Le 7 octobre, le Président des Etats-Unis a signé l’Executive Order donnant vie, outre-Atlantique, au nouveau Data Privacy Framework, successeur du Privacy Shield. Le texte introduit de nouvelles protections et, surtout, de nouveaux mécanismes de recours contre la surveillance exercée par les agences de renseignement. Mais les incertitudes sont encore nombreuses.
Joe Biden a signé en fin de semaine dernière l’Executive Order ratifiant l’accord de principe relatif au transfert de données personnelles entre Union européenne et Etats-Unis. Ce Data Privacy Framework (DPF) prendra logiquement la suite du Privacy Shield, invalidé en 2020 par la Cour de justice de l’Union européenne dans son arrêt dit Schrems II. « Le décret renforce un éventail déjà rigoureux de garanties en matière de confidentialité et de libertés civiles pour les activités de renseignement électronique des États-Unis » souligne la Maison Blanche.
Le renseignement tenu de ne pas trop surveiller massivement et sans justification
Le texte vient ainsi renforcer les garde-fous des agences de renseignement, exigeant notamment de ces dernières qu’elles mènent leurs activités « dans la seule poursuite d'objectifs de sécurité nationale définis », tout en tenant compte de « considération la vie privée et les libertés civiles de toutes les personnes ». Plus les obligations de proportionnalité. Le tout en étendant la responsabilité des responsables juridiques, de la surveillance et de la conformité des agences pour qu’ils prennent les mesures appropriées pour éviter les abus et y remédient le cas échéant.
En résumé, ce que d’aucuns considèrent comme des mesures basiques, de celles qui évitent que des agences de renseignement toutes puissantes ne se livrent à de la surveillance de masse… Et, pour garantir le respect de ces dispositions, et recevoir les plaintes adressées par des ressortissants européens contre le traitement de leurs données par le renseignement américain, le DPF a prévu le coup.
En lieu et place de l’Ombudsperson prévue par feu le Privacy Shield, le DPF prévoit un mécanisme en deux temps « pour obtenir un examen indépendant et contraignant et une réparation des réclamations selon lesquelles leurs informations personnelles collectées par le biais du renseignement américain ont été collectées ou traitées par les États-Unis en violation de la loi américaine applicable ».
Recours en deux temps
Au premier niveau, le Civil Liberties Protection Officer (CPLO), dépendant du Bureau du directeur du renseignement national, mène une enquête initiale après réception d’une plainte « éligible » pour déterminer si les clauses du DPF, ou toute autre loi américaine, ont été enfreintes. L’Executive Order énonce que les décisions du CPLO seront contraignantes pour les agences de renseignement et garantit son indépendance… A noter que le poste de CPLO est actuellement occupé par Benjamin Huebner, ex Privacy and Civil Liberties Officer de la CIA (le premier à temps-plein) et ancien conseiller au Renseignement de l’Assistant Attorney General chargé de la Sécurité nationale.
Au second niveau, une Data Protection Review Court (DPRC), mise en place par l’Attorney General, réalisera un « examen indépendant et contraignant des décisions du CLPO » à la demande de l’auteur de la plainte ou de la communauté du renseignement. Cette « cour » est composée de « juges » nommés en dehors du gouvernement américain, qui ont une expérience dans les domaines de la confidentialité des données et de la sécurité nationale et examineront les cas de manière indépendante. Mais il ne s’agit pas d’une cour de justice au sens constitutionnel du terme : il semble bien (le DOJ n’a pas encore publié les textes relatifs à cet organe) que la DPRC relève ainsi de l’exécutif américain. Et c’est elle qui désignera l’avocat qui devra représenter le plaignant. A noter enfin qu’aucun appel ne sera possible, à en croire l’Executive Order.
Il revient désormais à la Commission européenne de se pencher sur ce décret pour concocter une décision de mise en adéquation, dont le projet sera soumis à consultation du CEPD (déjà passablement échaudé) et des Etats membres. Il ne faudra pas compter sur une entrée en vigueur avant 2023, suivie peut-être d’un arrêt Schrems III tant les flous de l’Executive Order sont nombreux.