par Jehane HANNOUF, étudiante du Master 2 Droit des communications électroniques
Le paysage de la protection des données personnelles entre l’Europe et les États-Unis a récemment été marqué par des événements marquants, notamment la demande de démission des membres démocrates du Privacy and Civil Liberties Oversight Board par l’administration du président Trump.
Cette situation soulève des questions cruciales concernant la surveillance, les libertés fondamentales, les flux de données entre l’Union européenne et les États-Unis mais aussi quant à l’indépendance des organes exécutifs américains.
Ainsi, ces événements creusent un peu plus l’écart entre les exigences strictes du Règlement général sur la protection des données (RGPD) en Europe et les politiques plus permissives outre-Atlantique.
Le rôle du Privacy and Civil Liberties Oversight Board (PCLOB)
Le PCLOB est la principale autorité de contrôle américaine des lois régissant les données personnelles. Elle est créée en 2004 suite aux recommandations de la Commission du 11 septembre. Sa mission principale est de veiller à ce que les programmes gouvernementaux de lutte contre le terrorisme respectent les libertés civiles et la vie privée des citoyens. Le conseil peut compter jusqu’à cinq membres, avec une limite de trois membres issus du même parti politique. Actuellement, il est composé de quatre membres, dont trois rattachés au parti démocrate.
La Maison-Blanche prend des mesures fragilisant l’organe exécutif
Le 22 janvier 2025, l’administration Trump a demandé aux trois membres démocrates du PCLOB de choisir entre démissionner ou être démis de leur fonction, avant la fin de la semaine.
Les membres concernés sont la présidente Sharon Bradford Franklin, Edward Felten et Travis LeBlanc.
Cette demande s’inscrit dans une volonté plus large de l’administration de remplacer les fonctionnaires et responsables ne partageant pas son agenda politique.
Les membres n’ayant pas déposé leur démission dans le temps imparti, l’administration a pris la décision ce lundi 27 janvier de les révoquer.
Ces départs laissent le conseil presque inopérant, n’ayant plus qu’un seul membre actif.
En effet, le risque d’une ingérence politique pourrait compromettre sa capacité à surveiller efficacement les programmes gouvernementaux, à examiner des dossiers sensibles et à protéger les libertés civiles.
Ainsi, ce déséquilibre pourrait violer les obligations internationales des États-Unis, notamment celles relatives à l’article 17 du Pacte international relatif aux droits civils et politiques (PIDCP), qui garantit la protection contre les ingérences arbitraires dans la vie privée.
Les conséquences sur la protection des données personnelles transatlantiques
Le 10 juillet 2023, la Commission européenne avait adopté officiellement un accord appelé “cadre transatlantique de protection des données personnelles” (TADPF). Cette décision permettait à toute entreprise de l’UE de transférer librement des données à des fournisseurs américains, en dépit des lois de surveillance américaines et s’appuyait notamment sur le PCLOB comme garantie.
Cette décision de démanteler l’organe de contrôle indépendant complique davantage la coopération entre l’UE et les États-Unis en matière de données personnelles.
D’une part, les entreprises opérant des deux côtés de l’Atlantique sont confrontées à une insécurité juridique croissante. Le RGPD impose des garanties strictes pour les transferts internationaux, incluant l’obligation d’assurer un niveau de protection équivalent à celui en vigueur dans l’UE. En l’absence de telles garanties, les autorités européennes pourraient interdire les transferts de données vers les États-Unis, obligeant les entreprises à adopter des mesures coûteuses pour se conformer aux exigences européennes.
D’autre part, la divergence croissante entre le droit européen et américain entraîne un morcellement des régimes juridiques internationaux en matière de protection des données. Cette situation pourrait renforcer les initiatives européennes visant à réduire la dépendance vis-à-vis des technologies et infrastructures numériques américaines, comme l’a illustré récemment l’amende infligée à la Commission européenne pour un transfert non conforme de données.
Le 8 janvier 2025, cette dernière a été condamnée à verser des dommages et intérêts à un citoyen allemand pour avoir violé ses propres lois sur la protection des données. Le plaignant avait constaté que son adresse IP avait été transférée aux États-Unis sans garanties suffisantes lors de l’utilisation de la fonction “Se connecter avec Facebook” sur le site de la Commission. Cette décision souligne l’importance du respect du RGPD par les institutions européennes elles-mêmes.
Sources :
Democrat members of US surveillance watchdog fired after refusing to resign
US Cloud soon illegal? Trump punches first hole in EU-US Data Deal.