Il n'y a toujours pas de nouvel accord brillant sur le transfert de données entre l'Union européenne et les États-Unis visant à résoudre une incertitude juridique coûteuse sur les exportations de données personnelles, mais la commission des libertés civiles du Parlement européen prédit le cadre de confidentialité des données UE-États-Unis Il ne survivrait pas à une contestation judiciaire, comme ses deux prédécesseurs, Safe Harbor (RIP : octobre 2015) ; et Privacy Shield (RIP : juillet 2020), et n'a pas réussi à impressionner les juges de l'UE.
Dans une résolution approuvée hier par la commission LIBE, avec 37 voix pour, 21 voix contre et XNUMX abstentions, les députés ont qualifié le DPF d'amélioration qui, cependant, n'est pas suffisante. Ils ont également prédit qu'il est susceptible d'être invalidé par la Cour de justice de l'UE (CJUE) à l'avenir.
le développement continue un projet d'avis LIBE en février, qui a également rejeté la proposition et exhorté la Commission à faire pression pour des réformes significatives.
Dans la résolution, la commission considère que l'accord proposé n'offre pas de garanties suffisantes aux citoyens de l'UE, étant donné que le cadre permet la collecte massive de données personnelles dans certains cas; ne subordonne pas la collecte de données en masse à une autorisation préalable indépendante ; et ne fournit pas de règles claires sur la conservation des données.
Les députés craignent également qu'un mécanisme de recours proposé, le soi-disant "tribunal de révision de la protection des données", ne viole les droits des citoyens de l'UE d'accéder aux données les concernant et de les rectifier, car les décisions seraient tenues secrètes. . Ils remettent également en cause leur indépendance puisque les juges pourraient être révoqués par le président américain, qui pourrait également annuler leurs décisions.
"Dans la résolution, les députés soutiennent que le cadre des transferts de données doit être évolutif et que l'évaluation de l'adéquation doit être basée sur la mise en œuvre pratique des règles", selon un parlementaire. dans un communiqué de presse Il a déclaré que le comité a exhorté la Commission à ne pas accorder d'accommodement sur la base du régime actuel et à négocier à la place un cadre de transfert de données qui risque d'être retardé par les tribunaux.
commentant déclaration Après le vote, le rapporteur de la commission LIBE, Juan Fernando López Aguilar, a déclaré :
Le nouveau cadre est certainement une amélioration par rapport aux mécanismes précédents. Cependant, nous n'en sommes pas encore là. Nous ne sommes pas convaincus que ce nouveau cadre protège suffisamment les données personnelles de nos citoyens et nous doutons donc qu'il survive à l'épreuve de la CJUE. La Commission doit continuer à travailler pour répondre aux préoccupations soulevées par le comité européen de la protection des données [EDPB] et la commission des libertés civiles, même si cela signifie rouvrir les négociations avec les États-Unis.
En février, l'EDPB a contribué son opinion dans le cadre, exprimant également l'accord comme une amélioration du bouclier de protection de la vie privée. Mais l'influent organe directeur a également soulevé un certain nombre de préoccupations qu'il a recommandé de traiter et de demander des éclaircissements pour "s'assurer que la décision d'adéquation perdure".
Le vote de la commission LIBE fait partie du processus général de contrôle de l'UE. Bien qu'il soit important de noter que les députés n'ont pas d'opinion active sur l'opportunité d'adopter ou non le DPF, pas même l'EDPB. Le dernier mot sur les décisions d'adéquation appartient uniquement à la Commission.
Dans le même temps, il est évidemment inconfortable que des doutes soient soulevés au sein de l'UE quant à la robustesse et à la durabilité du cadre de remplacement prévu.
Le Parlement européen dans son ensemble pourra également se prononcer, lors d'une future session plénière qui examinera la résolution de la commission LIBE. Il sera donc intéressant de voir comment les parlementaires se positionnent.
Le DPF est la dernière offre de haut niveau visant à résoudre le conflit frontal entre les droits de l'UE en matière de vie privée et les pouvoirs de surveillance des États-Unis en incluant une autre décision dite d'adéquation pour faciliter les flux de données entre l'UE et Le cadre proposé s'appuie sur des tentatives antérieures (supprimées) en établissant un nouvel ensemble de dispositions destinées à dissimuler des différences importantes, telles qu'une déclaration de "garanties contraignantes" pour limiter l'accès des agences de renseignement américaines aux données, y compris l'introduction des concepts de nécessité et de proportionnalité ; et une promesse d'un meilleur contrôle de la surveillance des espions.
Comme indiqué ci-dessus, un nouveau tribunal de révision de la protection des données sera également créé, censé s'ajouter à un mécanisme de recours indépendant capable de résoudre les plaintes des citoyens de l'UE au niveau requis par les juges européens. Mais les critiques soutiennent qu'il ne s'agit pas d'un tribunal approprié, au sens juridique complet, il ne passera donc pas le test avec la CJUE.
Une chose est claire : il faut beaucoup plus de temps pour obtenir un accord cette fois-ci maintenant que l'offre de petits remèdes simples est épuisée.
La Commission est parvenue à un accord de principe sur le DPF il y a un peu plus d'un an. Il a ensuite fallu environ six mois au président américain Joe Biden pour signer un décret exécutif nécessaire à la mise en œuvre du remplacement. Bien qu'il ait fallu près de neuf mois à compter de l'annonce de l'accord pour que l'UE parvienne à un projet d'accord (environ deux mois après l'OE). À cette époque, un processus d'examen et d'examen du projet par d'autres institutions de l'UE a commencé, qui est toujours en cours.
