DPRC : un nouvel accord discutable sur le transfert des données européennes aux USA

Soutenez un média indépendant

Reportages, enquêtes, initiatives et solutions en accès libre : pour un numérique plus responsable, notre rédaction compte sur vous.

Nousseu DOUONNousseu DOUON

5 min

DPRC : un nouvel accord discutable sur le transfert des données européennes aux USA

Mise en place en octobre 2022, la Data Protection Review Court (DPRC) ou Cour de révision pour la protection des données est une institution instaurée par l'administration Biden afin de résoudre les litiges entre les États-Unis et les États européens concernant le traitement des données personnelles. Le 14 novembre 2023, les premiers juges de la DPRC ont été nommés. Si cette nouvelle juridiction est censée apaiser les tensions déjà existantes, son fonctionnement laisse planer quelques zones d’ombre.

De nouvelles garanties pour les individus

En juillet 2020, l’arrêt dit Schrems II issu par la Cour de justice de l’UE invalide le Privacy Shield (un accord permettant auparavant le transfert de données transatlantiques) et considère les États-Unis comme pays inadéquat. Dès lors, pour y transférer les données des européen·nes, des garanties ont été considérées comme nécessaires (anonymisation des données, clauses standard…).

Après des années de négociations, le Data Privacy Framework (Cadre de protection des données) a été mis en place à l'été 2023 entre l’UE et les États-Unis. Cet accord facilite les transferts de données entre ces deux régions.

Comment ? En instaurant des garanties suffisantes pour les utilisateurs·rices (obligation d’information, transparence, droit d’opposition au transfert, organisme de recours...)

La grande nouveauté de cet accord ? La possibilité, pour tout européen·ne estimant que ses données ont été traitées de manière illégale, de saisir la Data Protection Review Court (DPRC).

Un nouveau mécanisme de recours

En vertu de la Loi américaine sur la surveillance et le renseignement étranger (FISA), les données des citoyen·nes européen·nes peuvent être légalement collectées dans le cadre des activités de surveillance américaine. Les européen·nes, quant à elles·eux, ne disposent en pratique d'aucun moyen de recours pour empêcher d'éventuelles activités de surveillance excessives en vertu du droit européen. C’est tout l’objet de cette nouvelle Cour.

Mise en place par décret en octobre 2022, celle-ci a pour mission principale d'examiner de manière indépendante les décisions prises par le « Civil Liberties Protection Officer of the Office of the Director of National Intelligence » (ODNI CLPO) – ou Officier de protection des libertés civiles du bureau du directeur du renseignement national – en réponse aux plaintes qualifiantes* déposées par des individus par l'intermédiaire d'autorités publiques.

*Plainte de bonne foi alléguant de violations spécifiques concernant des données personnelles, dans le cadre des activités de renseignement des États-Unis.

Un tel recours comporte deux étapes :

  • La demande du·de la plaignant·e est d’abord reçue par une autorité européenne de protection des données, avant d'être transmise à l’ODNI CLPO qui joue un rôle de première instance. Cet organisme se charge de mener une enquête afin d’établir l’existence ou non de violations, ainsi que les mesures correctives appropriées.
  • Si aucune violation n’est constatée, le·la plaignant·e peut demander à la DPRC de réexaminer les décisions de l’ODNI CLPO.
💡 Un citoyen de l’UE soupçonne que ses communications électroniques ont été interceptées et analysées par une agence de renseignement américaine, dans le cadre de la surveillance des signaux. Ceci, en violation des garanties fournies dans le décret exécutif américain. Cette personne pourrait alors déposer une plainte auprès de l’ODNI CLPO). Si elle n'est pas satisfaite de la réponse ou de la résolution proposée, elle pourrait alors faire appel à la DPRC.

Toutefois, le fonctionnement de cette Cour laisse encore planer quelques doutes.

Des détails de plus en plus flous

La mise en place et le fonctionnement de la DPRC ont suscité des critiques importantes. Plusieurs points assez confus méritent d'être éclaircis.

Une indépendance discutable

La DPRC est une Cour créée par décret, censée analyser des violations effectuées par des agences de renseignement... relevant elles aussi de l’exécutif. Il y a nécessairement un conflit d’intérêts. Comment la Cour est censée empêcher de telles activités de surveillance, si celles-ci ont été jugées nécessaires par l'exécutif américain ? De quels moyens concrets dispose cette Cour ?

