Après la régulation européenne, le Groenland, l’alliance transatlantique, les frontières, la science du climat, la cour pénale internationale, la communauté LGBT… Donald Trump va-t-il saper le cadre régissant le transfert de données entre les États-Unis et l’Union européenne ? Un Eurodéputé exprime ses inquiétudes tandis que la Commission européenne reste silencieuse.
Les ambitions de dérégulation de Donald Trump pourraient-elles impacter nos données personnelles, plongeant près de 3 000 entreprises dans l’incertitude légale ? La décision du président américain de révoquer, fin janvier, trois membres d’un organe essentiel du « DPF » ou « Data Privacy Framework », pourrait bien avoir ébranlé ce cadre crucial pour le transfert de données entre l’Europe et les États-Unis.
Le « DPF » est le texte qui permet aujourd’hui à des milliers d’entreprises, petites ou grandes (Google, Apple, Meta, Amazon…), de transférer légalement les données personnelles des Français et des Européens outre-Atlantique. Bien qu’il ait été critiqué depuis son adoption – attaqué en justice par Philippe Latombe et bientôt par le juriste Max Schrems – il vient de perdre une garantie cruciale aux yeux des Européens. Son absence pourrait faire imploser le cadre actuel, selon les associations de défense des droits.
À lire aussi : Données personnelles US-UE : les CNILS européennes valident le nouveau cadre transatlantique, avec quelques réserves
Un organe clé du DPF en péril ?
Le 27 janvier dernier, le président républicain a licencié les trois membres démocrates du « Privacy and Civil Liberties Oversight Board » (PCLOB), un organe clé du DPF. Quelques jours plus tard, un autre membre quitte ses fonctions, selon MLex. Seul un membre républicain reste, et ce à temps partiel, pour surveiller que le FBI ou la CIA respectent les principes de droit concernant l’accès aux données personnelles des Européens.
Peut-on encore compter sur ce PCLOB avec un seul membre ? C’est la question posée par le président de la commission LIBE du Parlement européen, Javier Zarzalejos, à la Commission européenne, le 6 février dernier, révélée par l’avocat Jean-Loup Guyot-Touscoz via LinkedIn.
Le PCLOB : Une garantie essentielle compromise
Pour comprendre l’importance du PCLOB, revenons à 2022. Cette année-là, les discussions sur un remplaçant du « Privacy Shield » sont au point mort. En Europe, nos données sont protégées par le RGPD. Quand ces données sont envoyées hors de l’UE, la Commission européenne doit vérifier que le droit du pays destinataire est aussi protecteur que le droit européen.
Les deux précédentes décisions ont été annulées par la justice européenne pour insuffisance de protection des données une fois aux États-Unis. Les agences de renseignement américaines ont accès massif aux données via la loi FISA ou le Cloud Act, sans possibilité de recours devant un tribunal indépendant.
À lire aussi : Les États-Unis prolongent la loi FISA : les services secrets américains pourront continuer à espionner jusqu’en 2026
La Cour de justice de l’UE a jugé que le droit américain n’offrait pas des niveaux de protection de la vie privée équivalents à ceux en vigueur au sein de l’UE.
À lire aussi : Pourquoi le transfert de vos données personnelles aux États-Unis est un incroyable casse-tête
PCLOB : Indépendance menacée ?
En 2022, l’administration américaine propose que le PCLOB joue le rôle d’un tribunal indépendant pour renforcer la confiance européenne. Le comité s’assure que l’accès aux données par les agences américaines est « nécessaire, proportionné et en adéquation avec les principes de vie privée ». Bruxelles accepte cette proposition en 2023.
Avec ce nouveau PCLOB, nos données peuvent être transférées en toute sécurité, selon la Commission européenne. Mais avec le retour au pouvoir de Trump et la révocation de trois membres, l’indépendance du PCLOB est remise en question. Le quorum nécessaire pour les décisions est désormais impossible à atteindre, stoppant les activités du comité.
Une ingérence politique dans le contrôle indépendant ?
Max Schrems, juriste autrichien, déclare que l’UE a accepté des promesses annulables en quelques secondes, plongeant l’UE dans un vide juridique. Toutes les entreprises qui transfèrent des données vers les États-Unis doivent anticiper, même si le DPF n’est pas encore formellement annulé.
Le Centre pour la démocratie et la technologie (CDT Europe) exprime aussi ses inquiétudes sur l’efficacité et le respect des garanties du DPF, suite aux changements au PCLOB.
Pour l’association, les sociétés américaines ne pourraient plus utiliser le DPF pour transférer des données, impactant leur modèle économique. Elles devront se tourner vers des bases juridiques plus lourdes comme les clauses contractuelles types, posant elles-mêmes des défis importants.
La Commission européenne surveille de près
Olivier Onidi, directeur général adjoint des Affaires intérieures de la Commission, a déclaré qu’il est trop tôt pour dire si le DPF doit être suspendu. L’exécutif européen suit de très près la situation.
Bruxelles hésite à prendre une position ferme face à Donald Trump, cherchant une réponse commune aux défis posés par l’administration américaine.
À lire aussi : Bruxelles renonce à son projet de directive sur la responsabilité de l’IA après la mise en garde du vice-président américain
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.