Les velléités de dérégulation de Donald Trump vont-elles toucher nos données personnelles, poussant près de 3 000 entreprises dans un vide juridique ? La décision du président américain de révoquer, fin janvier, trois membres siégeant dans un organe clé du « DPF » ou « Data Privacy Framework », pourrait bien avoir mis à mal ce cadre qui régit le transfert de données entre le Vieux et le nouveau continent.
Le « DPF » est le texte qui permet aujourd’hui à des milliers d’entreprises, petites ou géantes (Google, Apple, Meta, Amazon…), de transférer légalement les données personnelles des Français et des Européens aux États-Unis. S’il n’a pas cessé, depuis son adoption, d’être critiqué – il a même été attaqué en justice par le député français Philippe Latombe, et est sur le point de l’être par le juriste autrichien Max Schrems – il vient d’avoir été amputé d’une garantie chère aux Européens. Une garantie dont l’absence pourrait faire imploser le cadre actuel qui régit le transfert de nos données personnelles vers les États-Unis, selon les associations de défense des droits.
À lire aussi : Données personnelles US-UE : les CNILS européennes valident le nouveau cadre transatlantique, avec quelques réserves
Un organe clé du DPF, censé contrôler la CIA ou le FBI, a perdu 4 membres sur 5
Tout commence le 27 janvier dernier : le président républicain licencie les trois membres démocrates du « Privacy and Civil Liberties Oversight Board » (PCLOB), un organe clé de ce DPF. Quelques jours plus tard, un autre membre de cet organe quitte aussi ses fonctions, rapporte MLex – on ne sait pas s’il a démissionné ou s’il a été licencié. Résultat : il ne reste plus qu’un seul et unique membre républicain de ce comité, dont la mission est de vérifier que le FBI ou la CIA respectent bien des principes de droit lorsqu’ils accèdent aux données personnelles des Européens (emails, conversations, messages…).
Or avec ce seul et unique membre, employé qui plus est à temps partiel, ce PCLOB peut-il encore fonctionner ? C’est la question posée par le président de la commission LIBE (Libertés civiles, de la Justice et des Affaires intérieures) du Parlement européen, Javier Zarzalejos, à la Commission européenne, le 6 février dernier, et dont la lettre a été révélée cette semaine par l’avocat Jean-Loup Guyot-Touscoz sur LinkedIn.
Le PCLOB était pourtant une « garantie » apportée par l’administration américaine pour rassurer les Européens
Pour comprendre l’importance du PCLOB, une pièce maitresse apportée par l’administration américaine pour « rassurer » les Européens, il faut remonter à 2022. Cette année-là, les discussions sur un remplaçant du « Privacy Shield » sont au point mort.
En Europe, nos data sont protégées par le RGPD, le règlement européen sur les données personnelles. Lorsque ces données sont collectées et envoyées par les géants du numérique comme Google ou Meta en dehors de l’Union européenne, la Commission européenne analyse le droit du pays en question. S’il est aussi protecteur que le droit européen, elle adopte ce qu’on appelle une décision d’adéquation, qui autorise ces transferts.
Or le problème est que les deux précédentes décisions de Bruxelles ont été annulées par la justice européenne deux ans plus tôt (le « Privacy Shield ») et sept ans plus tôt (le «Safe Harbor »). À chaque fois, la cour de justice de l’UE a jugé que nos données personnelles, une fois aux États-Unis, n’étaient pas assez protégées, notamment parce que les agences de renseignement et l’administration américaine avaient (et ont toujours) massivement accès à nos données, via notamment la loi FISA ou le Cloud Act, au nom de la « sécurité nationale ». Il n’était pas, par exemple, possible de former de recours devant un tribunal indépendant, en cas d’accès à des data jugé abusif.
Pour la Cour de justice, le droit américain n’offrait pas des niveaux de protection de la vie privée équivalents à ceux en vigueur au sein de l’Union européenne, ce qui n’était tout simplement pas acceptable.
À lire aussi : Pourquoi le transfert de vos données personnelles aux États-Unis est un incroyable casse-tête
Le PCLOB, un organe pas si indépendant, qui est à l’arrêt ?
En 2022, l’administration américaine comprend alors qu’elle va devoir présenter quelque chose en plus pour changer la donne. Elle propose alors à la Commission européenne que le PCLOB joue le rôle d’un tribunal indépendant, à l’image d’une juridiction que pourraient saisir les Européens désireux de contester l’accès à leurs données.
