| Philippe Latombe | Numérique | ALERTES Vu 18664 fois
Article N°28123
Le Député Philippe LATOMBE écrit en Recommandé AR à Madame Ursula von der Leyen Présidente de la Commission européenne
Lettre adressée en recommandé avec accusé de réception
Objet : Révision de l’accord d’adéquation
Data Privacy Framework/Fisa renouvelé
Paris, le 23 avril 2024,
Objet : Révision de l’accord d’adéquation
Data Privacy Framework/Fisa renouvelé
Paris, le 23 avril 2024,
Madame la Présidente,
Député français de la Commission des lois, membre la Commission nationale de l’informatique et des libertés (CNIL), j’ai, à titre personnel, le 6 septembre 2023, saisi le Tribunal de l’Union européenne (TUE), afin de contester la validité du Data Privacy Framework (DPF).
À travers cette saisine, j’émettais de fortes réserves sur la conformité de cet accord avec le Règlement général sur la protection des données (RGPD) et la Charte des droits fondamentaux de l’Union européenne.
J’y pointais également l’absence de prise en compte des critiques formulées sur ce texte par le Parlement européen, ainsi que celle d’un véritable débat sur ce sujet, en son sein et en celui du Parlement national.
J’insistais aussi sur la forte probabilité d’une troisième procédure dite Schrems, et sur les répercussions juridiques pour les entreprises européennes, en cas d’une nouvelle invalidation de cet accord d’adéquation sur le transfert des données vers les États-Unis.
Cette saisine est à l’agenda du tribunal.
Vendredi dernier, le renouvellement du Foreign Intelligence Service Act (FISA) et de sa section 702, voté par le Congrès et promulgué aussitôt par le président Joe Biden, a étendu le champ d’application de la catégorie d’entreprises qui doivent coopérer avec le Renseignement américain. Seront désormais concernés les centres de données et les entreprises qui « ont simplement accès à des équipements de communication dans leur espace physique », ce qui, est-il besoin de le préciser, constitue un objet on ne peut plus large et, de ce fait, particulièrement préoccupant.
De nombreux Américains se sont émus de cette atteinte à leurs droits fondamentaux, notamment à travers la possibilité pour les agences américaines de procéder à l’écoute de leurs communications, dès l’instant qu’ils sont en relation avec des non-Américains eux-mêmes mis sur écoute. Les Européens et ceux qui les gouvernent feraient bien d’être en proie aux mêmes inquiétudes.
Outre-Atlantique, ce nouveau dispositif a donc soulevé un débat houleux en raison de son caractère intrusif. Les tentatives de modération de ce texte ont cependant fait les frais des discussions entre partisans et adversaires de l’aide accordée à l’Ukraine, le vote de certains Républicains en faveur de cette dernière ayant été conditionnés, semble-t-il, au renforcement des moyens d’investigation accordés aux services du renseignement américain.
Le DPF adopté en 2023 a donc été élaboré en prenant en compte un texte de loi américain sur l’espionnage devenu caduc depuis quelques jours. Je vous rappelle que si cet accord d’adéquation est assujetti à une clause de revoyure à un puis deux ans, cela ne dispense aucunement d’une révision de l’accord, à l’aune d’une modification substantielle du droit américain, comme dans le cas présent, avec consultation du Comité européen de la protection des données (CEPD), du Parlement européen et du Conseil de l’Union.
Je me permets de vous rappeler les propos que vous avez tenus lors des négociations du DPF : « Le nouveau cadre UE-États-Unis de protection des données garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l'Atlantique. À la suite de l'accord de principe que j'ai conclu avec le président Biden l'année dernière, les États-Unis ont pris des engagements sans précédent pour mettre en place le nouveau cadre ». Vous avez aussi manifesté votre souci de « rassurer les citoyens sur la sécurité de leurs données ». Ces déclarations vous engagent.
Pour toutes ces raisons, j’attire votre attention sur l’obligation de lancer immédiatement une réévaluation du DPF, quitte à le dénoncer pour pouvoir entamer, le cas échéant, une nouvelle négociation.
Je vous prie de croire, Madame la Présidente, à l’assurance de ma respectueuse considération.
À travers cette saisine, j’émettais de fortes réserves sur la conformité de cet accord avec le Règlement général sur la protection des données (RGPD) et la Charte des droits fondamentaux de l’Union européenne.
J’y pointais également l’absence de prise en compte des critiques formulées sur ce texte par le Parlement européen, ainsi que celle d’un véritable débat sur ce sujet, en son sein et en celui du Parlement national.
