L’activiste pour la protection de la vie privée Max Schrems se lance dans une troisième tentative pour restreindre les flux de données européens vers l’Amérique.
Les accords transatlantiques sur les transferts de données entre l’UE et les États-Unis sont à nouveau sous pression, dix ans après que l’activiste Max Schrems a ouvert la première brèche. Alors que ses plaintes avaient déjà fait tomber le Safe Harbor et le Privacy Shield, le EU-US Data Privacy Framework de 2023 est désormais lui aussi menacé.
Une décision récente de la Cour suprême des États-Unis remet en question l’indépendance du régulateur FTC (Federal Trade Commission), tandis que le député français Philippe Latombe et Schrems lui-même engagent de nouvelles procédures judiciaires. Même Microsoft s’immisce dans la bataille, mais cette fois pour éviter qu’un troisième cadre ne s’effondre. L’Autrichien Schrems a eu gain de cause à deux reprises, y parviendra-t-il une troisième fois ?
Arrêt Schrems I
L’influence de Schrems remonte à 2015, lorsque l’Autrichien a déposé une plainte contre Facebook. Selon lui, l’entreprise transférait ses données personnelles d’Europe vers des serveurs situés aux États-Unis. Schrems a soutenu que les États-Unis n’offraient pas une protection suffisante contre la surveillance de masse par les services de renseignement, révélée par les divulgations du lanceur d’alerte Edward Snowden.
La Cour de justice de l’Union européenne a suivi ce raisonnement et a invalidé, en octobre 2015, l’accord dit « Safe Harbor ». Cet accord a régi pendant des années le transfert de données entre l’UE et les États-Unis, mais n’offrait pas, selon la Cour, un niveau de protection adéquat pour les citoyens européens.
Privacy Shield
Après la chute du Safe Harbor, un nouveau cadre a vu le jour, le Privacy Shield, et les entreprises ont continué à utiliser des clauses contractuelles types (Standard Contractual Clauses) pour transférer légalement des données.
Schrems a de nouveau saisi la justice et, en juillet 2020, la Cour de justice de l’Union européenne a également invalidé le Privacy Shield, à nouveau en raison de l’accès trop étendu des services gouvernementaux américains aux données européennes (arrêt Schrems II). Même les efforts de Biden n’ont pas suffi à l’époque. Un nouvel accord a alors été conclu : le EU-US Data Privacy Framework (DPF).
Un régulateur (pas si) indépendant
Cette réglementation de 2023 repose désormais elle aussi sur des sables mouvants. La Commission européenne a en effet estimé que les États-Unis devaient offrir un niveau de protection équivalent à celui de l’UE. Un élément crucial est que les États-Unis disposent d’un régulateur indépendant, à savoir l’organisme de protection des consommateurs FTC (Federal Trade Commission).
Cette indépendance est aujourd’hui remise en question. La Cour suprême des États-Unis (Trump v. Slaughter) a en effet récemment jugé que le président américain a le pouvoir de révoquer les commissaires de la FTC. Cela soulève de nouvelles interrogations quant à l’indépendance politique.
Schrems III ?
C’est le député français Philippe Latombe qui a mis en doute cette indépendance. Il a déjà saisi la Cour pour demander l’annulation du DPF, car il estime qu’il contrevient aux règles de l’article 45(2) du RGPD. M. Latombe émet des doutes sur la réelle indépendance des tribunaux aux États-Unis. La plainte a été initialement rejetée par le Tribunal de l’Union européenne, après quoi M. Latombe a fait appel.
Schrems réapparaît avec les mêmes préoccupations. Il a adressé une lettre à la Commission européenne demandant un « retrait ordonné » des accords de données avec les États-Unis. Par ailleurs, il annonce une nouvelle procédure judiciaire devant la Cour de justice.
Intervention de Microsoft
Le EU-US Data Privacy Framework permet entre-temps les transferts de données transatlantiques depuis 2023, ce qui, selon les grandes entreprises américaines, est nécessaire pour faire des affaires avec les pays européens. C’est également le cas pour Microsoft. Le géant technologique américain a par ailleurs reçu l’autorisation d’assister la Commission européenne dans l’affaire Latombe.
Microsoft interviendra donc en tant que partie intéressée aux côtés de la Commission européenne pour défendre l’accord DPF. Le géant de la tech veut éviter que ce cadre ne soit lui aussi balayé. Les entreprises américaines actives en Europe ne voient pas d’un bon œil un troisième coup de grâce.
