Depuis les révélations de Snowden, nous savons que les États-Unis se livrent à une surveillance de masse des utilisateurs de l'UE en recueillant des données personnelles auprès des grandes entreprises américaines. Le "Privacy and Civil Liberties Oversight Board" (PCLOB) est la principale autorité de contrôle américaine pour ces lois. Les médias américains rapportent aujourd'huique des membres démocrates du PCLOB ont été démis de leurs fonctions et que leurs comptes de messagerie ont été fermés. Cela ramène le nombre de membres nommés en dessous du seuil nécessaire au fonctionnement du PCLOB. Le fait que le président américain ait simplement écarté des personnes d'une autorité (prétendument) indépendante remet en question l'indépendance de tous les autres organes de recours de l'exécutif aux États-Unis.
L'Union européenne s'est appuyée sur ces commissions et tribunaux américains pour estimer que les États-Unis assuraient une protection "adéquate" des données à caractère personnel. En s'appuyant sur le PCLOB et d'autres mécanismes, la Commission européenne permet aux données personnelles européennes de circuler librement vers les États-Unis dans ce que l'on appelle le "cadre transatlantique de protection des données personnelles" (TADPF). Le PCLOB est le seul élément de "contrôle" pertinent de l'accord. Les autres éléments ne font que jouer le rôle d'organes de recours. Des milliers d'entreprises, d'agences gouvernementales ou d'écoles de l'UE s'appuient sur ces dispositions. Sans le TADPF, elles devraient cesser instantanément d'utiliser les fournisseurs américains de services en nuage tels qu'Apple, Google, Microsoft ou Amazon.
- Historique de la saga des transferts de données entre l'UE et les États-Unis
- PDF d'information sur le TADPF par l'UE
- Page du programme TADPF par le gouvernement américain
- Décision TADPF (UE) 2023/1795
- CJUE : Schrems I et Schrems II
- Rapport sur la révocation des membres du PCLOB
Le système de transfert de données entre l'UE et les États-Unis - un mélange de lois européennes et américaines. En règle générale, la législation européenne interdit l'exportation de données à caractère personnel vers des pays extérieurs à l'UE depuis 1995, sauf en cas de nécessité absolue (par exemple, lors de l'envoi d'un courrier électronique à un pays non membre de l'UE). Les données peuvent être envoyées à l'étranger si le pays tiers offre une protection "essentiellement équivalente" aux données personnelles des Européens. Les États-Unis, en revanche, disposent de lois très strictes en matière de surveillance de masse (par exemple FISA702 ou EO 12.333), qui permettent au gouvernement américain d'accéder à toutes les données stockées chez Amazon, Meta, Microsoft, Google et toute autre entreprise américaine de la Big Tech sans motif valable ni approbation judiciaire individuelle. Par conséquent, la Cour de justice des Communautés européennes a estimé à deux reprises(Schrems I et Schrems II) que la législation américaine n'était pas "essentiellement équivalente". Cependant, Ursula von der Leyen a insisté pour faire passer un troisième accord UE-USA, appelé "cadre transatlantique de protection des données personnelles" (TADPF).
Le TADPF a été construit sur du sable. Le 10 juillet 2023, la Commission européenne a publié la décision d'exécution (UE) 2023/1795, adoptant officiellement le TADPF. Cette décision permettait à toute entreprise de l'UE de transférer librement des données à des fournisseurs américains, en dépit des lois de surveillance américaines. La Commission européenne s'est appuyée sur des décrets ou des lettres (très discutables) du gouvernement américain, y compris le PCLOB, pour conclure que les États-Unis sont "essentiellement équivalents". Toutefois, ces éléments ne sont pas reflétés dans les lois américaines et le droit codifié, car il n'y avait pas de majorité au Congrès américain pour adopter de telles lois. On a longtemps critiqué le fait que le prochain président américain pourrait supprimer ces protections d'un simple trait de plume. Ce scénario se profile désormais à l'horizon. Dans sa décision, la Commission européenne a mentionné le PCLOB à 31 reprises pour expliquer pourquoi les États-Unis disposent de protections "essentiellement équivalentes". Le PCLOB est le seul organe de "contrôle" général qui vérifie si les services américains respectent effectivement les lois, les ordonnances et les autres promesses. D'autres éléments de la législation américaine, comme les divers mécanismes de recours, exigent qu'un plaignant devienne actif. Les États-Unis ont traditionnellement bloqué l'accès à ces organes par le biais de diverses règles de "qualité pour agir", ce qui fait que pratiquement aucune action en justice n'a jamais été admise. Cela signifie que le PCLOB est le seul mécanisme de contrôle pertinent sur lequel le TADPF s'est appuyé.
Max Schrems :"Cet accord a toujours été construit sur du sable, mais le lobby des entreprises de l'UE et la Commission européenne l'ont voulu de toute façon. Au lieu de limites juridiques stables, l'UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes. Maintenant que les premières vagues de Trump ont frappé cet accord, de nombreuses entreprises de l'UE se retrouvent rapidement dans un vide juridique. Le PCLOB lui-même n'est qu'une pièce du puzzle, et tant qu'il ne fonctionne que temporairement, on peut dire que l'accord n'est pas pire qu'avant. Toutefois, la direction que prend ce dossier au cours de la première semaine de la présidence Trump n'est pas réjouissante. Nous surveillons de près s'il s'agit d'un problème temporaire ou si le PCLOB est tué pour de bon."
