Le transfert de données vers les USA est-il menacé?
L’administration Trump a décidé de démanteler un organisme fédéral de surveillance de la vie privée indépendant. Le souci c’est que l’organisme joue un rôle non-négligeable dans les décisions de l’UE et de la Suisse de permettre à nouveau le transfert de données personnelles vers des fournisseurs américains.
Les entreprises suisses pourraient bientôt devoir à nouveau négocier avec leurs fournisseurs cloud américains si elles entendent être en conformité avec la Loi sur la protection des données. Depuis le 15 septembre dernier et l’entrée en vigueur du Swiss-U.S. Data Privacy Framework, elles pouvaient se passer de garanties pour autant que leur fournisseur soit certifié aux Etats-Unis. Mais l’accord - calqué sur celui passé entre l’UE et les USA - est menacé.
La semaine dernière, l’une des mesures éclair prises par l’administration Trump a été de demander la démission des trois membres démocrates du Conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board, PCLOB). Or cet organisme est l’un des instruments justifiant l’adéquation des Etats-Unis avec les lois suisse et europénne.
Ainsi, dans son évaluation du niveau de protection des données personnelles offert par les Etats-Unis, l’Office fédéral de la justice consacre tout un paragraphe au PCLOB au chapitre des organes garantissant un contrôle indépendant sur les autorités fédérales américaines d'application du droit pénal. «Le conseil de surveillance a des responsabilités dans le domaine des politiques de lutte contre le terrorisme et de leur mise en œuvre, en vue de protéger la vie privée et les libertés civiles», relève l’Office fédéral de la justice.
Là où le bât blesse, c’est que le PCLOB compte actuellement quatre membres (il en compte normalement cinq) et qu’il ne peut fonctionner à moins de trois. En cas de démission des trois membres démocrates, l’organe deviendrait donc inopérant. «Un PCLOB qui ne fonctionne pas pourrait compromettre le fonctionnement du framework européen, et donc son adéquation, et causer de véritables maux de tête à des entreprises comme Google, Amazon et Meta qui s'appuient sur lui pour transférer les données personnelles des Européens vers les États-Unis», a déclaré Jeramie Scott, directeur du projet sur le contrôle de la surveillance de l'Electronic Privacy Information Center, cité par le site Politico.
Dans une déclaration, le porte-parole du PCLOB se veut toutefois rassurant: «L’agence est en mesure de continuer à fonctionner avec l'ensemble de son personnel et le membre restant, Beth Williams, afin de poursuivre sa mission importante, y compris ses fonctions de conseil et de contrôle, ainsi que ses projets en cours».
S’agissant de l’impact sur le framework UE-USA, le cabinet d’avocats CMS tempère également: «Le Data Privacy Framework (européen) ne deviendrait pas immédiatement invalide si le PCLOB devenait non fonctionnel ou si l'administration Trump annulait les décisions de sécurité nationale pertinentes pour le RGPD. Toutefois, le framework pourrait devenir invalide si la Commission européenne retire sa décision d'adéquation ou si la Cour de justice de l'UE annule la décision d'adéquation de la Commission à la suite d'un recours en justice». Mais CMS relève aussi que les accords précédents (Safe Harbor et Privacy Shield) ont été invalidés suite à des recours devant la justice européenne. Rappelons que dans les deux cas, la Suisse avait suivi l’UE.
A l’origine des précédents recours, l’activiste autrichien Max Schrems a d’ailleurs vite réagi, en profitant pour rappeler que les différents frameworks UE-USA n’ont aucune inscription dans la législation américaine: «Cet accord a toujours été construit sur du sable, mais le lobby des entreprises de l'UE et la Commission européenne l'ont voulu de toute façon. Au lieu de limites juridiques stables, l'UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes. Maintenant que les premières vagues de Trump ont frappé cet accord, de nombreuses entreprises de l'UE se retrouvent dans un vide juridique. Le PCLOB lui-même n'est qu'une pièce du puzzle, et tant qu'il ne fonctionne que temporairement, on peut dire que l'accord n'est pas pire qu'avant. Toutefois, la direction que prend ce dossier au cours de la première semaine de la présidence Trump n'est pas réjouissante. Nous surveillons de près s'il s'agit d'un problème temporaire ou si le PCLOB est tué pour de bon».
Le démantellement du Privacy and Civil Liberties Oversight Board intervient alors que l’administration Trump a également révoqué le décret encadrant l’emploi de l’IA.
