La plupart des transferts de données entre l'UE et les États-Unis reposent sur le "cadre transatlantique de protection des données" (TAFPF) ou sur les "clauses contractuelles types" (CCN). Ces deux instruments reposent sur des lois américaines fragiles, des réglementations non contraignantes et une jurisprudence qui fait l'objet d'attaques - et qui risque d'exploser dans les mois à venir. Alors que l'instabilité du système juridique américain devient indéniable et que les États-Unis montrent des signes manifestes d'hostilité à l'égard de l'UE, il est temps de reconsidérer la destination de nos données - et de voir combien de temps le "château de cartes" juridique construit par l'UE tiendra bon.
Article de Max Schrems
Des couches de droit américain et européen. Le "pont" que la Commission européenne et les administrations démocrates américaines précédentes ont construit pour permettre le traitement des données personnelles de l'UE aux États-Unis ne repose pas sur une loi américaine simple et stable en matière de protection de la vie privée. Au contraire, l'UE et les États-Unis se sont appuyés sur un patchwork sauvage de tonnes de lignes directrices et de réglementations internes, de jurisprudence de la Cour suprême, de faits "pratiques"ou des décrets.
Pour tenter de joindre les deux bouts, ces couches ne se soutiennent pas les unes les autres, mais sont alignées de manière à créer le lien le plus étroit possible entre le droit européen et le droit américain l'un des nombreux éléments juridiques rendrait probablement la plupart des transferts de données entre l'UE et les États-Unis instantanément illégaux. Comme dans un château de cartes, l'instabilité de l'une d'entre elles fera s'effondrer l'ensemble.
Compte tenu de l'approche extrêmement destructrice de l'administration Trump, de nombreux éléments des transferts UE-États-Unis sont attaqués - souvent sans qu'il y ait d'intentions directes. Au lieu de cela, l'administration américaine actuelle se contente d'attaquer largement le système juridique et le tissu constitutionnel des États-Unis (avec l'aide d'une Cour suprême très politisée) - avec de nombreuses conséquences potentielles pour les flux de données entre l'UE et les États-Unis.
premier point d'échec probable : L'indépendance de la FTC. Lundi dernier, la Cour suprême des États-Unis a entendu une affaire concernant l'indépendance de la Commission fédérale du commerce (FTC). Depuis une affaire de 1935 (Humphrey's Executor), la jurisprudence de la Cour suprême des États-Unis stipule que le législateur américain peut créer des organes "indépendants" au sein de la branche exécutive, qui est quelque peu isolée du président des États-Unis.
Une théorie autrefois marginale selon laquelle, en vertu de la Constitution américaine, tous les pouvoirs de l'exécutif doivent relever d'une seule personne (le président) a maintenant gagné du terrain parmi les juristes conservateurs américains. Cette théorie dite "théorie de l'exécutif unitaire"rendrait toute autorité indépendante, telle que la FTC, typiquement inconstitutionnelle. Tous les pouvoirs devraient être concentrés dans les mains du président.
Dans l'affaire Trump c. Slaughterla Cour suprême des États-Unis a entendu les arguments d'un commissaire de la FTC qui a été démis de ses fonctions par M. Trump malgré toutes les garanties d'indépendance prévues par l'article 15 U.S.C. § 41. D'après les commentaires et les questions des juges, il est largement admis (voir par exemple The Guardian, CNN ou le SCOTUS Blog) que la majorité conservatrice de la Cour suprême des États-Unis se rangera du côté de Trump et (dans une mesure ou une autre) suivra la "théorie de l'exécutif unitaire", annulant l'indépendance de la FTC.
En combinaison avec les arrêts de la Cour suprême des États-Unis sur l'immunité absolue du présidentles États-Unis évolueraient ainsi de plus en plus vers un système où le président est un "roi" absolu - au moins pendant quatre ans.
D'un point de vue européen, l'indépendance de la FTC est un élément crucial, car l'article 8, paragraphe 3, de la Charte des droits fondamentaux de l'Union européenne (CFR) exige que le traitement des données à caractère personnel soit contrôlé et mis en œuvre par une autorité "indépendante"indépendantindépendant ". Dans le cadre du TADPF (et précédemment dans les systèmes de la "sphère de sécurité" et du "bouclier de protection de la vie privée"), l'UE et les États-Unis ont convenu de confier ces pouvoirs à la FTC aux États-Unis, qui est un organisme "indépendant". Section 2.3.4. de la Décision TADPF de la Commission européenne met en évidence le rôle de la FTC en matière d'application de la législation. Le considérant 61 et la note de bas de page 92 font explicitement référence à 15 U.S.C. § 41 comme base pour obtenir les garanties d'indépendance nécessaires aux États-Unis.
