Pour mémoire, selon le Règlement général sur la protection des données (RGPD) de l’Union européenne, les données personnelles ne peuvent être transférées vers un pays tiers que si ce pays offre un niveau de protection équivalent à celui garanti au sein de l’UE.
L’article 45 du RPGD prévoit le mécanisme juridique de la décision d’adéquation qui permet à la Commission européenne d’évaluer si un pays tiers garantit une protection suffisante des données personnelles, sans qu’il soit nécessaire d’appliquer des garanties supplémentaires (comme des clauses contractuelles types).
Or, les États-Unis ne disposent pas d’une législation fédérale sur la protection des données, comparable au RGPD. Pour pallier cette différence, des cadres spécifiques ont été mis en place via des décisions d’adéquation, comme :
1. Safe Harbor (2000-2015) - Invalidé par la CJUE en 2015.
2. Privacy Shield (2016-2020) - Invalidé en 2020 par l’arrêt Schrems II de la CJUE.
3. Data Privacy Framework (DPF, 2023) - Adopté par la Commission européenne en juillet 2023.
Le nouveau cadre de protection inclut :
1. Des mécanismes de recours pour les citoyens européens auprès des autorités américaines.
2. Des obligations de transparence et de sécurité aux organisations américaines adhérentes.
3. Une cour de contrôle de la protection des données personnelles (Privacy and Civil Liberties Oversight Board - PCLOB) chargée :
- De superviser le fonctionnement du mécanisme de recours.
- D’évaluer annuellement si les activités de surveillance menées en vertu de dispositions légales telles que la section 702 de la FISA sont nécessaires, proportionnées et compatibles avec la protection de la vie privée aux États-Unis.
C’est précisément l’avenir de cette cour de contrôle de la protection des données personnelles et ses perspectives incertaines de fonctionnement qui sont susceptibles de remettre en cause la décision d’adéquation.
En effet, depuis l’élection du président Trump et la vague de limogeage qui s’en est suivie, il ne reste plus qu’un seul membre sur cinq au sein de la cour de contrôle de la protection des données.
Au moment du limogeage des membres de la cour de contrôle, le rapport annuel attendu était en cours d’élaboration, et sa publication est désormais reportée pour une période indéterminée.
Le président de la Commission des libertés civiles, de la justice et des affaires intérieures souligne que la cour de contrôle n’est plus opérationnelle car elle n’atteint plus le nombre minimum de membres requis pour atteindre le quorum.
L’absence d’organe de surveillance opérationnel et le limogeage de la plupart de ses membres, sans motif, suscitent des préoccupations fondamentales quant à l’efficacité et au respect des garanties de surveillance pris par les États-Unis.
Ces perspectives peu réjouissantes pour la cour de contrôle de la protection des données personnelles s’accompagnent par la dissolution problématique du Conseil d’examen de la cybersécurité (Cyber Safety Review Board - CSRB) dont la mission était d’examiner d’importants cyber-incidents et de formuler des recommandations visant à améliorer la sécurité dans les secteurs public et privé.
Bizarrement, au moment de la dissolution de cette entité, cette dernière était chargée d’enquêter sur l’affaire « Salt Typhoon » qui désigne une vaste campagne de cyber-espionnage menée par un groupe de pirates informatiques affilié à l’État chinois.
Alors quel avenir pour le cadre de protection des données personnelles entre l’Europe et les Etats-Unis institué à la suite de la décision d’adéquation ?
Telle est la question à laquelle la Commission européenne est désormais chargée de répondre et dont on peut aisément esquisser la réponse…
