Jamais deux sans trois. Après le Safe Harbor, invalidé en 2015, puis le Privacy Shield, abandonné en 2020, le Data Privacy Framework (DPF) pourrait vivre ces derniers jours.
Ce cadre juridique qui réglemente le transfert de données personnelles entre l’Europe et les États-Unis est sous la menace d’un démantèlement de l’administration Trump.
Entré en vigueur en juillet 2023, le DPF offre un certain nombre de garanties au citoyen européen. Il peut corriger ou supprimer des données inexactes le concernant, s’opposer à un traitement de ses informations personnelles si la finalité venait en changer ou entrait en violation du DPF.
Un contre-pouvoir qui tombe
Aux États-Unis, une agence de supervision indépendante – le Privacy and Civil Liberties Oversight Board (PCLOB) – est chargée de garantir le respect et l’application des engagements pris envers les Européens. Paritaire, elle est composée de cinq élus républicains et démocrates.
Selon le New York Times, le nouveau président américain a ordonné à trois membres choisis par les démocrates de démissionner. Comme un siège était déjà vacant, il ne reste plus qu’un membre au sein de cette instance qui doit en avoir au moins trois pour fonctionner.
L’administration Trump paralyse ainsi l’un des rares contre-pouvoirs qui pouvait encore alerter le Congrès ou l’opinion publique sur de possibles abus en termes de surveillance de masse de la population. Un organe essentiel depuis les révélations d’Edward Snowden. Cette entrave au bon fonctionnement du PCLOB fait une victime collatérale : le DPF.
Déjà fossoyeur du Safe Harbour et du Privacy Shield, le militant autrichien Max Schrems ne va pas pleurer sa mort annoncée, relate le site de l’association Noyb dont il est l’un des contributeurs. « Cet accord a toujours été construit sur du sable […]. Au lieu de limitations juridiques stables, l’UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes. »
Les entreprises européennes dans un vide juridique
Pour autant, la remise en cause attendue de cet accord « jette rapidement de nombreuses entreprises de l’UE dans un vide juridique », note l’activiste. De fait, le RGPD stipule que les données personnelles des Européens ne peuvent être envoyées qu’à un pays extérieur qui offre un niveau de protection « adéquat ».
A défaut de loi fédérale sur la protection de la vie privée, équivalent au RGPD, la Commission européenne a conclu à plusieurs reprises des accords avec le département américain du Commerce.
Sous la pression de Max Schrems, la Cour de justice de l’UE a invalidé le Safe Harbor puis le Privacy Shield parce que les garanties américaines ne protégeaient pas réellement les données des Européens.
« Les agences de renseignement américaines pouvaient toujours accéder à ces informations en toute impunité, les entreprises avaient peu de moyens de riposter et les Européens n’avaient aucun moyen utile de se plaindre », rappelle un article de Fortune.
Anticiper un possible blocage
Association professionnelle des experts du marketing digital, Alliance Digitale s’inquiète, sur son site, des conséquences potentielles si les transferts de données vers les États-Unis devenaient illégaux ou soumis à des restrictions drastiques.
La fin du DPF pourrait entraîner, chez « les nombreuses entreprises européennes [qui] dépendent de solutions cloud et logiciels américains », des « interruptions de service, voire l’impossibilité d’utiliser certains outils stratégiques » .
« En l’absence d’une alternative européenne structurée, de nombreuses entreprises pourraient se retrouver dans une impasse, avec une difficulté à migrer leurs infrastructures et un renforcement de la fragmentation du marché », poursuit l’Alliance Digitale.
La confusion juridique sur la légalité des transferts pourrait, par ailleurs, mettre les entreprises européennes face à un dilemme réglementaire : suivre les règles du RGPD ou répondre aux obligations imposées par les lois américaines extraterritoriales comme le Cloud Act.
Au-delà d’un appel au sursaut de l’Europe pour une nécessaire souveraineté numérique, l’association professionnelle conseille de prendre une série de mesures immédiates comme cartographier les flux de données transatlantiques, réaliser un plan de sauvegarde, mettre en place une stratégie de mitigation et évaluer l’impact financier d’un transfert des données vers des solutions conformes.