Delphine Sabattier : Cet été, l’Europe a validé un nouvel accord sur le transfert des données des Européens, transfert et traitement des données des Européens vers les États-Unis. On répond à vos questions sur ce Data Privacy Framework [1] avec Philippe Latombe, député Modem de la première circonscription de Vendée. Bonjour.

Philippe Latombe : Bonjour.

Delphine Sabattier : Monsieur Latombe, vous êtes membre de la commission des lois à l’Assemblée nationale, spécialisé dans la transposition des directives européennes, on peut citer le RGPD [2] sur lequel vous avez beaucoup travaillé, membre de la CNIL depuis août 2022 et puis à l’initiative de ce premier recours contre cet accord transatlantique sur les données des Européens.
J’ai tout de suite envie de vous poser cette question : pourquoi ?

Philippe Latombe : Parce que cet accord n’est aujourd’hui pas protecteur comme le RGPD l’est, que les données qui seront traitées aux États-Unis n’auront pas le niveau de protection que nous avons en Europe, donc les données personnelles des Européens sont en danger.

Delphine Sabattier : Avec vous, pour répondre aux questions de nos téléspectateurs, Estelle Prin qui est diplômée de l’Institut d’études politiques de Lyon, de l’Institut français de géopolitique et de l’Université Paris 1 Panthéon-Sorbonne en économie, en sociologie, vous êtes la fondatrice de l’Observatoire des semi-conducteurs [3] et consultante pour des questions touchant à la micro-électronique, spécialiste en géopolitique de la Chine, particulièrement sa politique étrangère et ses relations de rivalité systémique avec les États-Unis. Vous allez pouvoir nous apporter ce regard spécifique, géopolitique. Justement, peut-être, une première question pour vous : l’Europe n’est pas la seule à chercher un cadre pour le transfert de ses données d’État à État ?

Estelle Prin : Il y a effectivement d’autres grandes puissances, et la Chine en fait partie, qui cherchent à protéger les données personnelles de leurs citoyens, tout simplement puisqu‘il y a des enjeux économiques derrière ces données. Les grandes entreprises – les GAFAM ou TikTok – vont les utiliser pour des utilisations commerciales, donc les enjeux économiques derrière sont très importants.

Delphine Sabattier : C’est important de rappeler que ce n’est pas une exception européenne que d’essayer d’encadrer ces transferts transatlantiques. Tout le monde essaie, aujourd’hui, de se protéger parce que la data est une valeur très précieuse. On dit, pour autant, que cet accord est déjà fragile ou fragilisé. C’est votre perception ?

Philippe Latombe : Oui, je pense qu’il est fragilisé. Ce sont des mots qui appartiennent au président Biden. Quand il a fait son interview, quand il est venu en Europe et qu’il fait sa conférence de presse avec Ursula von der Leyen, il a quand même parlé des données comme étant l’or noir de demain. C’est aujourd’hui vraiment quelque chose de tellement important que c’est le président des États-Unis, lui-même, qui vient en Europe dire qu’il a trouvé un accord avec l’Europe et ça va donner le DPF quelques mois plus tard, que je combats.
Oui il est fragilisé pour plein de raisons.
La première c’est qu’il a été pris dans l’urgence, il a été pris contre l’avis du Parlement européen, donc il lui manque une crédibilité j’allais dire démocratique : le Parlement européen a dit non au DPF et la Commission a quand même validé le DPF.
Et puis il est fragilisé parce que, intrinsèquement, il a de grosses failles, notamment dans le cadre de recours possibles de la part des Européens vis-à-vis de l’utilisation des données qui serait faite sur le territoire américain.

Delphine Sabattier : On peut ajouter parce qu’il arrive aussi après deux accords précédents, qui ont déjà été invalidés.

Philippe Latombe : Effectivement, il est, en plus, le troisième d’une série où les deux premiers ont été invalidés. Je rappelle que l’invalidation ça veut dire que les accords n’existaient pas, n’ont jamais existé : toutes les données qui ont transité pendant la période du Safe Harbor [4] et du Privacy Shield [5] n’auraient pas dû transiter ; il y a vraiment un risque pour les entreprises. Je pense qu’aujourd’hui elles vont regarder avec un peu de recul la question du DPF avant de s’engouffrer dans le DPF, comme ça, dans les mois qui viennent.

Delphine Sabattier : On a plein de questions de la part de Nicolas Guillaume qui est le patron de Netalis [6], opérateur alternatif, on va dire un opérateur local. Ce sont peut-être des questions davantage pour vous, Estelle. Je vais commencer avec celle-ci : quel est votre avis sur le transfert des données vers les clouds asiatiques, en particulier chinois ? Pourquoi est-ce qu’on essaye d’encadrer, en gros, les transferts de data vers les États-Unis, mais qu’en est-il de la Chine ? Est-ce qu’on fait la même chose ? Est-ce qu’on devrait le faire ?

