Data Privacy Framework : 3 facteurs d’un choc inévitable
Des membres du Privacy and Civil Liberties Oversight Board (PCLOB) sommés de démissionner
Depuis les révélations d’Edward Snowden, on sait que les États-Unis collectent massivement les données des Européens via des entreprises comme Google, Apple ou Microsoft. Le New York Times rapporte que des membres du Privacy and Civil Liberties Oversight Board (PCLOB), garant de la surveillance indépendante, ont été sommés de démissionner, menaçant leur fonctionnement. Pour rappel, le PCLOB faisait partie des garanties mises en avant au sein du Data Privacy Framework. Sans ce cadre, des milliers d’entreprises et administrations européennes pourraient perdre la possibilité d’utiliser des services cloud américains. L’UE peut-elle encore faire confiance à un système si fragile ? Cette situation met en péril la sécurité des données européennes transférées aux États-Unis.
Une cadre juridique instable
Signé en juillet 2023, le Data Privacy Framework avait pour objectif de garantir un niveau de protection adéquat pour les données européennes transférées aux États-Unis. Cependant, les lois américaines de surveillance, comme la FISA 702, ont déjà été jugées incompatibles avec les normes européennes par la Cour de justice de l’Union européenne (CJUE) dans les affaires Schrems I et II. Ces décisions ont mis en lumière les risques liés à l’accès aux données par les agences américaines.
Pour tenter de pallier ces incompatibilités, le Data Privacy Framework repose sur un ensemble de garanties censées protéger les données personnelles des citoyens européens. Parmi ces garanties figure le Privacy and Civil Liberties Oversight Board (PCLOB), un organe indépendant chargé de superviser la surveillance exercée par les États-Unis. Ce cadre était censé offrir une protection adéquate et permettre aux entreprises de continuer à transférer des données en toute légalité.
Cependant, ces fondations restent fragiles. Le Data Privacy Framework repose principalement sur des décrets présidentiels et des garanties exécutives, qui n’ont pas de base législative solide. Ces mécanismes peuvent être modifiés ou annulés à tout moment, notamment en cas de changement d’administration à la Maison-Blanche. Cette instabilité juridique soulève des inquiétudes quant à la pérennité de l’accord.
Des garanties incertaines
Le Privacy and Civil Liberties Oversight Board, mentionné 31 fois dans la décision européenne validant le Data Privacy Framework, est un élément central du dispositif. Pourtant, la récente vague de démissions forcées de ses membres menace directement son bon fonctionnement. Si le PCLOB ne peut plus remplir son rôle de contrôle, les garanties offertes par le Data Privacy Framework perdent leur crédibilité aux yeux des autorités européennes.
L’indépendance des organes de contrôle américains a souvent été mise en doute. Le président des États-Unis peut, d’un simple décret, modifier ou supprimer des protections mises en place. Cette flexibilité institutionnelle crée un précédent dangereux, remettant en cause la fiabilité des engagements pris par les États-Unis auprès de l’Union européenne.
Des pertubations prévisibles
Si le Data Privacy Framework devenait inopérant, les conséquences pour les entreprises européennes seraient considérables. Des milliers d’entreprises seraient confrontées à un vide juridique, les obligeant à cesser immédiatement d’utiliser des services cloud américains comme Google, Amazon ou Microsoft. Une telle situation perturberait profondément l’économie numérique européenne.
Face à ces incertitudes, la Commission européenne se retrouve dans une position délicate. Bien qu’elle ait validé le Data Privacy Framework pour répondre aux pressions des entreprises, elle pourrait être contrainte de revoir sa position si les garanties américaines s’effondrent. Une réaction trop tardive risquerait de plonger les organisations européennes dans une incertitude totale.
Cette situation rappelle les critiques formulées par les États-Unis à l’encontre de TikTok, accusé de collecter des données sensibles sur les citoyens américains. Alors que Washington impose des restrictions à l’application chinoise, il minimise les inquiétudes européennes concernant sa propre surveillance. L’Union européenne pourrait, à terme, adopter des mesures similaires contre les entreprises américaines.
Par ailleurs, un décret signé par Donald Trump prévoit de réexaminer toutes les décisions exécutives prises par Joe Biden en matière de sécurité nationale dans un délai de 45 jours. Il reste donc 41 jours avant un potentiel tournant qui pourrait remettre en question l’ensemble des garanties du Data Privacy Framework, d’un simple trait de plume.
Tant que la décision européenne validant le Data Privacy Framework reste en vigueur, les transferts de données restent légaux. Cependant, les entreprises doivent anticiper un possible effondrement du système et envisager des alternatives pour sécuriser leurs flux de données. L’avenir des transferts de données transatlantiques est plus incertain que jamais.
Sources : Article du New-York Times
Dernières actualités
Comment choisir un logiciel de conformité RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est l'une des réglementations les plus importantes et les plus influentes en matière de protection des données personnelles. Adopté en mai 2018, le RGPD a un impact considérable sur la manière dont les...
Interview de Dominique Pissoort, DPO de la STIB
Dans quel contexte avez-vous fait appel à Adequacy ? La STIB (Société des Transports Intercommunaux de Bruxelles) est une entreprise publique belge qui emploie quelque 10 000 collaborateurs et regroupe une grande diversité de métiers. A l’occasion de l’entrée en...
Adequacy au DPO Morning
Adequacy était présent lors du DPO Morning, une matinée 100% digitale dédiée aux enjeux du DPO organisée par Le Printemps des DPO. Retrouvez l’intervention Claire (Decroix) de la Fouchardière, notre Product Manager, et Alessandro FIORENTINO, notre Product Owner,...
