L’avenir très incertain du Data Privacy Framework

Donald Trump pourrait abroger le décret servant de base légale au cadre juridique autorisant le transfert de données de l'Europe vers les États-Unis. Une telle décision créerait un important flou juridique, non seulement pour les géants tech américains, mais aussi pour de nombreuses entreprises européennes.

Après le Safe Harbor et le Privacy Shield, au tour du Data Privacy Framework ? Déjà vivement contesté en Europe, ce cadre juridique autorisant le transfert de données vers les États-Unis pourrait déjà être remis en cause, moins de deux ans après son entrée en vigueur. Pas par la justice européenne, comme ce fut le cas pour ses deux prédécesseurs, mais par l’administration Trump.

Ce jeudi, Washington doit en effet se prononcer sur le sort d’un décret signé par Joe Biden à l’automne 2022. Celui-ci sert de base légale à cet accord transatlantique, en instaurant des garanties sur la protection des données européennes. Or, “il est difficile d’imaginer qu’un décret de Biden, imposé aux États-Unis par l’Europe et régulant l’espionnage américain à l’étranger, puisse survivre à la logique ‘America First’ de Trump”, prédit Max Schrems.

Conformité avec le RGPD

L’activiste autrichien est l’un des principaux critiques du DPF. Son tableau de chasse est déjà impressionnant. En 2015, il a d’abord obtenu l’annulation de l’accord Safe Harbour, entré en vigueur quinze ans plus tôt, devant la Cour de Justice de l’Union européenne. Il a ensuite obtenu en 2020 l’invalidation du Privacy Shield, adopte en 2016 pour remplacer le précédent texte.

Dans les deux dossiers, la justice européenne a estimé que les textes ne garantissaient pas un niveau de protection suffisant une fois les données envoyées aux États-Unis, conformément aux exigences du Règlement général sur la protection des données (RGPD). En cause: plusieurs législations américaines qui permettent aux autorités et aux services de surveillance de mettre la main sur des informations personnelles sans supervision, ni autorisation judiciaire.

Pour contourner ce problème, Bruxelles assurait avoir obtenu plusieurs garde-fous dans le cadre du Data Privacy Framework. Des mécanismes de contrôle ont ainsi été mis en place. Washington s’est aussi engagé à limiter l’accès aux données européennes par leurs autorités à ce qui est “nécessaire” et de manière “proportionnée”, reprenant la sémantique de la législation européenne. Mais l’annulation du décret signé par Joe Biden remettrait en cause ces garanties, ce qui pourrait alors entraîner la chute du DPF.

Flou juridique

Dans le cas où Donald Trump choisirait de faire l’inverse, un autre élément menacerait toujours le texte. Fin février, le président américain a remercié trois des cinq administrateurs du comité supervisant l’application du DPF. Une décision qui remet en cause sa capacité à opérer, ainsi que son indépendance vis-à-vis de la Maison Blanche.

La Commission ne s’est pas encore exprimée sur le sujet. Saisie par des eurodéputés, elle doit cependant prendre position avant le 19 mars. De toute façon, le texte semble déjà destiné à une annulation par la Cour de Justice de l’UE. Face à un potentiel flou juridique, “il est plus crucial que jamais pour les entreprises et organisations d’avoir un plan de contingence de type ‘hébergement en Europe’”, prévient d’ores et déjà Max Schrems.

Et de rappeler qu’une invalidation du DPF ne concernerait pas simplement les grandes entreprises tech américaines, qui transfèrent de nombreuses données vers les États-Unis – à commencer par Meta, sanctionné d’une amende record de 1,2 milliard d’euros après l’annulation du Privacy Shield. Elle toucherait aussi les entreprises européennes, en particulier celles qui hébergent des données sur des plateformes de cloud américaines.