S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Données personnelles : les échanges avec l’Europe menacés par les États-Unis

Volver a comenzar

Données personnelles : les échanges avec l’Europe menacés par les États-Unis

Photo de rc.xyz NFT gallery sur Unsplash

Fin janvier, Donald Trump exigeait la démission de trois membres démocrates du PCLOB (Privacy and Civil Liberties Oversight Board), un maillon essentiel de l’actuel Data Privacy Framework. Pour un nombre croissant de personnes, le destin de cet accord-cadre si décrié est désormais sombre. Le député Philippe Latombe a répondu à nos questions.

Le 21 février 2025 à 11h42

Les relations avec les États-Unis se tendent. Fin janvier, avant que la question ukrainienne soit frontalement abordée, le premier coup de boutoir est venu sous la forme d’une demande expresse de la Maison-Blanche : les trois membres démocrates du PCLOB devaient démissionner ou être renvoyés.

Le rôle du PCLOB

Le Privacy and Civil Liberties Oversight Board a été créé en 2004 par le Congrès américain. Cette agence indépendante a pour mission de conseiller le président des États-Unis sur les questions de vie privée et de libertés civiles. Son autre grande mission est de s’assurer que les mesures prises par le gouvernement en matière de lutte contre le terrorisme n’empiètent pas trop profondément sur les libertés civiles.

Quel rapport avec l’Europe ? Le PCLOB joue un rôle clé dans les accords-cadres existants entre l’Union européenne et les États-Unis pour les échanges de données. On parle donc du Data Privacy Framework, entré en vigueur en juillet 2023. Il avait remplacé le Privacy Shield, lui-même un héritier du Safe Harbor. Les deux premiers cadres avaient été torpillés par les arrêts Schrems rendus par la Cour de justice de l’Union européenne.

Or, plusieurs lois américaines, dont la fameuse Section 702 de la FISA, ont été jugées incompatibles avec le droit européen. C’était l’essence des arrêts Schrems I et II. Le DPF, reprenant les bases des anciens cadres, a ajouté quelques garanties supplémentaires, dont la participation du PCLOB.

Ces accords sont cruciaux pour la circulation des données. Ils établissent une adéquation entre l’Europe et les États-Unis, établissant que les garanties en matière de la protection de la vie privée y sont, dans les grandes lignes, équivalentes. Le DPF garantit notamment que les données personnelles confiées aux grandes entreprises américaines de la tech seront bien traitées.

Nuages noirs autour du Data Privacy Framework

En Europe, nombreuses sont les personnes à vouloir faire tomber le Data Privacy Framework. Maximilien Schrems bien sûr, à l’origine des deux arrêts qui portent son nom, et créateur de l’association noyb. En France, le député Philippe Latombe. Ce dernier avait lancé un recours devant le Tribunal de l’Union européenne en septembre 2023. Il avait également fustigé la Commission européenne en octobre dernier quand elle avait annoncé que le Data Privacy Framework donnait toujours satisfaction. Dans son long rapport (PDF), la Commission rappelait à de nombreuses reprises le rôle central que jouait le PCLOB.

L’assise juridique du DPF est jugée fragile, à cause d’un fonctionnement basé sur des décrets présidentiels. Cet accord avait fini par être arraché au cours de discussions tendues avec les États-Unis. Or, avec le départ des membres démocrates du PCLOB, l’agence est à l’arrêt et son avenir n’est pas garanti. Elle comporte en effet cinq membres et, selon ses statuts, pas plus de trois membres ne peuvent provenir du même parti politique. Les trois membres démocrates ayant été remerciés, la question de leur remplacement reste entière. L’association noyb avertissait de ce danger il y a un mois déjà.

En outre, on a appris mercredi, par l’avocat Jean-Loup Guyot-Touscoz, que Javier Zarzalejos, président de la Commission LIBE (Libertés civiles, justice et affaires intérieures), a saisi la Commission européenne au sujet des récents changements affectant le PCLOB. Il rappelle dans un courrier que l’agence joue un rôle pivot dans les recours des citoyens européens à l’égard des traitements de leurs données. Elle évalue « notamment si les activités de surveillance menées en vertu de dispositions légales telles que la section 702 de la FISA sont nécessaires, proportionnées et conformes aux principes américains en matière de protection de la vie privée », indique-t-il.

Javier Zarzalejos note que le PCLOB ne peut plus être opérationnel par manque de membres. Il demande donc officiellement à la Commission une évaluation de la situation pour savoir si ces changements « affectent l’adéquation du cadre de protection des données, et notamment si le mécanisme répond toujours à l’exigence d’« équivalence essentielle » telle qu’établie par la Cour de justice dans l’affaire C-311/18 Schrems II ».