Estelle Prin : En tout cas, on devrait le faire. Après leur transfert, ces données vont être utilisées à des fins commerciales. On sait que les data c’est quelque chose qui va nourrir les grands acteurs commerciaux qui, après, proposent des produits. Ces acteurs sont maintenant mondiaux et viennent concurrencer des acteurs au sein de l’Union européenne. On peut effectivement légitimement se poser la question de savoir si la compétition avec les acteurs européens est vraiment à égalité et, au niveau économique, c’est peut-être loin d’être le cas.

Delphine Sabattier : L’Europe est-elle moins regardante sur la question des transferts avec la Chine ?

Philippe Latombe : Non, elle n’est pas moins regardante, elle est même plus stricte, c’est qu’il n’y a pas d’accord d’adéquation avec la Chine. Les transferts de données via la Chine doivent se passer dans des conditions très strictes de clauses contractuelles types, de vérifications, et c’est d’ailleurs sur ces sujets-là que la CNIL en France et toutes les autorités de contrôle européennes se sont penchées, sur TikTok, sur toutes les applications chinoises. On l’a vu à l’occasion des Jeux olympiques : le cloud d’Alibaba était le cloud prévu comme étant celui de référence et, en France, on a décidé qu’on allait un peu tout verrouiller. On a mis des couches, on a utilisé Thalès pour mettre des couches de protection. Toutes les données n’iront pas sur le cloud d’Alibaba, toutes les données qui serviront à faire la vidéosurveillance de Paris ne seront pas sur le cloud d’Alibaba parce qu’on n’a pas confiance dans le cloud, il a une porosité certaine.
Non, on est peut-être même plus stricts.

Delphine Sabattier : En fait Nicolas Guillaume, dans ses questions, a visiblement le sentiment qu’on s’acharne contre les providers US. Il nous demande : « Cet acharnement sur les providers US qui investissent comme jamais en Europe — grâce à eux la France va devenir le 5e hub numérique mondial à Marseille —, quel est l’intérêt de se tirer une balle dans le pied ? »

Philippe Latombe : Je ne sais pas si on tire une balle dans le pied. Il faut regarder avec un peu de perspective. Pourquoi les Américains s’intéressent-ils aujourd’hui au marché européen ?
D’abord parce que ça leur fait de l’argent tout de suite, à court terme. Les GAFAM prennent des parts de marché dans un marché qui explose, forcément ils font du revenu.
Ensuite, ils ont besoin de données pour pouvoir entraîner leurs modèles et leurs réseaux de neurones d’intelligence artificielle, dont ils sont les principaux promoteurs aujourd’hui, ils veulent donc préempter le marché à moyen terme.
Et, à long terme, ils savent qu’en étant propriétaires des données ils vont pouvoir développer de nouvelles technologies sur la base de l’IA, par exemple sur des données de santé pour pouvoir proposer des nouveaux produits, des nouveaux traitements, mais aussi de l’assurance, de la mutuelle, donc ça va leur ouvrir des perspectives de marché.

Delphine Sabattier : C’est-à-dire qu’on n’a pas encore tout vu ?

Philippe Latombe : On n’a même encore rien vu !

Delphine Sabattier : On peut peut-être bloquer certains domaines de croissance, en tout cas essayer de les préserver pour l’Europe ?

Philippe Latombe : Je ne suis pas anti-américain par principe, c’est simplement qu’on ne joue pas à jeu égal : le marché américain est fermé à une grosse partie de nos entreprises, le marché européen est ouvert totalement et le DPF, le Data Privacy Framework, est une ouverture du marché européen de la donnée alors que nous n’avons pas l’équivalent de leur côté et les protections ne sont pas les mêmes des deux côtés de l’Atlantique : les données des Européens seront moins bien traitées que les données des Américains, nous n’avons pas les mêmes recours prévus par le DPF que les procédures américaines. Il faut aussi qu’on se le dise clairement, ce sont des alliés qui ne sont pas forcément toujours nos amis : de temps en temps ils nous écoutent, ils nous regardent et ils font de l’intelligence économique à nos dépens.

Delphine Sabattier : Quelle est la perception en Chine de la position de l’Europe ?

Estelle Prin : Par rapport à ces contrôles de données ?

Delphine Sabattier : Dans cette rivalité États-Unis/Chine ?

Estelle Prin : En fait, les Chinois veulent absolument contrôler leurs propres données, ils ne souhaitent pas, effectivement, voir leurs données être utilisée par les acteurs américains. Il y a maintenant des tensions très importantes sur des questions de données, sur les semi-conducteurs. Il y a de plus en plus une tentative de cloisonnement d’un système qui serait plutôt chinois avec des acteurs chinois et avec un État chinois qui est très regardant et de plus en plus regardant sur le contrôle, finalement, de l’information qui sort de son pays : que ce soit des données personnelles, des données financières, il souhaite les contrôler un maximum et les contrôler encore plus si ce sont des données qui vont vers les États-Unis.

