L’avenir des transferts de données entre l’UE et les États-Unis semble plus incertain que jamais

Les récentes décisions du président Donald Trump remettent en cause le Transatlantic Data Privacy Framework (TADPF), accord qui encadre le transfert de données personnelles entre l’Union européenne et les États-Unis. En révoquant plusieurs membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB), un organe clé censé garantir le respect de la vie privée face aux lois de surveillance américaines, l’administration américaine affaiblit un pilier fondamental de cet accord.

Depuis les révélations d’Edward Snowden, il est établi que les États-Unis pratiquent une surveillance de masse en collectant des données personnelles auprès des grandes entreprises technologiques européennes. Afin de garantir un certain niveau de protection que l’UE s’est appuyée sur des mécanismes de contrôle américains comme le PCLOB pour évaluer le niveau de sécurité, affirmant ainsi que les États-Unis offraient une protection « essentiellement équivalente » aux données des Européens.

Par cette décision présidentielle, l’indépendance de cet organe est compromise car le fonctionnement nécessite un minimum de membres actifs. Si le PCLOB devient inopérant, cela pourrait rendre illégale l’utilisation des services cloud américains par des entreprises, des administrations et des établissements scolaires de l’UE. Apple, Google, Microsoft ou Amazon seraient directement concernés.

Un accord d’apparences fragiles

L’histoire des transferts de données entre l’UE et les États-Unis est marquée par des annulations successives d’accords précédents. Après l’invalidation du Safe Harbor en 2015 (Schrems I) et du Privacy Shield en 2020 (Schrems II), le TADPF a été adopté en 2023 malgré des critiques persistantes. Contrairement aux exigences du RGPD, il repose sur des décrets exécutifs plutôt que sur une véritable législation.

Cet accord est considéré « fragile » et souvent controversé, estimant qu’il peut être révoqué d’un simple trait de plume par une nouvelle administration américaine. C’est précisément ce qui se profile : l’une des premières décisions du Président Donald Trump a été de réexaminer et potentiellement annuler sous 45 jours l’ensemble des décisions de son prédécesseur en matière de sécurité nationale.

Quel avenir pour les données européennes ?

Tant que l’accord n’est pas officiellement annulé par la Commission européenne ou invalidé par la Cour de justice de l’UE, les entreprises peuvent continuer d’y recourir. Mais avec l’effondrement progressif de ses fondements, elles doivent préparer un plan d’urgence pour héberger leurs données de manière souveraine.

Si le TADPF venait à tomber, cela pourrait marquer une rupture majeure dans les relations numériques transatlantiques, avec un impact similaire à celui du débat américain sur TikTok. À terme, les grandes entreprises technologiques américaines pourraient être contraintes de protéger les données des citoyens européens contre l’accès du gouvernement américain, sous peine d’être exclues du marché européen.

La Commission européenne, quant à elle, se trouve dans une position délicate. En cas d’inaction, elle risque de mettre en péril la conformité juridique des entreprises européennes. Mais toute remise en cause officielle du TADPF pourrait provoquer une confrontation avec l’administration Trump et les géants du numérique américains.