidations de cadre réglementaire sur les transferts transatlantiques en moins d’une décennie. N’est-ce pas un aveu d’échec ? Comment pourrait-on parvenir à une situation plus satisfaisante en Europe ?

La bonne solution serait que les États-Unis se dotent d’un RGPD. Alors oui, la Californie travaille sur les prémices d’un équivalent, mais il y a une vraie dichotomie entre les États, surtout du centre, très pro-sécurité.

La vraie question, c’est : la Commission s’est-elle rapprochée des Américains ? Oui, notamment pour des questions géopolitiques. Là où à chaque fois la Commission achoppe, c’est qu’elle sous-estime la Cour de justice de l’Union. Or, la CJUE a une forme de continuité dans ses décisions et même de renforcement dans ses décisions depuis quelques années, notamment sur ce qu’elle considère être des données personnelles.

Je vous donne un exemple : l’arrêt rendu l’année dernière contre les dispositions de la législation de lutte contre les conflits d’intérêt en Lituanie. Autre exemple, l’arrêt rendu la semaine dernière, qui a déclaré illégale l’utilisation de données de connexion recueillies dans le cadre de la lutte contre la criminalité pour d’autres enquêtes liées à la corruption des agents publics. On voit bien que la Cour de justice va dans le sens d’une protection des données de plus en plus importante. Je ne vois donc pas comment elle pourrait plier devant la Commission.

Seulement, elle fonctionne à rebours, avec du délai. Quand elle est saisie, elle décide après 18 à 24 mois. Comme c’était le cas pour le Privacy Shield. Ce sera la même chose pour le Data Privacy Framework. Entre-temps, l’économie s’étant accélérée, on se rend compte que les parts de marché des entreprises américaines, les GAFAM en l’occurrence, ont augmenté de manière exponentielle. Et notre capacité en Europe à avoir des champions de ce type-là s’en est retrouvée amoindrie à chaque fois.

Donc on va se retrouver dans des situations qui soit vont perdurer, soit on explique aux Américains qu’il faut fonctionner autrement. Et s’ils ne veulent pas fonctionner autrement, ils n’ont plus accès au marché européen. Je pense que nous ne sommes pas en capacité aujourd’hui d’avoir ce courage. Ce qui, je pense, favorise les extrêmes. On pourrait avoir aux élections européennes des poussées nationalistes qui sont vraiment arcboutées sur le repli sur soi, qui apparaitrait comme une réponse.

Je ne peux pas agir en tant que député ni en tant que membre de la CNIL, mais je peux agir en tant que citoyen. Et je veux montrer que je ne lâche pas le sujet et que je veux aller au bout de ce que je dis.

Et si les États-Unis ne se dotent pas d’un équivalent du RGPD, est-on condamnés à voir apparaître tous les cinq ans un nouveau cadre pour les transferts transatlantiques, suivi systématiquement deux ans après d’un arrêt le rendant caduque ?

Malheureusement, si on continue comme ça, oui. « Jamais deux sans trois », pourrait-on dire. Et ce n’est pas une simple expression. Je ne vois pas aujourd’hui dans le DPF ce qui change fondamentalement par rapport au Privacy Shield. Alors oui, il y a un Executive Order aux États-Unis. Oui, il a créé un nouveau juge. Mais ce nouveau juge et la cour qui va avec ne sont pas indépendants.

En somme, le choc entre deux systèmes qui ne sont pas faits pour s’entendre ?

C’est très clair. On est sur deux conceptions complètement différentes de la data. La conception européenne est que les données appartiennent aux personnes qui les émettent. Elles en conservent la maîtrise, dont l’effacement. La conception américaine est que les données appartiennent à ceux qui les collectent, qui peuvent dès lors en faire n’importe quoi.

En fin de compte, avec le DPF, les citoyens européens ont moins de droits que les citoyens américains, car nous n’avons pas accès à leurs juges judiciaires.