Philippe Latombe
Question N° 4924 au Ministère de l’économie
Question soumise le 24 janvier 2023
M. Philippe Latombe alerte M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur la nouvelle décision d'adéquation publiée le 13 décembre 2022 par la Commission européenne, en remplacement du Privacy Shield invalidé par la Cour de justice de l'UE. Cette dernière exigeait que la surveillance américaine soit proportionnée au sens de l'article 52 de la Charte des droits fondamentaux et qu'il y ait un accès à un recours judiciaire, comme l'exige l'article 47 de cette même charte. Or la loi américaine actualisée (Executive Order 14086) ne semble toujours pas répondre à ces deux exigences. Elle ne change pas la situation par rapport à la PPD-28 précédemment applicable. Il y a bien une instance prévue, la Data Protection Review Court, mais elle n'est pas réellement indépendante puisque rattachée à l'exécutif américain. De plus, les systèmes et les pratiques juridiques américains et européens divergent considérablement dans leur définition de la nécessité et de la proportionnalité. Le projet de décision va maintenant être examiné par le Conseil européen de la protection des données (CEPD) et les États membres de l'Union européenne. Toutefois, même négatives, leurs déclarations ne sont pas contraignantes pour la Commission. Seuls le Parlement européen et le Conseil peuvent contester la décision à tout moment du processus s'ils estiment que la Commission européenne a outrepassé ses pouvoirs. On peut déjà anticiper que toute « décision d'adéquation » de l'UE basée sur l'Executive Order 14086 ne satisfera probablement pas la CJUE si elle est, et elle le sera, de nouveau sollicitée. On s'achemine donc vers un Schrems III. Pendant ce temps, le compteur tourne au détriment de la protection des données des Européens et permet aux géants américains du Net de consolider leur suprématie au détriment de l'écosystème européen. Il souhaite connaître la position du Gouvernement sur ce sujet, sa feuille de route et, notamment, s'il envisage de déférer l'accord d'adéquation à la CJUE dans les deux mois suivant sa promulgation.
Réponse émise le 21 mars 2023
Le Gouvernement a pris note de l'intention de la Commission européenne d'ouvrir la procédure d'adoption d'une décision d'adéquation pour les flux de données personnelles entre l'Union européenne et les États-Unis au titre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le Gouvernement a également pris note des conclusions rendues le 28 février dernier par le Conseil européen de la protection des données (CEPD). Pour mémoire, les articles 45 et 93 du règlement (UE) 2016/679 prévoient que l'adoption des décisions d'adéquation avec des pays tiers est opérée au moyen d'actes d'exécution, lesquels appellent une procédure de comitologie définie à l'article 5 du règlement (UE) 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. L'adoption de l'acte d'exécution portant entrée en vigueur de la décision d'adéquation avec les États-Unis fera donc l'objet d'une procédure d'examen au sens cet article 5 du règlement (UE) 182/2011. Les États membres peuvent ainsi émettre un avis défavorable, lequel, selon les règles définies à l'article 16, paragraphes 4 et 5, du traité sur l'Union européenne, peut contraindre la Commission à renoncer à l'adoption d'un projet de décision d'adéquation. L'adoption, si elle doit avoir lieu, n'interviendra pas avant l'été 2023, laissant aux États membres la possibilité de travailler à d'éventuelles pistes d'amélioration de ce projet d'adéquation. La mise en œuvre de ce nouveau cadre doit garantir robustesse juridique, prévisibilité pour nos entreprises et protection des droits des citoyens. Il convient de noter que l'éventuelle adoption du projet de décision d'adéquation communiqué par la Commission européenne n'épuise pas la problématique de la protection des données sensibles des entreprises et des administrations hébergées dans le cloud, au sujet de laquelle le Gouvernement a d'ores et déjà pris des engagements forts. Avec l'instauration du label « SecNumCloud », les entreprises et les administrations françaises peuvent dorénavant bénéficier des meilleurs services offerts par le Cloud tout en assurant la meilleure protection pour leurs données - 7 services de 5 fournisseurs sont aujourd'hui qualifiés. En complément, le Gouvernement a mis en place un dispositif d'accompagnement à la qualification SecNumCloud pour les startups et petites et moyennes entreprises (PME), doté d'un budget de 3,5 M€, dont la première relève a eu lieu le 15 février 2023. De manière plus générale, dans le cadre de France 2030, le Gouvernement s'est donné pour objectif de mettre en œuvre un plan industriel de soutien à l'offre, doté de 1,8 Mds€, dont 667 M€ de financement public, 680 M€ de cofinancements privés et 444 M€ de financements européens, mobilisable sur quatre ans. Cette ambition industrielle vise à soutenir l'essor des offres françaises innovantes, y compris provenant du logiciel libre, à accélérer le passage à l'échelle des acteurs français sur les technologies critiques très demandées, telles le big data ou le travail collaboratif et à intensifier le développement de technologies de rupture à horizon 2025, telles que l'edge computing afin de positionner la filière européenne comme un futur champion.
Aucun commentaire n'a encore été formulé sur cette question.