Le Tribunal de l’Union européenne valide le Data Privacy Framework
Le Tribunal de l’Union européenne a rejeté, mercredi 3 septembre, le recours du député Philippe Latombe contre le Data Privacy Framework, l’accord encadrant les transferts de données entre l’UE et les États-Unis, au cœur d’une longue saga judiciaire.
Publié le
Par Maxime Lassalle, Maître de conférences en Droit privé et sciences criminelles à l’Université Bourgogne Europe
Pourquoi cette décision était-elle attendue ?
Lorsque des données à caractère personnel sont transférées de l’Union européenne vers des États tiers, elles ne sont plus soumises au RGPD. Celui-ci exige alors que certaines garanties soient respectées avant le transfert, pour assurer que les données soient suffisamment protégées dans le pays de destination. La décision d’adéquation est un des mécanismes permettant de garantir une telle protection. Elle suppose qu’une décision de la Commission reconnaisse, après un examen approfondi, que le droit d’un État tiers offre des garanties jugées adéquates.
Le caractère adéquat du droit américain est une question particulièrement controversée depuis 2013. Edward Snowden avait alors révélé l’ampleur de la surveillance opérée par les services de renseignement américains. À cette occasion, la transmission massive de données collectées par les géants du numériques en Europe à ces mêmes services de renseignement avait été mise en lumière. Cela avait entrainé à plusieurs reprises, notamment à l’initiative de Maximilan Schrems, la censure des décisions d’adéquation prise par la Commission concernant les États-Unis. Dans les affaires Schrems I et Schrems II, la Cour de justice de l’Union a ainsi estimé que le droit américain n’était pas adéquat.
Le droit américain a, depuis, évolué vers la reconnaissance d’un encadrement plus important des services de renseignement. Un point particulier a toutefois longtemps posé problème dans les relations entre les États-Unis et l’Europe : l’accès à des voies de recours effectives, aux États-Unis, permettant aux européens concernés par des transferts transatlantiques de contester les traitement de leurs données. Ce point a fait l’objet d’une avancée, en 2022, avec l’Executive Order 14086 ouvrant la voie à un mécanisme de contestation. Cela a permis à la Commission européenne d’adopter une nouvelle décision d’adéquation, en 2023, celle-là même qui fait l’objet d’un recours dans l’affaire Latombe.
Que faut-il en retenir ?
Ce nouvel arrêt s’inscrit donc dans une série de rebondissements relatifs aux transferts transatlantiques. L’enjeu fondamental est celui du caractère adéquat des garanties prévues à l’étranger, et donc du degré d’exigence que l’Union européenne doit avoir vis à vis des États vers lesquels des données sont transféfées.Or, sur ce point, le raisonnement suivi par le Tribunal de l’Union contraste très nettement avec les arrêts rendus par la Cour de justice de l’Union dans les affaires Schrems I et II. Dans l’arrêt Schrems II, la Cour avait insisté sur le fait que le “pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l’Union”, tout en utilisant d’ailleurs indistinctement les termes d’équivalence essentielle et d’équivalence substantielle. Seule cette dernière expression -équivalent substantielle- est reprise par le Tribunal, tout en lui donnant une portée qui semble affaiblie.
Dans son appréciation du caractère adéquat du droit américain, le Tribunal parait en effet moins exigeant que la Cour de justice. Cette dernière a initié, ces dernières années, un mouvement jurisprudentiel particulièrement exigeant en matière de protection des données à caractère personnel, suscitant d’ailleurs de nombreuses tensions avec les États membres, lesquels peinent eux-mêmes à respecter les exigences de la Cour de justice. Alors que les arrêts Schrems I et II s’inscrivaient parfaitement dans cette lignée, l’arrêt du Tribunal semble proposer une autre orientation, peut être plus favorable aux enjeux de sécurité nationale. En tout cas, dans son analyse des conditions à respecter pour conclure qu’un droit étranger est adéquat, le Tribunal s’inspire essentiellement de l’affaire Big Brother c. Royaume Uni de la CEDH. Au contraire, les grandes décisions de la CJUE –on pense notamment à l’affaire La Quadrature du Net I– traitant des activités des services de renseignement ne sont pas jugées pertinentes par le Tribunal. Ces dernières étaient particulièrement exigeantes, là où la CEDH reconnait certaines marges d’appréciation aux États du fait notamment du caractère très sensibles des questions de renseignement et de sécurité nationale.
Quels sont les prochains développements ?
S’agissant d’un arrêt du Tribunal, il est probable que la Cour soit saisie d’un pourvoi. Supposons toutefois que la Cour valide la décision d’adéquation existante. Une autre question, fondamentale, se poserait immanquablement. Le Tribunal ne tient en effet pas compte des développements récents en droit américain, notamment depuis le retour du Président Donald Trump. Or les garanties applicables en droit américain, mises en avant par le Tribunal, apparaissent pour certaines d’ores et déjà fragilisées. Prenons un exemple : le Privacy and Civil Liberties Oversight Board (PCLOB). Le rôle de ce comité est fondamental, notamment parce qu’il intervient dans la nomination des membres de la Data Protection Review Court, dont l’indépendance et l’impartialité sont longuement développées dans l’arrêt du Tribunal. Pourtant, le président Donald Trump a mis fin aux mandats de plusieurs membres du PCLOB, empêchant ce dernier de fonctionner. L’effet que cela pourrait avoir sur les transferts transatlantiques a déjà fait l’objet d’interrogations au Parlement européen, et aux Etats-Unis. La saga autour des transferts transatlantiques de données pourrait ainsi, malgré l’arrêt du Tribunal, faire l’objet de nouveaux rebondissements.
