Déjà vivement contesté, le Data Privacy Framework est plus que jamais menacé. Mais contrairement à ses prédécesseurs, ce n’est pas la justice européenne qui pourrait retoquer ce cadre juridique autorisant le transfert de données vers les États-Unis. Son effondrement pourrait être précipité par l’administration Trump. D’ici à jeudi, Washington doit en effet se prononcer sur le sort du décret signé par Joe Biden qui sert de base légale à cet accord transatlantique. ‘Il est difficile d’imaginer qu’un décret de Biden, imposé aux États-Unis par l’Europe et régulant l’espionnage américain à l’étranger, puisse survivre à la logique ‘America First’ de Trump”, prédit l’activiste autrichien Max Schrems, à l’origine de la chute des deux prédécesseurs du DPF. Même dans le cas contraire, l’avenir de ce texte resterait, de toute façon, très incertain.
RGPD – Au cœur de longues négociations entre Bruxelles et Washington, le DPF est entré en vigueur en juillet 2023. Il a pris la suite du Privacy Shield, invalidé trois ans plus tôt par la Cour de Justice de l’Union européenne. Celle-ci avait alors estimé que ce texte ne garantissait pas un niveau de protection suffisant, conforme aux exigences du Règlement général sur la protection des données (RGPD), une fois les données envoyées aux États-Unis. Adopté en 2016, le Privacy Shield avait, lui-même, pris la suite de l’accord Safe Harbour, entré en vigueur en 2000 mais retoqué par la justice européenne en 2015. Les deux cadres réglementaires se sont heurtés à plusieurs législations américaines, qui permettent aux autorités et aux services de surveillance de mettre la main sur des données personnelles sans supervision, ni autorisation judiciaire.
Deux menaces – Pour contourner ce problème, Bruxelles assurait avoir obtenu plusieurs garde-fous dans le cadre du Data Privacy Framework. Des mécanismes de contrôle ont ainsi été mis en place. Washington s’est aussi engagé à limiter l’accès aux données européennes par leurs autorités à ce qui est “nécessaire” et de manière “proportionnée”, reprenant la sémantique de la législation européenne. Mais l’annulation du décret signé par Joe Biden remettrait en cause ces garanties, ce qui pourrait alors entraîner la chute du DPF. Dans le cas où Donald Trump choisirait de faire l’inverse, un autre élément menacerait toujours le texte. Fin février, le président américain a remercié trois des cinq administrateurs du comité supervisant l’application du DPF. Une décision qui remet en cause sa capacité à opérer, ainsi que son indépendance vis-à-vis de la Maison Blanche.
Flou juridique – La Commission ne s’est pas encore exprimée sur le sujet. Saisie par des eurodéputés, elle doit cependant prendre position avant le 19 mars. De toute façon, le texte semble déjà destiné à une annulation par la Cour de Justice de l’UE. Face à un potentiel flou juridique, “il est plus crucial que jamais pour les entreprises et organisations d’avoir un plan de contingence de type ‘hébergement en Europe'”, prévient d’ores et déjà Max Schrems. Et de rappeler qu’une invalidation du DPF ne concernerait pas simplement les grandes entreprises américaines, qui transfèrent de nombreuses données vers les États-Unis – à commencer par Meta, sanctionné d’une amende record après l’annulation du Privacy Shield. Elle toucherait aussi les entreprises européennes, en particulier celles qui hébergent des données sur des plateformes de cloud américaines.
Pour aller plus loin:
– Le petit jeu du chat et de la souris de Facebook sur la publicité ciblée
– Mark Zuckerberg demande l’aide de Donald Trump contre Bruxelles