Delphine Sabattier : Comment voient-ils l’Europe ? Ils voient l’Europe comme un allié dans cette guerre contre les États-Unis, avec les prises de position qui sont faites contre cet accord notamment ?

Estelle Prin : Je pense que l’Europe est plutôt vue comme un marché que comme un allié dans cette question-là. La vision chinoise est quand même très marché et conquête de marchés comme les grands acteurs, les grandes compagnies, les grandes techs américaines aussi le veulent. Il y a quand même des centaines de millions de consommateurs dans le marché européen, c’est un marché très intéressant et les acteurs se battent aussi pour les parts de marché en Europe.

Delphine Sabattier : On a une question assez technique, elle vous est adressée directement, en tout cas j’ai l’impression. La Cour de justice de l’Union européenne a précisé dans un arrêt très spécifique qu’il incombait au législateur de prévoir des voies de recours permettant à l’autorité nationale de faire valoir les griefs qu’elle estime fondés afin que ces juridictions nationales procèdent à un renvoi préjudiciel aux fins de l’examen de la validité de la décision. Qu’est-ce que ça veut dire ? La question : est-ce que vous envisagez, en cas d’échec de votre procédure et en tant que membre du collège de la CNIL que cette dernière, la CNIL donc, conteste la décision d’adéquation ?

Philippe Latombe : D’abord, j’ai fait un recours à titre individuel et non pas comme membre de la CNIL et, pour toutes les décisions qui viendront devant la CNIL et qui concerneront le transfert de données, clairement je me déporterai parce que je ne peux pas être à la fois dans les deux instances.
Il est vraiment prévu, par les textes, qu’il faut qu’il y ait des recours effectifs. Le droit européen est supérieur à notre droit national et le droit européen, dans le DPF, dit que ce sont les autorités, donc la CNIL en France, qui recevront la plainte de chacun des individus et qui les transféreront aux États-Unis pour examen et c’est cela qui pose un problème. La CNIL ne pourra pas s’opposer à cette réglementation telle qu’elle. Il faut qu’on ait aujourd’hui une instance, c’est-à-dire qu’il faut qu’on trouve un cas, qu’une personne trouve un cas, le présente à la CNIL, que la CNIL dise « vu le DPF, je ne peux pas ». Il faut donc ensuite aller au Conseil d’État parce que seul le Conseil d’État peut invalider une décision de la CNIL et il faudra poser une question préjudicielle au Conseil d’État. C’est très technique. Si cela doit se faire, ça prendra au moins un an, facilement. Max Schrems [7] va lui, de son côté, entamer cette procédure-là. D’ici la fin de l’année, il aura certainement déposé un recours dans le cadre encore de son litige avec Meta, en Irlande, il espère pouvoir le faire dans les semaines qui viennent et, si la Cour irlandaise ne lui permet pas, il le fera en Autriche où c’est plus rapide ; quand je dis plus rapide, ça se compte encore en mois pour que ça aille à la Cour de justice de l’Union et, pour que la Cour de justice statue, il y en a pour un an, on est donc sur un an et demi. C’est pour cela que j’ai intenté un recours direct auprès du tribunal de l’Union.

Delphine Sabattier : Vous évoquez Max Schrems qui est à l’origine de l’invalidation des deux premiers boucliers autour de nos données. Finalement, vous avez tiré le premier coup. C’est une action que vous avez menée, vous avez dit, en tant que citoyen européen, mais quand même de manière concertée avec l’avocat de Max Schrems. Est-ce qu’il y a éventuellement un risque que ça parasite son action ?

Philippe Latombe : Non. Max Schrems et moi sommes d’accord que ça ne parasitera absolument aucune des actions, ce sont deux voies de procédure différentes. On s’était parlé avant. Celle que j’ai entamée est une voie de procédure qui n’est pas celle qu’il avait prévue parce qu’il lui trouve une fragilité juridique. C’est vrai qu’il y a un point technique très particulier : il me faut prouver au tribunal de l’Union qu’individuellement le DPF m’impacte. J’ai essayé de le prouver au tribunal, on verra ce qu’il va dire. Si jamais, par hasard, le tribunal disait non, ça veut dire que seule la voie préjudicielle est la voie qui permet de contester le DPF, c’est ce que Max Schrems va faire de toute façon.
Si jamais le tribunal acceptait mon recours, à ce moment-là, de toute façon, on est en première instance au niveau du tribunal de l’Union, la Cour de justice vient en deuxième instance, elle sera saisie à peu près au même moment par Max Schrems et moi, dans ces cas-là, on joindra nos efforts sans aucun souci.