L'indépendance des organes exécutifs remise en question. Contrairement aux autorités de protection des données de l'UE, la plupart des organes de contrôle américains sont des créatures du pouvoir exécutif et ne sont donc pas indépendants. L'indépendance n'est souvent accordée que par le président, mais elle peut être révoquée ou annulée à tout moment. Nombre de ces concepts juridiques étranges résultent de l'incapacité structurelle des États-Unis à adopter une véritable législation. Au lieu de cela, des domaines juridiques entiers sont simplement réglementés par des décrets présidentiels. Le fait que le président américain tente aujourd'hui de révoquer purement et simplement des personnes remet en question l'idée d'organes exécutifs (prétendument) "indépendants", qui aurait pu être défendue dans les faits dès le départ. De nombreux autres éléments du TADPF, comme la Cour de contrôle de la protection des données, bénéficient de protections juridiques encore plus faibles que le PCLOB.
Max Schrems :"De nombreuses questions ont été posées sur l'indépendance de ces mécanismes de contrôle. Malheureusement, il semble qu'ils ne résisteront peut-être même pas à l'épreuve des premiers jours de la présidence Trump. C'est toute la différence entre des protections juridiques solides et des vœux pieux. La Commission européenne s'est uniquement appuyée sur ces derniers."
45 jours pour le prochain point crucial. Dans l 'un des premiers décrets que Trump a signés lundi, il a décidé que toutes les décisions de Biden en matière de sécurité nationale (y compris les décisions pertinentes sur lesquelles reposent les transferts entre l'UE et les États-Unis) seraient réexaminées et potentiellement supprimées dans un délai de 45 jours. Cela signifie que d'autres éléments sur lesquels le TADPF s'appuie pourraient s'effondrer en quelques jours. Étant donné que l'ensemble de l'accord repose sur des décisions de l'exécutif de Biden, M. Trump pourrait supprimer tous les éléments clés de l'accord d'une simple signature , ce qui entraînerait des transferts de données instantanément illégaux entre l'UE et les États-Unis.
Max Schrems :"J'ai du mal à imaginer qu'un décret de Biden qui a été imposé aux États-Unis par l'UE et qui réglemente l'espionnage américain à l'étranger puisse survivre à la logique de "l'Amérique d'abord" de Trump. Le problème, c'est que non seulement les grandes entreprises technologiques américaines, mais surtout les entreprises européennes normales s'appuient sur ce système de décrets instables pour affirmer que l'utilisation de systèmes de cloud américains est légale dans l'UE."
La Commission a manœuvré les entreprises de l'UE vers une falaise. Malgré tous les faits et les critiques du Parlement européen et des autorités de protection des données de l'UE, la Commission européenne a toujours affirmé que le TADPF était solide et sain. Le lobby des entreprises de l'UE a poussé à la conclusion d'un (ou de plusieurs) accord , aussi instable ou farfelu soit-il. De même, les grandes entreprises technologiques américaines voulaient rester sur le marché de l'UE sans aucune limitation technique en ce qui concerne l'accès du gouvernement américain. Aujourd'hui, les grandes banques, les systèmes scolaires nationaux et les petites entreprises risquent de se retrouver dans une situation juridique où l'utilisation de produits américains de "cloud" sera bientôt illégale.
Les transferts de données entre l'UE et les États-Unis sont légaux pour l'instant - mais il faut s'y préparer. Une décision de l'administration américaine ne rendra pas instantanément les transferts américains illégaux. La décision de la Commission européenne est généralement légale tant qu'elle reste en vigueur et qu'elle n'est pas annulée par la Commission elle-même ou par la Cour de justice. Ainsi, même si la conclusion matérielle devient erronée, la décision existe toujours formellement jusqu'à ce qu'elle soit annulée. Toutefois, si des éléments clés sur lesquels l'UE s'est appuyée ne fonctionnent pas, l'UE devra annuler l'accord.
Max Schrems : "Bien que les arguments en faveur de l'accord UE-États-Unis semblent s'effondrer, les entreprises peuvent s'appuyer sur l'accord tant qu'il n'est pas formellement annulé. Toutefois, compte tenu de l'évolution de la situation aux États-Unis, il est plus important que jamais que les entreprises et autres organisations disposent d'un plan d'urgence pour l'accueil en Europe
La Commission européenne en mauvaise posture. La Commission européenne s'est mise dans une situation délicate, non seulement du point de vue de la crédibilité, mais aussi du point de vue diplomatique. Si elle réagit rapidement et annule le TADPF, l'oligarchie technologique américaine s'écriera que l'UE "se moque" des grandes entreprises technologiques américaines. L'administration Trump pourrait y voir une raison d'entamer une première grande bataille avec l'UE. Cependant, ne pas agir et ne pas avertir officiellement les entreprises, les organismes publics et les autres organisations de l'UE qui envoient des données aux États-Unis semble également problématique. L'avenir du TADPF pourrait être de très courte durée.
Une version européenne du débat américain sur TikTok ? Alors que les États-Unis ont longtemps minimisé les craintes des Européens concernant la circulation des données personnelles vers les États-Unis et leur utilisation à des fins de surveillance de masse, ils ont soudainement changé d'avis une fois que leurs propres données ont été agrégées par TikTok. D'une part, une interdiction ou une acquisition obligatoire des Big Tech américaines en Europe serait juridiquement impossible. Les entreprises américaines seraient protégées contre l'adoption par l'UE d'une mesure équivalente à une "interdiction de TikTok". D'autre part, l'obligation de garder les données de l'UE hors des mains du gouvernement américain est la règle par défaut de la législation européenne depuis 1995. Ce sera également le cas lorsque la Commission européenne annulera l'accord entre l'UE et les États-Unis. Les grandes entreprises technologiques américaines devront alors protéger leurs centres de données européens contre l'accès de leurs sociétés mères américaines.
