La Cour suprême des États-Unis vient de mettre un coup de frein aux transferts de données entre l'UE et les USA après avoir statué que la FTC américaine n'était peut-être plus indépendanteLa Cour suprême des États-Unis vient de mettre un coup de frein aux transferts de données entre l'UE et les États-Unis après avoir statué que la Commission fédérale du commerce (FTC) américaine n'était peut-être plus indépendante. Max Schrems de l'organisation noyb a déclaré : « Étant donné qu’il n’existe plus d’autorités indépendantes aux États-Unis, nous appelons la Commission européenne à retirer en bonne et due forme la décision d’adéquation concernant les États-Unis. »
En mars 2025, l'administration Trump a exprimé son intention de modifier les conditions du Privacy Shield, ce qui pourrait entraîner des conséquences graves pour les entreprises européennes et américaines qui dépendent du transfert transatlantique de données. Cet accord permet notamment aux entreprises américaines de recevoir des données personnelles en provenance d'Europe tout en garantissant un niveau de protection adéquat. Cependant, des décisions judiciaires avaient remis en question la validité de cet accord, suscitant des inquiétudes au sein du secteur économique.
Récemment, la Cour suprême des États-Unis a statué, dans l’affaire Trump c. Slaughter, que la Commission fédérale du commerce (« FTC ») américaine n’était peut-être plus indépendante. Depuis 2000, l’UE s’appuie sur la FTC « indépendante » pour faire respecter les accords UE-États-Unis relatifs aux données à caractère personnel. Selon le droit communautaire, ce contrôle doit être indépendant. Dans l’accord UE-États-Unis actuel, la Commission européenne fait référence à la FTC « indépendante » à 259 (!) reprises. La situation questionne sur l'avenir des accords entre l'UE et les États-Unis. Max Schrems de l'organisation noyb a notamment déclaré : « Étant donné qu’il n’existe plus d’autorités indépendantes aux États-Unis, nous appelons la Commission européenne à retirer en bonne et due forme la décision d’adéquation concernant les États-Unis. »
noyb est une ONG financée par des dons, basée à Vienne, en Autriche, qui œuvre pour faire respecter les lois sur la protection des données, en particulier le RGPD et la directive « e-Privacy ». Le RGPD accorde aux utilisateurs le droit de mandater des ONG pour les représenter devant une autorité de protection des données ou devant les tribunaux dans des affaires individuelles. C’est là que noyb entre en jeu : ils recourent à des actions en justice ciblées et stratégiques pour faire respecter le droit à la vie privée des citoyens à travers l’Europe. De plus, ils menent des initiatives de relations publiques et médiatiques pour attirer l’attention sur la multitude de problèmes liés à la vie privée et renforcer vos droits, même sans avoir à passer par les tribunaux.
Voici l'avis de Noyb sur le sujet :
La Cour suprême des États-Unis vient de mettre à mal les transferts de données entre l’UE et les États-Unis
Le cadre de protection des données UE-États-Unis. Depuis 1995, l’UE interdit de manière générale l’exportation de données à caractère personnel vers des pays tiers afin d’empêcher que les règles de l’UE en matière de protection de la vie privée ne soient contournées par le simple transfert de données à l’étranger. Bien qu’il existe des exceptions pour les transferts nécessaires, allant de la simple réservation d’un hôtel à des transactions complexes, de nombreuses entreprises de l’UE ont simplement externalisé le traitement des données à caractère personnel à des fournisseurs de services cloud américains. Depuis 2000, la Commission européenne a reconnu à plusieurs reprises que les États-Unis constituaient un pays « adéquat » en matière de protection des données à caractère personnel, permettant ainsi la libre circulation des données entre l’UE et les États-Unis. La Cour de justice de l’Union européenne (CJUE) a annulé les deux décisions précédentes de la Commission dans le cadre de l’arrêt dit « Schrems I » (qui a mis fin au « Safe Harbour ») et de l’arrêt « Schrems II » (qui a mis fin au « Privacy Shield ») en raison des lois américaines sur la surveillance et de l’absence de voies de recours judiciaires aux États-Unis. Néanmoins, en 2023, la Commission européenne a publié un troisième accord UE-États-Unis, intitulé « Cadre de protection des données UE-États-Unis », qui était en grande partie une copie des accords précédemment annulés.
Exigence de l’UE concernant une autorité de protection des données indépendante. Le droit des traités de l’UE (c’est-à-dire le cadre « constitutionnel » de l’UE), à savoir l’article 16, paragraphe 2, du TFUE et l’article 8, paragraphe 3, de la Charte des droits fondamentaux, exige que le contrôle des questions relatives à la protection des données soit assuré par une autorité « indépendante ». Étant donné que les pays tiers doivent disposer de garanties «essentiellement équivalentes», il est nécessaire que tout pays tiers souhaitant bénéficier de la libre circulation des données à caractère personnel en provenance de l’UE offre également de telles garanties. Jusqu’à présent, les États-Unis ont désigné la FTC, «indépendante», comme autorité de régulation américaine en matière de protection de la vie privée afin de satisfaire à l’exigence de l’UE relative à une surveillance indépendante. L’UE, quant à elle, s’est appuyée pas moins de 259 (!) fois sur la FTC dans sa décision relative aux flux de données entre l’UE et les États-Unis.