(En revanche, le bouclier de protection des données UE-États-Unis est passé d'une annonce en février 2016 à une adoption officielle en juillet et à une mise en service début août de la même année. Il a ensuite fallu un peu plus de quatre ans pour le retirer. Il y a donc certainement des leçons à tirer sur les législateurs qui agissent à la hâte et se repentent ici.)
En avril de l'année dernière, la Commission a suggéré que l'ensemble du processus de remplacement Privacy Shield il pourrait être « finalisé » d'ici fin 2022. Et si finalisé signifie adopté, il était certainement trop optimiste puisque nous sommes au printemps 2023 et que le processus est encore fragile.
Certains rapports laissent entendre que le DPF ne sera pas adopté avant l'été (Reuters cite des responsables anonymes suggérant qu'il pourrait être prêt d'ici juillet).
Interrogé sur la date prévue d'adoption, un porte-parole de la Commission a déclaré qu'il ne pouvait pas fournir de calendrier précis car le processus implique de multiples parties prenantes.
Il a également précisé qu'il examinait "avec attention" l'avis du comité européen de la protection des données et s'efforçait de répondre à leurs commentaires et demandes de clarification avant de passer à la phase suivante du processus d'adoption, qui impliquera de demander l'approbation d'un comité de représentants des États membres du comité européen de la protection des données. UE.
La Commission voudra clairement éviter un troisième coup, ce qui explique probablement pourquoi l'adoption prend plus de temps que prévu. Et pourquoi il prend soin d'éviter d'être accusé d'ignorer les préoccupations de l'EDPB et d'autres.
Les données UE-États-Unis. USA de Meta flow dans ce cadre
Alors que les subtilités de la comitologie de l'UE peuvent sembler être un sujet extrêmement sec, il y a une conséquence très tangible associée à l'adoption du DPF. En effet, le géant de la technologie Meta, propriétaire de Facebook et d'Instagram, fait face à une ordonnance de suspension des données qui pourrait l'obliger à suspendre ses exportations de données d'utilisateurs depuis l'UE. Et puisque Facebook n'est pas fédéré, il pourrait être contraint de fermer le service aux utilisateurs de l'UE pour se conformer à l'ordonnance.
L'organisme irlandais de surveillance des données a rendu une ordonnance préliminaire à cette fin à l'automne 2020. Après quoi, Meta a obtenu une suspension et a également demandé un contrôle judiciaire, réussissant ainsi à retarder le processus pendant un certain temps. Mais il s'est essoufflé sur cette contestation judiciaire particulière en mai 2021. Et puis un projet de décision révisé a été publié en février 2022.
Le défi initial des flux de données UE-États-Unis de Meta repose sur la même question centrale de la surveillance américaine par rapport à la vie privée de l'UE, mais la plainte remonte en fait à l'année des révélations de Snowden. Il y a donc eu environ une décennie de réglementation sur cette question et il n'y a toujours pas de décision finale.
Cependant, une fin est, en théorie, enfin en vue.
hier il CEPD a confirmé avoir pris une décision contraignante sur la question, ce qui signifie que la principale DPA européenne de Meta, la Commission irlandaise de protection des données (DPC), doit rendre une décision finale dans un délai d'un mois. Donc mi-mai.
L'été dernier, le géant de la les réseaux sociaux ont évité de justesse un scénario judiciaire plus tôt lorsque les autorités de protection des données de l'UE n'étaient pas d'accord avec le projet de décision du DPC, déclenchant un processus de règlement des litiges intégré au règlement général sur la protection des données (RGPD) qui a finalement conduit le CEPD à intervenir et à prendre une décision contraignante.
Nous ne savons pas encore ce que dit la décision, mais puisque l'ordonnance préliminaire portait sur un sursis, il semble peu probable que la Commission parvienne à un résultat radicalement différent. Et avec ce processus tortueux d'application du RGPD qui touche à sa fin, la question est maintenant de savoir ce qui arrivera en premier : un ordre à Meta de fermer ses flux de données UE-États-Unis ? États-Unis, ou l'adoption du DPF UE-États-Unis. ETATS-UNIS?
Ce dernier scénario, bien sûr, fournirait une nouvelle échappatoire à Meta pour éviter un ordre stop.
Bien que, si le DPF arrive avant l'ordonnance finale du DPC, c'est le même scénario : l'entreprise profitera du cadre de haut niveau pour renouveler sa demande de conformité totale avec les règles de l'UE et repartira sur la route (probablement pendant de nombreuses années).
Mais même si une commande vient en premier pour que Meta suspende ses flux de données, la société consacrera sûrement tous ses avocats locaux à trouver de nouvelles façons de retenir le couteau. Un appel de toute ordonnance réglementaire pour arrêter l'exportation des données des utilisateurs de l'UE est sans danger. Vous pouvez également essayer de surseoir à l'exécution en attendant le résultat de votre appel. Bien qu'il ne soit pas certain que les tribunaux l'autoriseront.
Cependant, il existe également une autre possibilité. La décision finale du DPC pourrait donner à Meta un délai pour arrêter les flux de données, disons deux ou trois mois, ce qui pourrait lui donner suffisamment de temps pour que le DPF soit adopté, lui permettant de redémarrer sa base juridique en utilisant le nouveau cadre. et éviter la menace d'un arrêt une fois de plus.
Le mois dernier, la commissaire du DPC, Helen Dixon, a admis Reuters la chronologie "arrivait à la fin".
Les observateurs de la vie privée examineront sans aucun doute celui-ci de près pour voir si Meta fait face à un dernier compte sur les transferts de données pour enfin, pendant longtemps. Ou s'il s'accroche à une autre manière de continuer à affronter les régulateurs et les législateurs.
