Gouvernance

Trump peut-il réellement mettre en péril le RGPD ?

Par Thierry Derouet, publié le 04 février 2025

Le coup de force de l’administration Trump contre le Privacy and Civil Liberties Oversight Board (PCLOB) fragilise le Transatlantic Data Privacy Framework (TADPF). Sans organe de contrôle opérationnel, la conformité des États-Unis au RGPD vacille. Bruxelles garde le silence, mais elle devra trancher : sauver un accord vidé de ses garanties ou assumer une crise économique et juridique majeure. Décryptage.

La pression était montée ces derniers jours. Après avoir exigé que les trois membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB) quittent leurs fonctions d’ici le 23 janvier, la Maison-Blanche a enfin pris une décision. Le 27 janvier, l’administration Trump a formellement destitué ces trois représentants, ne laissant plus à l’organisme qu’une seule personne en activité : la républicaine Beth Williams. Cette décision vient bouleverser l’équilibre de cet organe clé, responsable de la supervision des programmes de surveillance américains. Elle fragilise également encore davantage le Transatlantic Data Privacy Framework (TADPF), cet accord crucial entre l’Union européenne et les États-Unis sur le transfert des données personnelles.

Le licenciement de ces trois membres du PCLOB met en péril la surveillance indépendante des pratiques de renseignement aux États-Unis, un élément central du compromis trouvé entre Bruxelles et Washington pour maintenir les flux de données transatlantiques. Face à l’hésitation institutionnelle et à l’insécurité juridique, les fondements de cet accord sont en danger. L’Union européenne, qui comptait sur cet organisme pour assurer la protection des citoyens européens contre les pratiques de surveillance américaines, reste curieusement muette. La situation pourrait rapidement se transformer en crise diplomatique et économique.

Un organisme clé mis sous pression

Jusqu’au bout, les trois membres démocrates du PCLOB ont tenté de résister. Mais lundi dernier, la Maison-Blanche leur a signifié officiellement leur éviction, leur refus de démissionner n’ayant fait que repousser l’inévitable. Travis LeBlanc, l’un des membres démis, a dénoncé une attaque frontale contre les missions mêmes du conseil. « Aujourd’hui, je regrette que le changement de camp du conseil d’administration porte atteinte non seulement à la mission de l’agence, mais aussi à la confiance du public dans la capacité du gouvernement à honorer les droits à la vie privée, à respecter les libertés civiles, à informer honnêtement le public et à suivre la loi », a-t-il déclaré.

Même tonalité du côté d’Edward Felten, également révoqué, qui a regretté sur son compte X : « La surveillance est un travail difficile, mais elle est absolument essentielle à la responsabilité dans une démocratie. » Une responsabilité désormais sérieusement remise en cause : avec trois sièges désormais vacants, le PCLOB n’atteint plus le quorum nécessaire pour fonctionner normalement. Or, c’est grâce à ce type de contrôle que reposait l’engagement des États-Unis à garantir un niveau de protection des données personnelles « essentiellement équivalent » à celui de l’Union européenne.

Une menace directe sur le TADPF

L’un des rôles clés du PCLOB consistait à surveiller l’accord de partage de données entre l’UE et les États-Unis. Il devait notamment examiner si les agences de renseignement américaines respectaient bien le décret signé sous l’ère Biden, lequel fixait certains garde-fous sur les activités de surveillance. Sans un comité pleinement opérationnel, ces garanties s’évaporent et la légitimité du TADPF vacille.

Selon Alexandra Reeve Givens, présidente du Center for Democracy & Technology, cette décision est une véritable catastrophe. « Non seulement le conseil d’administration joue un rôle crucial de contrôle des pouvoirs de surveillance du gouvernement, mais il permet également aux entreprises américaines de transférer efficacement des données dans le monde entier. Cette décision est mauvaise pour la vie privée, mauvaise pour les libertés individuelles et mauvaise pour les affaires. »

L’équation se corse donc pour l’Europe. En juillet 2023, la Commission européenne a approuvé le TADPF, estimant que les garanties apportées par Washington respectaient les standards du RGPD. L’existence d’un organe de surveillance efficace, tel que le PCLOB, était une pièce maîtresse du dispositif. Si ce comité cesse de fonctionner, comment peut-on continuer à envoyer des données aux États-Unis ?

L’étrange silence de Bruxelles

Alors que la nouvelle administration américaine élimine progressivement les mesures de régulation mises en place sous Biden, la Commission européenne reste étrangement muette. Il n’y a eu aucune déclaration officielle sur l’avenir du TADPF ni sur la crédibilité déclinante des mécanismes de surveillance américains.

D’ordinaire très réactive sur ces questions, l’UE semble hésiter. Doit-on mettre fin à l’accord sans délai, au risque de plonger les entreprises dans un vide juridique, comme ce fut le cas après l’annulation du Privacy Shield ? Devrait-on faire preuve de patience et observer si la Maison-Blanche désigne de nouveaux membres au PCLOB, des personnes qui seront peut-être plus en phase avec la ligne du parti républicain ?