Le PCLOB s’assurera aussi que tout accès à nos données par l’administration américaine et ses agences de renseignement est « nécessaire, proportionné et en adéquation avec les principes régissant la vie privée aux États-Unis ». Dit autrement, ce comité aura un rôle de contrôle, à charge pour lui de surveiller que la CIA et le FBI jouent bien le jeu et n’accèdent pas sans raison à nos emails, nos conversations téléphoniques ou d’autres données personnelles. La proposition, mise sur la table en octobre 2022 via un executive order, est acceptée par Bruxelles l’année suivante.
Avec ce nouveau PCLOB, nos données peuvent être transférées aux États-Unis en toute sécurité, explique alors la Commission européenne, lors de la présentation du DPF. Mais près de deux ans plus tard, Donald Trump revient au pouvoir et décide de révoquer trois de ses cinq membres, remettant en question la réelle indépendance de cet organe face à l’exécutif américain. La nomination de remplaçants semble être mise aux oubliettes. Or, le moindre rapport et la moindre ouverture d’enquête nécessitent un quorum de trois membres, ce qui est désormais impossible. En attendant, le PCLOB semble être à l’arrêt. De quoi mettre vent debout Max Schrems, le juriste autrichien à l’origine des deux précédentes annulations du cadre transatlantique.
« Une ingérence politique dans le mécanisme de contrôle indépendant » ?
Pour ce dernier, « l’UE a accepté des promesses (…) qui peuvent être annulées en quelques secondes. Maintenant que Trump a frappé cet accord, celui-ci pourrait bientôt se dissoudre (…) ». De quoi faire « plonger de nombreuses entreprises de l’UE dans un vide juridique », déclare-t-il dans un communiqué publié sur le site de NOYB, son association. Sans cet accord, toutes les entreprises qui envoient des données personnelles outre Atlantique, en ayant simplement recours à des fournisseurs américains (Apple, Google, Microsoft, Amazon etc), vont devoir préparer un plan, prévient-il. Même si jusqu’à aujourd’hui elles peuvent continuer à s’appuyer sur le DPF qui n’est pas (encore) formellement annulé, ajoute-t-il.
Même son de cloche au sein du Centre pour la démocratie et la technologie (CDT Europe), une association de défense des droits qui, mi-février, a aussi questionné « l’efficacité et le respect des garanties » du DPF, amputé d’une bonne partie des membres du PCLOB.
« Le licenciement récent de membres du PCLOB (…) a effectivement paralysé le PCLOB en tant qu’organe de contrôle et suscite de graves inquiétudes quant à l’ingérence politique dans le mécanisme de contrôle indépendant », écrit Silvia Lorenzo Perez, directrice du programme de sécurité, de surveillance et droits de l’homme en Europe de l’organisation, dans un communiqué.
Pour l’association, toutes les sociétés américaines ne pourraient plus « s’appuyer sur le DPF pour transférer les données de l’Europe vers les États-Unis », un transfert qui est au cœur de leur modèle économique. Conséquence : les clouders, réseaux sociaux, moteurs de recherche américains et leurs clients « seraient obligés de se tourner vers une autre base juridique plus lourde pour les transferts de données dans le cadre du RGPD, comme les clauses contractuelles types ou les règles d’entreprise contraignantes, qui posent elles-mêmes d’importants défis et pourraient ne pas être réalisables en pratique », explique l’association.
La Commission européenne suit de très près le dossier
Pour Olivier Onidi, directeur général adjoint des Affaires intérieures de la Commission, qui répondait à des questions d’Eurodéputés (de la commission des libertés civiles) cette semaine, il est encore trop tôt pour dire que le DPF doit ou non être suspendu, rapporte MLex.
« Jusqu’à présent, nous n’avons pas détecté de changements fondamentaux qui nous amèneraient à examiner si l’accord actuel ou tout autre arrangement facilitant la coopération doit être suspendu ou remis en question », a-t-il déclaré, ajoutant que l’exécutif européen suivait de très près la situation.
Bruxelles ne devrait-elle pas au contraire mettre les points sur les i et en tirer les conséquences, s’interrogent certains politiques ? Problème : taper du poing sur la table, face à Donald Trump, n’est visiblement plus dans l’air du temps, Bruxelles cherchant une réponse adéquate et commune face aux mille et une remises en question/agressions du locataire de la Maison-Blanche.
À lire aussi : Bruxelles renonce à son projet de directive sur la responsabilité de l’IA après la mise en garde du vice-président américain
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