En clair : si les garanties américaines s’effondrent, la Commission européenne pourrait être contrainte de mettre fin au Data Privacy Framework.

« Si on appliquait simplement le droit, il devrait sauter »

Contacté, Philippe Latombe nous a indiqué que « la vraie question est de savoir si la Commission européenne a envie de se déjuger ». Le député estime qu’elle pourrait ne pas avoir le choix : « Je pense que le Parlement européen va lui faire suffisamment de misères pour qu’elle soit obligée de s’y pencher ». Le Data Privacy Framework en grand danger ? « Théoriquement, oui. En fait, si on appliquait simplement le droit, il devrait sauter ».

Dans ce contexte, comment doit être pris le courrier envoyé par Javier Zarzalejos ? « Comme une première étape destinée à provoquer des remous. L’idée est d’attirer officiellement l’attention de la Commission sur le sujet, pour lui demander, au vu de ce qui se passe, de se pencher sur la question. En langage bruxellois, cela signifie : « Sans réponse de votre part, on passera à l’étape suivante ». Ce n’est pas encore une procédure, sinon c’est la commission LIBE elle-même qui aurait pris les choses en mains », nous indique Philippe Latombe.

Le PCLOB, toujours lui

Sur l’avenir du DPF, le député nous explique qu’il y a plusieurs chemins possibles. La Commission pourrait ainsi « faire l’autruche » et ne toucher à rien, mais la position serait vite indéfendable selon l’évolution du contexte. Elle pourrait également suspendre le cadre, même si « la suspension n’existe théoriquement pas, ce n’est pas prévu dans les textes ». La Commission pourrait également annuler le texte. Enfin, elle pourrait l’invalider.

Quelle différence entre la suspension, annulation et invalidation ? Dans le premier cas, la Commission mettrait le DPF « en pause », le temps d’examiner la situation. Une annulation serait un arrêt pur et simple. Quant à l’invalidation, cela reviendrait à dire que le Data Privacy Framework n’a jamais existé. Une partie de la réponse se trouve dans l’avenir du PCLOB.

Or, pour Philippe Latombe, l’avenir de l’agence est sombre. « Le Board ne fonctionne pas actuellement. Ce seul point est un problème. Ses statuts prévoient un fonctionnement bipartisan, mais Donald Trump a fait partir les trois membres démocrates ». Et s’il les remplace par trois membres républicains ? « Alors l’agence ne fonctionnera plus comme il avait été prévu, car elle ne sera plus bipartisane, alors qu’elle devait être une représentation de l’ensemble des sensibilités du Congrès. Il s’agissait d’une garantie ».

Incertitudes et conséquences

La création du Data Privacy Framework avait été un numéro de funambule. La Commission européenne était sur le fil du rasoir, en équilibre instable entre la protection des données et les intérêts des entreprises européennes stockant massivement des données chez des sociétés américaines.

Que se passerait-il si le DPF était annulé ou invalidé ? Le retour à l’incertitude juridique pour les entreprises européennes, car l’adéquation entre les protections européennes et américaines n’existerait plus. Le RGPD, notamment, serait totalement incompatible avec la gestion états-unienne des données personnelles, nos voisins d’outre-Atlantique établissant une primauté de l’intérêt national sur celui de l’individu.

La disparition du DPF aurait de nombreuses autres conséquences. Sans adéquation, il n’y a plus de garanties sur la protection des données. Ces tensions soulèvent aussi des questions sur l’avenir de structures comme Bleu ou S3NS. Si des sociétés françaises sont à la manœuvre (sur des données hébergées en France), les solutions se basent sur des applications américaines (Microsoft et Google respectivement). Les deux sont dans le processus de qualification SecNumCloud.

Changement de cap pour EUCS ?

De manière plus générale, toutes les négociations autour de la future directive EUCS seraient à revoir. Comme nous l’avons vu à plusieurs reprises, les membres de l’Union européenne ne sont pas tous d’accord sur les niveaux de sécurité permettant de certifier les solutions cloud sur le Vieux continent.

Le niveau High+ a fait l’objet d’affrontements, notamment avec l’Allemagne. Ce niveau, fondé en grande partie sur la certification SecNumCloud de l’ANSSI, prévoyait en effet une souveraineté totale de l’offre ainsi certifiée. Cela impliquait surtout des serveurs présents au sein de l’Union et l’interdiction d’échanger des données avec des prestataires soumis à des lois extraterritoriales. Ce qui entrainait mathématiquement le rejet de toutes les solutions américaines.

Or, la position plus hostile des États-Unis vis-à-vis de l’Europe, l’ingérence d’Elon Musk dans les élections allemandes, les remous provoqués par le discours à Munich du vice-président américain JD Vance ou encore la possible taxation à 25 % des véhicules importés, qui pourrait durement affecter les constructeurs allemands, provoquent de profonds changements dans l’opinion. Les négociations autour d’EUCS pourraient changer radicalement de direction.

Commentaires (14)

votre avatar
Une erreur au début de l'article :
"Fin janvier, Donald Trump exigeait la dimension de trois membres"

Démission, je suppose ?
votre avatar
Celle-ci semble déjà corrigée, mais tu as un bouton "Signaler une erreur" en bas d'article qui permet de contacter directement la rédaction pour la prochaine fois, si tu le souhaites.

Peut-être pas disponible pour les non-abonnés sur les articles réservés, vu qu'il ne voient pas le bas de l'article ?
votre avatar
Bonjour, il suffit simplement de surligner le mot ou la phrase et de cliquer sur "une erreur ?" pour proposer une correction.
votre avatar
Lorsque je consulte l'article depuis mon ordinateur de bureau, je vois le bouton "Signaler une erreur".

En revanche, ce bouton n'apparaît pas lorsque je consulte l'article depuis mon smartphone.
votre avatar
La solution proposée par @Nomans fonctionne sur mobile.
votre avatar
Si c'étaient des femmes, il demandait peut-être leurs mensurations avant de confirmer ou non l'éjection de ces ignobles nominations DEI.
Vu l'individu, c'est un scénario que je peux parfaitement imaginer.
votre avatar
Quid de l'intégralité des services d'entreprises dont le siège social est soumis à la régulation États-unienne, dont l'extra-territorialité du droit en matière d'interception le rend incompatible avec le droit Européen, de l'avis-même de la CJUE ?
Le Safe Harbor, puis le Privacy Shield n'y changeaient déjà rien.

Va-t-on enfin se rendre compte que laisser nos entités publiques imposer ça aux fonctionnaires, aux élèves, laisser nos entreprises imposer ça à leurs employés, leurs clients, est un désastre humain ?
votre avatar
Oép il faut tout ça (et donc accepter que le DPF ne changeait pas ça fondamentalement).
et en plus en finir avec le mythe comme quoi il n'y aurait pas de solutions nationales ou continentales aptes à remplacer tout ça... sans s'en remettre à des solutions "hybrides" que thales, orange, capgemini etc... montent en se lien pieds et points aux GAFAM.
votre avatar
Du coup les offres d'Orange et Capgemini "Blue" tombent à l'eau ?
votre avatar
Sans cette dernière, des structures comme Bleu ou S3NS pourraient se retrouver dans un vaste vide juridique, sans plus aucun texte pour établir leur assise.
J'aimerais bien une démonstration juridique de cette affirmation.

Bleu ou S3ns sont organisées pour que les données restent en France et surtout pour que les lois US ne s'appliquent pas à eux. Ça m'étonnerait fortement qu'ils s'appuient sur le DPF qui lui, on est d'accord est fragile depuis le début mais encore plus avec ce qui est décrit plus haut dans l'article.
votre avatar
Toutes nos confuses pour ce passage, il avait fait l'objet d'une modification dans la correction, mais c'est la version initiale de l'article qui a été publiée. Nous aurons l'occasion de reparler bientôt de ce point particulier dans un article sur EUCS.
votre avatar
ma compréhension est que le processus de mise à jour des paquets logiciels de Google ou de Microsoft sont invérifiables par la partie européenne de l'association et que y a pas grand chose qui les empêche de trojaniser leur machin, sur ordre exécutif US. (et ça laisse une impression de déjà vu)
votre avatar
Microsoft a avoué il y a quelques temps que les données sur MS 365 pouvaient passer par les USA à un moment et qu'ils n'étaient pas en capacité de l'empêcher.
Je ne sais pas si les offres de Bleu ont le même problème, mais dans ce cas il y aurait un risque juridique à ce niveau là, non ?
votre avatar
Non, elles n'ont pas ce problème. C'est construit pour être étanche.
De plus, Vincent m'a répondu et a modifié son article sur ce point.

Données personnelles : les échanges avec l’Europe menacés par les États-Unis

  • Le rôle du PCLOB

  • Nuages noirs autour du Data Privacy Framework

  • « Si on appliquait simplement le droit, il devrait sauter »

  • Le PCLOB, toujours lui

  • Incertitudes et conséquences

  • Changement de cap pour EUCS ?