Le nouvel accord entre UE-États-Unis sur le transfert de données fait l’objet de critiques en Allemagne

Les recours du député français Philippe Latombe devant la Cour de justice de l’Union européenne (CJUE), qui pourraient faire échouer le nouvel accord de transfert de données entre l’UE et les États-Unis, ont trouvé un écho en Allemagne, où l’accord, conclu il y a seulement deux mois, fait déjà l’objet de nombreuses critiques.

Philippe Latombe, député français de la majorité présidentielle (MoDem), a déposé deux plaintes auprès de la plus haute juridiction de l’UE la semaine dernière afin d’annuler l’accord transatlantique sur le transfert des données entre l’Union européenne et les États-Unis.

Il bénéficie du soutien de ses collègues allemands du Bundestag, car l’accord, qui créerait un cadre juridique aux transferts de données entre les deux continents, est également vu d’un œil critique en Allemagne.

« Une révision juridique n’est pas inattendue pour moi, car les données personnelles en provenance de l’UE ne bénéficient pas du même niveau de protection en UE et aux États-Unis, même après la nouvelle version du bouclier de protection des données (Privacy Shield) », a confié Maximilian Funke-Kaiser, porte-parole de la politique numérique pour le Parti libéral-démocrate allemand (FDP), à Euractiv.

La Cour de justice de l’UE avait annulé les deux accords précédents, le Safe Harbour et le Privacy Shield, parce qu’ils ne garantissaient pas les normes de protection des données de l’UE aux États-Unis.

Pas de surprise au Bundestag

Dans le même temps, plusieurs groupes parlementaires du Bundestag sont plutôt unanimes dans leur critique du nouvel accord.

« Le niveau de protection des données aux États-Unis est encore insuffisant. Il est donc logique que l’accord actuel soit également contesté devant les tribunaux », a indiqué à Euractiv Petra Sitte, porte-parole du groupe parlementaire de La Gauche (Die Linke) en charge de la politique technologique.

La Commission européenne doit comprendre que ses tentatives d’accord transatlantique sur les transferts de données ne seront valables que si quelque chose de substantiel change, a déclaré Mme Sitte.

L’examen juridique en cours, a ajouté M. Funke-Kaiser, « est aussi ennuyeux que nécessaire dans le contexte du besoin urgent de règles de jeu claires pour les entreprises ».

Une action en justice était prévisible de la part de l’union des partis chrétiens-démocrates, le groupe CDU/CSU.

Malgré les préoccupations liées à la protection des données, il est également important de « créer une base contractuelle sûre et propre pour l’échange de données, en particulier entre les principaux acteurs, les États-Unis et l’Europe », a déclaré Franziska Hoppermann, membre du parti chrétien-démocrate (CDU).

Nouvelles conditions de transfert de données

Ce n’est pas la première fois qu’un accord de transfert de données entre les États-Unis et l’Union européenne fait l’objet de critiques.

En 2015, le premier accord entre les États-Unis et l’UE, connu sous le nom de Safe Harbour, a été annulé par la Cour de justice de l’UE après avoir été contesté par Max Schrems, un avocat et militant autrichien et cofondateur de l’ONG de défense des droits numériques NOYB.

En 2020, un second accord transatlantique, le Privacy Shield a également été annulé par la Cour, qui a invoqué le risque de surveillance et d’espionnage massifs des citoyens de l’Union européenne par les agences de renseignement américaines.

En conséquence, les alliés transatlantiques se sont mis d’accord sur un nouveau cadre de transfert des données UE-États-Unis, le EU-US Data Protection Framework (DPF), un nouvel accord négocié par la Commission qui est entré en vigueur le 10 juillet et est destiné à étayer et à faciliter les transferts de données européennes vers les États-Unis.

Les nouvelles conditions sont conçues pour répondre à certaines des préoccupations de l’UE en matière de protection des données et pour limiter les moyens par lesquels les agences de renseignement américaines peuvent obtenir des informations sur les citoyens de l’UE.

En outre, l’accord-cadre contient d’autres conditions relatives à la collecte de données à caractère personnel.

Les citoyens de l’UE pourront également s’adresser au délégué à la protection des libertés civiles des États-Unis et à la Cour indépendante de contrôle de la protection des données.

Toutefois, selon la déclaration de M. Latombe, le cadre de protection des données UE-États-Unis viole le règlement général sur la protection des données (RGPD) de l’UE et la Charte des droits fondamentaux de l’Union européenne.

Par exemple, l’article 52 de la Charte garantit et protège les libertés fondamentales des citoyens de l’UE, en stipulant que les restrictions à ces libertés ne peuvent être faites que lorsqu’elles sont nécessaires et proportionnées. Une surveillance de masse « proportionnée » violerait ce principe.

Une autre action en justice ?

NOYB, qui avait déjà fait tomber les accords précédents, a annoncé une contestation le jour de l’adoption de l’accord-cadre de transfert des données UE-États-Unis.

La « troisième tentative de la Commission européenne d’obtenir un accord stable sur les transferts de données entre l’UE et les États-Unis sera probablement de retour devant la Cour de justice (CJUE) dans quelques mois », avait déclaré NOYB.

Il est fort probable que M. Schrems saisisse un tribunal autrichien à l’automne, qui renverra ensuite l’affaire devant la Cour via une question préjudicielle.

Pour intenter une action en Autriche, M. Schrems devra d’abord attendre le 10 octobre, date à laquelle les entreprises américaines inscrites au registre du commerce et répertoriées dans la liste des entreprises concernées par le DPF pourront échanger des données avec l’UE.

La semaine prochaine, M. Schrems rencontrera également M. Latombe afin d’échanger leurs points de vue sur la marche à suivre.

[Édité par Anne-Sophie Gayet]