J’insistais aussi sur la forte probabilité d’une troisième procédure dite Schrems, et sur les répercussions juridiques pour les entreprises européennes, en cas d’une nouvelle invalidation de cet accord d’adéquation sur le transfert des données vers les États-Unis.
Cette saisine est à l’agenda du tribunal.
Vendredi dernier, le renouvellement du Foreign Intelligence Service Act (FISA) et de sa section 702, voté par le Congrès et promulgué aussitôt par le président Joe Biden, a étendu le champ d’application de la catégorie d’entreprises qui doivent coopérer avec le Renseignement américain. Seront désormais concernés les centres de données et les entreprises qui « ont simplement accès à des équipements de communication dans leur espace physique », ce qui, est-il besoin de le préciser, constitue un objet on ne peut plus large et, de ce fait, particulièrement préoccupant.
De nombreux Américains se sont émus de cette atteinte à leurs droits fondamentaux, notamment à travers la possibilité pour les agences américaines de procéder à l’écoute de leurs communications, dès l’instant qu’ils sont en relation avec des non-Américains eux-mêmes mis sur écoute. Les Européens et ceux qui les gouvernent feraient bien d’être en proie aux mêmes inquiétudes.
Outre-Atlantique, ce nouveau dispositif a donc soulevé un débat houleux en raison de son caractère intrusif. Les tentatives de modération de ce texte ont cependant fait les frais des discussions entre partisans et adversaires de l’aide accordée à l’Ukraine, le vote de certains Républicains en faveur de cette dernière ayant été conditionnés, semble-t-il, au renforcement des moyens d’investigation accordés aux services du renseignement américain.
Le DPF adopté en 2023 a donc été élaboré en prenant en compte un texte de loi américain sur l’espionnage devenu caduc depuis quelques jours. Je vous rappelle que si cet accord d’adéquation est assujetti à une clause de revoyure à un puis deux ans, cela ne dispense aucunement d’une révision de l’accord, à l’aune d’une modification substantielle du droit américain, comme dans le cas présent, avec consultation du Comité européen de la protection des données (CEPD), du Parlement européen et du Conseil de l’Union.
Je me permets de vous rappeler les propos que vous avez tenus lors des négociations du DPF : « Le nouveau cadre UE-États-Unis de protection des données garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l'Atlantique. À la suite de l'accord de principe que j'ai conclu avec le président Biden l'année dernière, les États-Unis ont pris des engagements sans précédent pour mettre en place le nouveau cadre ». Vous avez aussi manifesté votre souci de « rassurer les citoyens sur la sécurité de leurs données ». Ces déclarations vous engagent.
Pour toutes ces raisons, j’attire votre attention sur l’obligation de lancer immédiatement une réévaluation du DPF, quitte à le dénoncer pour pouvoir entamer, le cas échéant, une nouvelle négociation.
Je vous prie de croire, Madame la Présidente, à l’assurance de ma respectueuse considération.
Philippe LATOMBE
Réagissez, commentez !
-
JJUG :23/04/2024 16:08:22 Bravo Monsieur le Député !
Heureusement que nous avons des gens comme vous qui exercez, avec vigilance, votre mission de représentation.
Alors que la définition de règles communes européennes de sécurité des traitements semble échouer pour inclure un niveau excluant, sans faux semblants, des acteurs soumis aux lois extraterritoriales que vous dénoncez justement dans ce courrier, il serait temps que la France annonce fermement ses demandes, mieux ses EXIGENCES.
Ce n'est pas par hasard ni caprice que ce niveau a été prévu dans la certification "SecNumCloud".
D'ailleurs, très curieusement, l'absence de ce label aurait fait partie des raisons invoquées pour élimination -surprenante- des solutions françaises pour le projet de données des santé EMC2. Il est une sorte de descendant du célèbre HDH, qui a aussi fait le choix d'Azure de Microsoft, alors même que cette solution n'est, évidemment pas, conforme au "SecNumCloud".
Choix qui a été validé, à regrets, par la CNIL !
Je me demande d'ailleurs si ce choix est toujours légal suite au récent vote US.
Plusieurs responsables se sont élevés devant le nouvel abandon de souveraineté numérique dont l'ancien directeur de l'ANSSI et un représentant du CIGREF.
Si vous vouliez prendre le flambeau de la résistance, je suis sûr, Monsieur le Député, que vous fédèreriez les énergies et compétences.
Si le fait d'être seul en vue froisse votre modestie, faites-vous donc accompagner par votre "complice", la Sénatrice Catherine Morin-Desailly elle est tout autant engagée que vous !
Jean-Jacques URBAN-GALINDO
Pour EMC2 voir
https://forumatena.org/hdh-larret-de-la-cnil-autorise-azure-de-microsoft/