Des groupes de défense des libertés civiles ont déjà entamé des démarches. Le Center for Democracy & Technology a condamné les évictions, dénonçant une tentative de la Maison-Blanche de vider de sa substance tout mécanisme indépendant de contrôle.

Une crise économique et diplomatique à venir ?

Cette décision aura des conséquences importantes, qui iront bien au-delà d’une simple dispute réglementaire. Elle pourrait plonger les entreprises opérant entre l’Europe et les États-Unis dans un profond désarroi à court terme. Les géants du cloud, tels qu’Amazon Web Services, Microsoft Azure et Google Cloud, dont les ventes représentent environ 25 % de leurs revenus en Europe, seraient directement touchés.

Max Schrems pose la question : “Nous avons maintenant un sérieux problème avec le TADPF et le RGPD : la supervision « indépendante » du FISA 702 vient d’être anéantie par Trump. Les membres du PCLOB ont été révoqués et leurs boîtes mail verrouillées. L’organisme n’est plus opérationnel. La Commission européenne s’était appuyée sur le PCLOB pour justifier sa décision d’adéquation avec les États-Unis… Les transferts de données sont-ils compromis ?”
Max Schrems pose la question : “Nous avons maintenant un sérieux problème avec le TADPF et le RGPD : la supervision « indépendante » du FISA 702 vient d’être anéantie par Trump. Les membres du PCLOB ont été révoqués et leurs boîtes mail verrouillées. L’organisme n’est plus opérationnel. La Commission européenne s’était appuyée sur le PCLOB pour justifier sa décision d’adéquation avec les États-Unis… Les transferts de données sont-ils compromis ?

Si le TADPF devait être remis en cause, ces entreprises pourraient être forcées de reprendre possession de certains équipements ou de revoir leurs ententes contractuelles avec les sociétés européennes. Pour les PME et les grands groupes basés dans l’UE, la situation deviendrait rapidement intenable. Comment continuer à traiter légalement des données avec les États-Unis sans cadre juridique stable ?

Sur le plan politique, Donald Trump pourrait également utiliser cette crise comme un levier pour exercer des pressions sur Bruxelles. La Maison-Blanche a déjà laissé entendre qu’elle souhaitait renégocier certaines règles commerciales et limiter les obligations réglementaires pesant sur les entreprises américaines. Un bras de fer pourrait alors s’engager, où la protection des données personnelles servirait de monnaie d’échange face à des négociations sur les tarifs douaniers ou d’autres aspects des relations transatlantiques.

Jusqu’où ira la présidence Trump ?

La paralysie du PCLOB n’est peut-être qu’un premier acte. Le président américain a déjà ordonné une réévaluation complète des décisions de sécurité nationale prises sous l’administration Biden, ce qui pourrait inclure d’autres mécanismes liés au TADPF.

Dans le pire des scénarios, un décret présidentiel suffirait à abroger certaines des garanties incluses dans l’accord, entraînant son invalidation automatique par la CJUE. C’est précisément ce que Max Schrems, à l’origine des poursuites contre Safe Harbor et Privacy Shield, a toujours prédit : « Ce système repose sur des fondations trop fragiles. » Avec le retour au pouvoir de Trump, on savait bien que cela ne durerait pas.

Il n’est plus nécessaire de se demander si le TADPF survivra à ce mandat républicain. Il faudra plutôt attendre que l’UE admette son échec. À Bruxelles, l’absence de réaction officielle ne pourra durer éternellement. Plus les États-Unis affaiblissent leurs propres mécanismes de contrôle, plus la pression augmentera sur la Commission pour tirer les conséquences de cet effondrement annoncé.

Jeudi dernier, à notre micro, Guillaume Poupard, directeur général adjoint de Docaposte et ex-patron de l’ANSSI, ne cachait pas son pragmatisme face à la situation : « Trump a au moins le mérite d’être clair, et quelque part, c’est une bonne chose. Pendant des années, on nous a vendu l’idée que les données pouvaient traverser l’Atlantique en toute sécurité grâce à des mécanismes de contrôle censés éviter les abus. Je n’y ai jamais cru. Le Privacy Shield a été annulé en justice, et tout le monde savait que le TADPF subirait le même sort à terme. Trump, lui, coupe court aux illusions : il démonte l’accord avant même que la justice européenne ne le fasse. Ceux qui voulaient y croire ou faire semblant que tout était sous contrôle vont avoir du mal à continuer sur cette ligne. Et finalement, ce n’est pas une mauvaise chose. Cela force les Européens à ouvrir les yeux sur la nécessité de solutions de confiance souveraines. Certains disent que Trump est le meilleur VRP des solutions numériques européennes… C’est un peu vrai, objectivement. »

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights