Connexion Premium

Le Data Privacy Framework remis en question par la fin de l’indépendance de la FTC

L'Independance day, c'est bientôt, non ?

Le Data Privacy Framework remis en question par la fin de l’indépendance de la FTC

Illustration : Flock

La Cour suprême américaine vient de statuer que Donald Trump peut révoquer les dirigeants des agences états-uniennes comme la FTC quand il le veut. L’association noyb et le député Philippe Latombe y voient une incompatibilité avec l’accord Data Privacy Framework qui repose sur l’indépendance de l’agence.

En début de semaine, la Cour suprême américaine a validé la décision prise par Donald Trump en mars 2025 de débarquer Rebecca Slaughter de la tête de la Federal Trade Commission (FTC), une agence états-unienne jusque-là considérée comme indépendante. Le dirigeant des États-Unis lui avait indiqué que son maintien à ce poste serait « incompatible avec les priorités de l’administration ». Pour certains contempteurs de l’accord Data Privacy Framework (DPF) signé entre l’Europe et les États-Unis, cette décision le remet en cause.

L’utilisation du cloud américain pour stocker les données personnelles remise en question

Ainsi, Philippe Latombe (MoDem) a annoncé avoir envoyé une lettre recommandée à la présidente de la Commission européenne Ursula von der Leyen demandant « l’annulation immédiate du traité transatlantique de transfert des données [le nom français du DPF] qui ne peut plus être légal ». Le député n’en est pas à sa première attaque contre cet accord. En 2023, il avait déposé un recours devant le Tribunal de l’Union européenne pour contester sa validité et s’en était expliqué sur Next. En septembre dernier, le Tribunal a rejeté le recours mais Philippe Latombe a fait appel.

Dans son message posté sur LinkedIn, le député pousse les entreprises à ne plus s’appuyer sur le DPF pour l’encadrement du transfert de données vers les États-Unis. Et ajoute : « J’invite également les entreprises qui hébergent des données sensibles comme des données de santé (coucou Doctolib 😜) à initier, en urgence absolue, une migration vers du cloud certifié SecNumCloud et à ne plus recourir aux prestataires US de type GAFAM ».

L’indépendance de la FTC, clé de voûte du DPF

Un autre acteur critique du DPF a sauté sur l’occasion pour aller dans le même sens : noyb. Rappelons que cette association a été créée par l’Autrichien Max Schrems qui a obtenu l’annulation devant la Cour de justice de l’Union européenne (CJUE) des deux précédents accords : le Privacy Shield et le Safe Harbor. Elle a, elle aussi, envoyé une lettre [PDF] à la Commission européenne sur le sujet.

L’association explique un peu plus pourquoi la décision de la Cour suprême américaine remettrait, selon elle, en cause le DPF : la capacité du président états-unien à pouvoir révoquer quand il le souhaite tout dirigeant de la FTC fait perdre à cette agence son indépendance.

Or, le traité sur le fonctionnement de l’Union européenne et la Charte des droits fondamentaux « exige[nt] que le contrôle en matière de protection des données soit assuré par une autorité « indépendante » », explique-t-elle. Dans le cadre de l’accord, les États-Unis ont désigné la FTC en tant qu’organisme indépendant pour assurer ce contrôle. Et l’Union européenne « s’est appuyée pas moins de 259 (!) fois sur la FTC dans sa décision relative aux flux de données entre l’UE et les États-Unis », remarque noyb. Ainsi, pour l’association, le DPF s’appuie fortement sur l’indépendance de la FTC.

Max Schrems appelle à « une sortie ordonnée du cloud américain »

D’autre part, la CJUE avait insisté, lors des discussions sur le Privacy Shield, sur le manque de recours judiciaire aux États-Unis concernant la surveillance des données. Pour pallier ce problème, Joe Biden avait créé une cour spécifique pour le contrôle de la protection des données. Mais, « bien qu’elle soit qualifiée de « Cour », il s’agit en réalité d’un organe exécutif relevant du ministère américain de la Justice. Son « indépendance » ne repose que sur un décret (EO) de l’ancien président Biden, qui peut être modifié à tout moment par Trump et qui n’est pas contraignant pour le président », affirme noyb.

« Même selon la logique de la Commission européenne, le fondement de tout accord sur les transferts de données entre l’UE et les États-Unis est désormais caduc », assure Max Schrems. « Nous appelons la Commission à entamer une sortie ordonnée du cloud américain – ce qui n’est pas facile, mais malheureusement inévitable », ajoute-t-il. « La Commission a construit un château de cartes juridique sous la pression du secteur. Maintenant qu’il s’effondre manifestement, elle doit en assumer la responsabilité », conclut le militant.

Microsoft dans la place

Cette pression sur le DPF est mise alors que Microsoft a expliqué, dans un billet de blog publié ce week-end, qu’elle pouvait officiellement intervenir « dans l’affaire Latombe contre la Commission devant la Cour de justice de l’Union européenne », justement pour défendre l’accord entre l’Europe et les États-Unis : « En tant qu’intervenant, nous pouvons désormais déposer des mémoires à l’appui de la Commission européenne, participer aux audiences et faire valoir notre point de vue sur l’importance de préserver un cadre qui profite directement à l’économie européenne ».

Commentaires (2)

votre avatar
Ah ! Si seulement.... Encore une occasion de rêver d'une réelle désaméricanisation.
votre avatar
Oui, oui, je sors les pop corns sur le coup ! :-D