Max Schrems : « Il est essentiel de noter que le cadre constitutionnel de l’UE exige un contrôle indépendant. La seule façon de changer cela serait un vote à l’unanimité de tous les États membres de l’UE pour modifier les traités de l’UE. »
L’exigence d’une juridiction indépendante. En outre, la CJUE a également souligné que les États-Unis devraient mettre en place un mécanisme de recours juridique indépendant en matière de surveillance gouvernementale. Les États-Unis n’ayant pas été en mesure d’adopter une législation pertinente, l’administration Biden a créé une « Data Protection Review Court » (Cour d’examen de la protection des données). Bien qu’elle soit qualifiée de « Cour », il s’agit en réalité d’un organe exécutif relevant du ministère américain de la Justice. Son « indépendance » ne repose que sur un décret (Executive Order, EO) de l’ancien président Biden, qui peut être modifié à tout moment par Trump et qui n’est pas contraignant pour le président.
L'arrêt « Slaughter » : l'exécutif unitaire (Trump). Dans un revirement à 180° par rapport à la jurisprudence antérieure, la majorité conservatrice de la Cour suprême des États-Unis vient de statuer que l'indépendance de la FTC est inconstitutionnelle. Cette décision s'inscrit dans le cadre de la « théorie de l'exécutif unitaire », selon laquelle le président américain doit exercer son autorité sur tous les organes exécutifs du pays, et déclare inconstitutionnelles toutes les lois américaines qui confèrent une indépendance à diverses agences. Étant donné que l’UE s’appuyait sur l’« indépendance » de la FTC en tant qu’autorité de contrôle de la protection des données dans la quasi-totalité des cas, toute la structure du cadre de protection des données UE-États-Unis vient de s’effondrer.
Max Schrems : « Même selon la logique de la Commission européenne, le fondement de tout accord de transfert de données entre l’UE et les États-Unis est caduc. Nous appelons la Commission à entamer une sortie ordonnée du cloud américain – ce qui n’est pas facile, mais malheureusement inévitable. La Commission a construit un château de cartes juridique sous la pression de l’industrie. Maintenant qu’il s’effondre clairement, elle doit en assumer la responsabilité. »
Un impact qui n’est pas illimité. Même si tous les fondements de la décision de l’UE ont disparu, la décision de la Commission européenne reste formellement en vigueur jusqu’à ce que celle-ci l’abroge ou que la Cour de justice l’annule. Il n’y a donc pas d’effet immédiat. Le RGPD ne réglementait d’ailleurs que le transfert de données à caractère personnel. Les données non personnelles peuvent circuler librement. De plus, l’article 49 du RGPD autorise les transferts de données nécessaires vers tout pays tiers. Il n’autorise toutefois pas la délocalisation structurelle des données hors de l’UE, si celle-ci n’est pas strictement nécessaire.
Les clauses contractuelles types (SCC) et les règles d’entreprise contraignantes (BCR) sont également concernées. Si certaines entreprises ne s’appuient pas directement sur l’accord-cadre UE-États-Unis et recourent formellement aux SCC et aux BCR, elles s’appuient généralement aussi sur une « analyse d’impact », qui repose elle-même sur des organismes exécutifs américains autrefois indépendants, tels que le PCLOB ou la Data Protection Review Court. La décision de la Cour suprême les concerne donc généralement aussi, même s’ils ne s’appuient pas sur la FTC. À l’exception des responsables du traitement s’appuyant sur une décision formelle de la Commission, ils doivent immédiatement mettre à jour leur analyse – et en tirer logiquement la conclusion que les transferts de données ne sont plus licites.
Prochaines étapes : la Commission doit abroger l’accord UE-États-Unis. noyb a adressé aujourd’hui une lettre officielle à la Commission européenne, lui demandant de prendre les mesures appropriées pour abroger l’accord UE-États-Unis sur les données de manière ordonnée. Sur le plan politique, de nombreux États membres de l’UE se sont déjà orientés vers une approche de « souveraineté numérique » et ont annoncé leur intention de se dissocier des prestataires de services américains. Certains prestataires de services américains s’orientent également vers un traitement des données distinct pour l’UE. Toutefois, étant donné que les États-Unis continuent d’exercer une pression considérable sur l’UE pour que les flux de données à caractère personnel se poursuivent, noyb intentera également une action en justice dans les semaines à venir, dans le but de permettre à la CJUE d’annuler l’accord actuel. Cependant, une telle procédure judiciaire prend généralement entre deux et trois ans avant qu’une décision définitive ne soit rendue.
En février 2025, lorsque le président américain Donald Trump avait commencé à toucher à l'autorité de contrôle de l'accord de transfert de données UE-USA, Noyb avait déjà alerté sur la situation. Selon Noyb, cette action interroge sur l'avenir du cloud US en Europe. En effet, si les arguments en faveur de l'accord UE-États-Unis s'effondrent, le cloud US deviendrait illégal. Selon le fondateur de Noyb, il est plus important que jamais que les entreprises européennes et autres organisations disposent d'un plan d'urgence si ce cas venait à se produire.
Source : Noyb
Et vous ?
Pensez-vous que cet avis est crédible ou pertinent ?
Quel est votre avis sur le sujet ?Voir aussi :
L'UE propose des mesures visant à renforcer sa souveraineté numérique et à réduire sa dépendance aux technologies américaines. Le plan cible les centres de données, l'IA, les micropuces et les logiciels
Cloud, données et souveraineté : les institutions publiques européennes abandonnent discrètement les fournisseurs de services américains, mais ne sont pas à l'abri d'un rachat des fournisseurs locaux
Cloud souverain : l'Europe se fait-elle duper par un cheval de Troie signé Amazon, Google et Microsoft ? Tuta parle d'un «sovereign washing». Une stratégie pour conserver leur mainmise sur les données en UE
Vous avez lu gratuitement 29 639 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.