Aucun autre élément du TADPF ne dispose des pouvoirs d'enquête et de l'indépendance nécessaires. Il existe également des arbitrages privés, mais ils sont dépourvus de tout pouvoir d'enquête ou d'exécution. Par conséquent, tout participant au TADPF doit être régi soit par la FTC indépendante, soit par le DoT (pour les organisations de transport).
L'affaire Trump v. Slaughter devrait être tranché en juin ou juillet 2026 au plus tard, mais pourrait l'être plus tôt. Il est donc temps d'attacher sa ceinture et de se préparer.
Une solution pourrait consister à passer aux CSC ou aux BCR, car ils ne nécessitent pas d'organisme américain indépendant pour la mise en œuvre, mais permettent également de soumettre l'accord à une autorité de protection des données de l'UE. Toutefois, de grandes questions se posent quant à la manière dont les données déjà transférées peuvent être "ramenées" dans un système approuvé par l'UE ou même "ramenées" dans l'UE en général. En outre, les CSC et les BRC peuvent également être affectés par des changements massifs dans la législation américaine (voir ci-dessous).
deuxième point d'échec probable : La Cour de révision de la protection des données. En lien direct avec l'affaire Trump c. Slaughter, qui traite de la surveillance dans le secteur privé, la question parallèle se pose de savoir comment la "Data Protection Review Court" (DPRC) peut encore être considérée comme une forme de recours réaliste contre la surveillance du gouvernement américain.
Le DPRC pose de nombreux problèmes juridiques (on pourrait facilement remplir une thèse de doctorat avec ces problèmes), mais surtout le DPRC est n'est pas un véritable tribunal américain - notamment parce qu'il n'est pas établi par la loi. Il s'agit en fait d'un groupe de personnes au sein de la branche exécutive qui a été établi uniquement par un ordre exécutif de Biden (EO 14.086voir détails ci-dessous). Ce groupe de personnes peut au mieux être qualifié de "tribunal" du point de vue de l'article 6 de la CEDH, mais même cette affirmation est probablement exagérée.
L'essentiel est que, en ce qui concerne Trump c. Slaughterl'"indépendance" de cette soi-disant "Cour" n'est même pas établie par la loi (comme le 15 USC § 41 pour la FTC), mais par le DÉCRET 14.086il s'agit donc d'un décret présidentiel interne qui peut être modifié à tout moment.
Logiquement, si la Cour suprême dans l'affaire Trump v. Slaughter juge que les organes exécutifs indépendants sont inconstitutionnels, il se pourrait bien que toute revendication d'indépendance dans le décret 14.086 lui-même soit (logiquement) également inconstitutionnelle. Cela dépend en grande partie de la ligne d'argumentation que la Cour suprême utilisera dans l'affaire Trump c. Slaughtermais il est très probable que ce soit une conséquence directe d'une décision plus large.
Ce problème s'étendrait bien au-delà du TADPF, car d'autres systèmes de transfert (SCC ou BCR) s'appuient sur ce que l'on appelle les "évaluations de l'impact du transfert" (EIT) qui, à leur tour, renvoient généralement à l'EO 14.086 de l'Union européenne L'OT 14.086 et le RGPD comme motif pour lequel un contrôleur de l'UE est parvenu à la conclusion que le droit américain ne peut outrepasser les CSC ou les BCR au-delà de ce qui est autorisé par les articles 7, 8 et 47 de la Charte.
Si ces éléments disparaissent, il ne reste plus que l'article 49 du GDPR pour les transferts "nécessaires" (par exemple, envoyer un courriel aux États-Unis, passer une commande ou réserver un hôtel ou un vol), mais toute "externalisation" vers des fournisseurs américains de services en nuage ou de SaaS n'aurait généralement plus de base juridique viable.
troisième point de défaillance probable : LE DÉCRET 14.086. Outre les modifications du droit constitutionnel américain, Trump lui-même constitue un facteur de risque majeur. Comme expliqué ci-dessus, toutes les formes de transferts de données entre l'UE et les États-Unis s'appuient sur un décret de Biden (EO 14.086). Trump a menacé à plusieurs reprises d'annuler ce décret. Dès le jour de son investiture, les médias ont indiqué qu'il annulerait aveuglément tous les décrets de M. Biden. En fin de compte, il a signé le EO 14.148qui n'a annulé que 68 décrets de Biden et 11 mémorandums présidentiels de Biden, mais pas le décret 14.086.