Delphine Sabattier : Très bien.
La question centrale, c’est quand même de savoir comment on évite que les données des Européens soient traitées, espionnées à des fins non conformes à ce que nous souhaitons en Europe. Est-ce qu’il y a un modèle intéressant à copier dans le monde, aujourd’hui, sur ces accords de transfert de data entre États ?

Philippe Latombe : Sur les accords d’adéquation ? On n’en a pas beaucoup.
On en a un avec Israël et il devrait normalement, si la Commission était cohérente, être revu parce que l’organisation juridique israélienne a changé, on devrait donc le revoir.
On avait un accord avec les Anglais, les Britanniques, dans le cadre du Brexit, qui avait une échéance au 30 juin 2022, là aussi on devrait normalement en faire une revue annuelle, ça n’a pas été fait.
Dans le DPF, il est prévu qu’on ait une revue annuelle avec les États-Unis, je ne suis pas sûr qu’on fasse une revue si le FISA [8] repasse en fin d’année, aux États-Unis, comme il est, je ne suis pas sûr que la Commission ait très envie de revoir son DPF.
On n’a pas vraiment d’accords, d’équivalences complètes. On en a ponctuellement avec quelques pays, avec la Suisse notamment, mais ce sont des accords qui sont de l’Europe vers un petit pays. Ce n’est pas méchant quand je dis ça pour la Suisse, mais, en termes de population, de volume de données, c’est un peu plus faible qu’avec les États-Unis. En fait, il faudrait que les États-Unis acceptent d’avoir un RGPD équivalent au nôtre ou alors qu’on ait un accord de non-espionnage entre les citoyens des deux continents.

Delphine Sabattier : Ce texte FISA, qui permet aux agences de renseignement d’exploiter les données numériques, est fortement discuté aussi aux États-Unis.

Estelle Prin : Ils se basent sur la notion de sécurité nationale, c’est-à-dire que dans cette affaire, et c’est le point qui est un peu litigieux dans cet accord de transfert de données, l’idée c’est que les services de renseignement américains puissent accéder à certaines données d’Européens pour des questions de sécurité nationale. Ce qui peut aussi poser problème, c’est « que met-on dans cette notion de sécurité nationale américaine ? » Les Américains disent « nous voulons pouvoir nous protéger s’il y a des informations qui sont primordiales et qui sont dans les données personnelles de certains citoyens européens ». Cette notion est utilisée de plus en plus au niveau international dans ces questions de transfert de données personnelles et pour d’autres choses, pour essayer de limiter les exportations de technologies par exemple des États-Unis.
On voit donc cette notion de sécurité nationale utilisée également par la Chine, dernièrement, pour essayer de limiter la vente et l’exportation de métaux rares. On voit bien qu’il y a des tensions, il y a un recroquevillement des acteurs de ces États par rapport à ces données qui circulent, ces données digitales qui circulent au niveau mondial.

Delphine Sabattier : Reste donc à l’Europe d’adopter un discours identique ?

Philippe Latombe : En fait, c’est la vraie difficulté : aujourd’hui l’espace européen a voulu rester ouvert et on lui a dit qu’il fallait qu’il reste ouvert, les Américains nous ont gentiment expliqué, quand même depuis des années, qu’il fallait qu’on reste ouvert. Dès qu’on prend des mesures qui pourraient leur sembler un tout petit peu protectionnistes, les Américains crient en disant « vous n’avez pas le droit, le marché doit être libre, ouvert, etc. ». Sauf que, quand on regarde ce qui se passe aux États-Unis, c’est l’inverse qu’ils font : leur fameuse IRA [Inflation Reduction Act, leur loi sur la relance pour lutter contre l’inflation, est protectionniste, elle vise uniquement à la protection sur le territoire américain des entreprises américaines, pour des Américains.
La notion de sécurité des États-Unis est effectivement une notion extensible, qu’ils utilisent, et ils l’ont déjà fait avec le dollar : des entreprises européennes, dont françaises, des grandes banques françaises en ont souffert, et c’est en train de se passer sur les données ; c’est ce que je suis en train d’essayer d’éviter.

Delphine Sabattier : On va s’excuser auprès de Nicolas Guillaume, pour ne pas avoir pris toutes ses questions.

Philippe Latombe : Je lui répondrai.

Delphine Sabattier : Vous lui répondrez directement. Il aborde un autre sujet qui est celui de la stratégie cloud européenne face à celle des Américains. Ce sont des sujets qu’on aborde et qu’on continuera évidemment d’aborder dans Smart Tech.
Merci beaucoup Philippe Latombe, député Modem de la première circonscription de Vendée, Estelle Prin, consultante et fondatrice de l’Observatoire des semi-conducteurs.