Doit-on s’inquiéter de voir à nouveau le cadre légal des transferts de données personnelles entre l’UE et les États Unis retoqué par les tribunaux? noyb, l’association autrichienne fondée par le militant Max Schrems, est en tout cas dans les starting blocks : celle-ci a publié un communiqué alertant sur les décisions récentes de Donald Trump et leurs potentiels effets sur l’accord autorisant les transferts de données personnelles entre l’union européenne et les États Unis, dont la troisième itération a été présentée en 2022 sous le nom de Transatlantic Data Privacy Framework (TDPF) et approuvé en juillet 2023.
Un rouage paralysé
Pour noyb, les premières décisions de Donald Trump visant à pousser les élus démocrates du Privacy and Civil Liberties Oversight Board (PCLOB) à la démission sont un signal inquiétant pour l’avenir du Transatlantic Data Privacy Framework . L’association autrichienne rappelle ainsi que la décision d’adéquation de 2022 s’appuyait en partie sur les garanties offertes par ce comité pour reconnaître l’équivalence entre le droit européen et le droit américain en matière de protection des données.
Le Privacy and Civil Oversight Board est une agence américaine dont le rôle est de surveiller et de contrôler les actions de l’exécutif en matière de lutte contre le terrorisme, et de s’assurer que ces politiques respectent effectivement les droits des citoyens. Parmi ses missions, le PCLOB est notamment chargé de valider le fonctionnement du Data Protection Review Court, une cour de justice créée par l’exécutif américain en 2022 et chargée d’examiner les plaintes des citoyens européens en matière de protection des données personnelles. L’agence est dirigée actuellement par quatre sénateurs américains, nommés par la Maison blanche et approuvés par le congrès pour une période de six ans. Mais en l’absence d’un quorum minimum de trois sénateurs, l’action de cette agence pourrait se trouver paralysée, comme cela a déjà été le cas entre 2007 et 2012.
Signal défavorable
Un porte-parole de la commission européenne cité par le média américain Fortune rappelle de son côté que le TDPF continue de s’appliquer, même en cas de paralysie du PCLOB. Mais noyb estime que cette décision souligne les faiblesses de l’approche américaine, qui s’est appuyée sur des garanties mises en place par le pouvoir exécutif pour assurer le respect du droit européen des données personnelles outre atlantique.
Contrairement à des mécanismes mis en place dans la législation, ces nouvelles garanties peuvent être révoquées facilement par le nouvel occupant de la maison blanche. « Le PCLOB lui-même n’est qu’une pièce du puzzle et tant que sa paralysie n’est que temporaire, on peut affirmer que la situation n’est pas pire qu’avant. Cependant, la direction prise dès la première semaine de la présidence Trump ne s’annonce vraiment pas bonne » estime ainsi Max Schrems.
Retour en arrière
Le nouveau président américain a annoncé son intention de réexaminer voire de revenir sur de nombreuses décisions prises par son prédécesseur sous 45 jours, dont certaines ont contribué à permettre la mise en œuvre du Transatlantic Data Privacy Framework. « Comme l’ensemble de l’accord est basé sur les décisions exécutives de Biden, Trump pourrait supprimer tous les éléments clés de l’accord d’une seule signature » résume noyb.
Et un retour en arrière des États Unis sur ces garanties pourrait ouvrir la voie à de nouvelles actions en justice visant le cadre d’échange. Cette perspective n’échappe pas à l’association noyb, son fondateur ayant déjà obtenu de la justice européenne l’invalidation des précédentes versions du texte.