LE DÉCRET 14.148 exige que tous les décrets relatifs à la "sécurité nationale" soient examinés dans les 45 jours par le conseiller à la sécurité nationale, ce qui aurait dû être fait avant le 6 mars 2025. Aucun rapport n'a fait état de changements conséquents. Cela ne signifie pas que le décret 14.086 n'a pas été (partiellement) annulé entre-temps, puisque le Président des États-Unis peut émettre des "secrètes" Qui modifient le décret 14.086 publié. Compte tenu des actions erratiques de Trump, ce scénario n'est pas improbable.
Lors d'une récente sortie sur l'utilisation par Biden du soi-disant Autopen, Trump a déclaré que tous les EOs de Biden signés avec des autopensées étaient nuls via un Truth Social posting. Il n'est pas du tout certain que le décret 14.086 soit un tel décret "autopen" et que les messages de Trump sur les médias sociaux équivalent à l'annulation formelle de ces décrets. En même temps, on peut se demander si un fonctionnaire de la NSA se sent encore trop lié par ces ordonnances. Il n'est pas improbable non plus que la publication de Truth Social soit suivie d'un décret officiel annulant les décrets de Biden.
L'agenda du "Projet 2025", qui prévoit la prise de contrôle du gouvernement américain par les conservateurs, est une autre indication que le décret 14.086 pourrait être sur la sellette. Sur la page page 225l'auteur s'en prend à l'OE 14.086, à l'UE et au traitement prétendument injuste des États-Unis - l'OE 14.086 est donc clairement à l'ordre du jour. Pour rendre les choses encore plus absurdes, l'auteur (Dustin Carmack) est maintenant le nouveau lobbyiste "républicain" de Meta - une entreprise qui s'appuie sur le décret 14.086 pour justifier ses transferts de données entre l'UE et les États-Unis, qui ont été contestés dans l'affaire Schrems I et Schrems II.
Dans l'ensemble, le règlement n° 14.086 pourrait tomber à tout moment - et avec lui le TADPF et avec lui presque tous les TIAS et la plupart des SCC, BCR.
Beaucoup d'autres options. Bien que cela dépasse le cadre de ce billet de blog, de nombreuses questions supplémentaires se posent quant aux nombreux autres éléments utilisés dans le TADPF.
Il reste évidemment les principales questions sur le fait que le TADPF ait jamais atteint l'"équivalence essentielle"équivalence essentielle". Par exemple :
- Les protections de l'OT 14.086 étaient en grande partie une copie 1:1 d'un OT d'Obama appelé PPD-28, qui a été rejeté par la CJUE dans l'affaire Schrems II.
- Les charges extrêmement élevées pour obtenir réparation ou l'absence d'un véritable droit d'être entendu devant le CRPD sont à mille lieues de l'article 47 de la Charte.
- Les principes de protection des données commerciales du TADPF ne requièrent même pas de base juridique (comme l'exigent l'article 8, paragraphe 2, de la Charte et l'article 6, paragraphe 1, du GDPR), mais se contentent d'autoriser un opt-out.
En outre, des questions ont été soulevées quant à l'indépendance du PCLOB ou à la forte dépendance de l'UE à l'égard des "pratiques américaines" (non écrites)Pratiques américaines" - alors que Trump a montré que lui et son administration ne respectent même pas les lois, et encore moins les "pratiques".
Que pouvons-nous faire ? À mon avis, Les gouvernements et les responsables de traitement de l'UE doivent (plus que jamais) se préparer d'urgence à des atteintes très probables aux transferts de données entre l'UE et les États-Unis au cours des prochains mois. La Stratégie de sécurité nationale des États-Unis a clairement indiqué que l'administration Trump considère l'Europe davantage comme un ennemi que comme un partenaire et que la législation numérique européenne est un point central de l'agression probable des États-Unis.
La seule solution à long terme est (malheureusement) de limiter les transferts de données aux fournisseurs américains, dans la mesure où ils ont "possession, garde ou contrôle"des données personnelles européennes. Il y aura peut-être d'autres offres pour lesquelles tout accès factuel à partir des États-Unis est techniquement impossible - cependant, jusqu'à présent, la seule protection réaliste disponible sur le marché est de passer à des Fournisseurs européens.