Une procédure soumise à éligibilité

Selon les informations rendues disponibles, cette procédure ne s'adresse pas à tout le monde. En effet, selon le décret établissant la DPRC, les demandes de revues doivent être déposées auprès des autorités publiques des États admissibles. La qualité d'État admissible est accordée par le Procureur Général sur la base des critères suivants :

  • Le pays ou l'organisation régionale requiert des garanties appropriées pour la conduite des activités de renseignements américaines. Par exemple, l'Union Européenne exige des garanties appropriées pour la conduite des activités de renseignement. Cela nécessite un niveau de protection équivalent à celui accordé par le RGPD (avec le respect de principes comme la proportionnalité, la minimisation, la nécessité...), ainsi qu'un mécanisme de recours.
  • Le pays ou l'organisation régionale autorise le transfert de données personnelles avec les États-Unis à des fins commerciales.
  • La désignation d'un tel pays ou organisation régionale comme admissible serait dans l'intérêt des États-Unis.

On peut donc en déduire que cette qualité de pays admissible ne concerne pour l'instant que les pays de l'Union Européenne et tous les autres ayant un accord avec les États-Unis sur le partage de données (Par exemple le Royaume-Uni, Gibraltar, la Suisse...). C'est donc une désignation qui reste à la seule discrétion des États-Unis. Elle peut donc avoir pour effet d'exclure d'autres pays d'Amérique, d'Asie ou d'Afrique qui ne sont pourtant pas épargnés par les activités de surveillance américaine.

Un emplacement gardé confidentiel

Aucune information n’a été donnée au sujet de la localisation de cette Cour. Il n’existe donc aucune possibilité d’y s’y rendre physiquement. La seule information rendue publique est l’identité des huit juges qui siègent. Comment être sûr de l'indépendance de cette Cour si elle ne dispose pas de locaux qui lui sont propres et ne permet pas l'accès à des personnes physiques ?

Un manque de transparence

À ce jour, le Département de la Justice américain n'a pas divulgué s'il a déjà pris en charge des affaires dans ce cadre, ni quand il pourra le faire. Les décisions de la Cour seront tenues secrètes. Les plaignant·es, non autorisé·es à comparaître en personne, sont représenté·es par un·e avocat·e spécial·e.

Lors de la requête en première instance auprès de l’ODNI CLPO, la réponse mentionnera soit qu'aucune violation n'a été constatée, soit qu'une violation a été constatée et que le gouvernement américain a pris les mesures appropriées pour y remédier. Elle ne précisera pas lesquelles. Ceci pose un problème de transparence, car c’est sur la base de ce refus que la partie plaignante est censée faire un recours.

En tant qu'avocat, il est très difficile d'obtenir gain de cause en disant ‘je fais appel’ sans mentionner pourquoi on attaque la décision.

Max Schrems, juriste autrichien

Des droits de la défense insuffisants

Selon les informations communiquées dans le décret établissant la DPRC, chaque demande sera examinée par un panel de trois juges de cette Cour. C'est le·la juge présidant qui désignera l'avocat·e spécial·e chargé de défendre les intérêts du·de la plaignant·e.

Cependant, le même décret mentionne qu’il ne s’agira en aucun cas d’une relation avocat-client. Au contraire, l’avocat·e spécial·e sera même soumis à des restrictions de communication pour des raisons de sécurité nationale. En effet, l’administration américaine souhaite s’assurer qu’aucune information classifiée ou privilégiée ne sera divulguée.

Sur le papier, la Data Protection Review Court (DPRC) offre donc un mécanisme de recours pour les plaintes concernant la surveillance des données des européen·nes. Or, même si cette Cour fait renaitre l'espoir quant au respect des droits des européen·nes par le Gouvernement américain, les critiques et incertitudes autour de son fonctionnement ne rassurent pas. Seule l'observation du fonctionnement réel de cette Cour permettra de répondre à la question de l'équilibre entre surveillance et respect de la vie privée.

Références :

[Photo de couverture : Conny Schneider]

Soutenez-nous en partageant l'article :

Sur le même thème :