Les flux de données transatlantiques sous Trump II : Il est temps de réduire les risques !

Sophie in 't Veld connait bien les arcanes du Parlement européen, où elle a passé 30 ans, comme assistante parlementaire puis comme élue pendant trois mandats consécutifs. Dans une lettre aux membres de la Commission et responsables de la protection des données, elle énumère les dangers auxquels nous devons faire face sous le deuxième mandat de Donald Trump, et les interpelle sur les actions à mener d'urgence.

30 mars 2025
Homme debout sur un précipice de montagne

A l'attention de :

  • Mme Von der Leyen, Présidente de la Commission européenne

  • Mme Virkkunen, Commissaire européen chargé de la souveraineté technologique, de la sécurité et de la démocratie

  • M. McGrath, Commissaire européen chargé de la démocratie, de la justice, de l'état de droit et de la protection des consommateurs

  • Mme Talus, Présidente de l'EDPB

  • M. Wiewiórowksi, CEPD

De nombreuses actions de la nouvelle administration Trump suscitent une profonde inquiétude dans l'Union européenne et dans le monde entier, en particulier dans les domaines du commerce, de la sécurité et des relations internationales. Il est encourageant de voir l'UE réagir avec détermination, en prenant des mesures pour réduire les risques et accroître l'autonomie de l'Europe.

Cependant, il y a un domaine dans lequel l'Union européenne est manifestement silencieuse : l'impact des politiques de Trump sur les transferts de données transatlantiques. L'UE et les États-Unis sont profondément imbriqués dans ce domaine et le volume des flux de données transatlantiques est énorme. Le partage de données à travers l'Atlantique à des fins commerciales et répressives a toujours été une question délicate, pour ne pas dire controversée, car dans de nombreux cas, il ne respecte pas les normes de l'UE en matière de droits fondamentaux, y compris la protection des données et les voies de recours. Plusieurs arrêts de la Cour de justice de l'UE ont confirmé l'insuffisance des protections convenues entre l'UE et les États-Unis.

Il est regrettable que la Commission européenne n'ait jusqu'à présent pris que peu ou pas de mesures pour résoudre ce problème.

L'UE a toujours privilégié les relations diplomatiques avec les États-Unis au détriment du respect de la législation européenne. Toutefois, à l'heure actuelle, même les personnes qui considéraient l'approche du « simulacre de conformité » comme acceptable dans le cas d'une nation amie devront admettre que ce n'est plus le cas.

L'évolution de la situation aux États-Unis montre aujourd'hui que même les maigres garanties convenues entre l'UE et les États-Unis pour permettre la libre circulation des données ne sont plus en place en raison des politiques de M. Trump.

Non seulement des éléments spécifiques ont été éliminés alors qu'ils constituaient des conditions cruciales pour le respect des accords transatlantiques (voir ci-dessous), mais la détérioration du contexte général - érosion de l'indépendance judiciaire, capture politique d'agences clés telles que le FBI et le DoJ, non-respect des droits civils tels que le droit à une procédure régulière - rend effectivement les protections transatlantiques vides de sens. En outre, les révélations du « Signal-gate » de cette semaine et la découverte que les données des comptes personnels, y compris les mots de passe, des membres du gouvernement américain peuvent être facilement trouvés sur Internet, sont une démonstration claire de l'inadéquation alarmante des normes de sécurité des données et des mécanismes de responsabilité aux États-Unis.

Pourtant, jusqu'à présent, l'Union européenne n'a pris aucune mesure visible, ce qui laisse les citoyens et les résidents de l'UE sans protection et crée des risques de sécurité considérables.

Les domaines qui devraient être revus de toute urgence sont les suivants :

  • l'accord-cadre de 2016 (« Accord entre les États-Unis d'Amérique et l'Union européenne sur la protection des données à caractère personnel relatives à la prévention, à la recherche, à la détection et à la poursuite d'infractions pénales »)

  • la décision d'adéquation de 2023 pour le cadre transatlantique de protection des données personnelles (TADPF)

  • l'accord UE-États-Unis de 2012 sur les dossiers passagers (PNR)

  • L'accord SWIFT de 2010 (« Accord entre l'Union européenne et les États-Unis d'Amérique sur le traitement et le transfert de données de messagerie financière de l'Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme »).

  • États membres - Accords intergouvernementaux américains pour la mise en œuvre de la loi américaine contre l'évasion fiscale (FATCA)

  • Négociations entre l'UE et les États-Unis sur l'accès aux preuves électroniques et la loi américaine CLOUD.

  1. L'accord-cadre régit l'échange transatlantique de données à caractère personnel à des fins répressives. Il était censé assurer une protection de base des droits des citoyens de l'UE. Cependant, sa conception était incomplète et plusieurs conditions essentielles à son applicabilité n'ont jamais été remplies. Tout d'abord, l'acte juridique qui accorderait un recours juridique significatif aux citoyens de l'UE. Cela est d'autant plus inquiétant que l'administration Trump semble considérer qu'il n'existe pas de droit à un procès équitable pour les citoyens non américains. La deuxième condition clé - la garantie de la libre circulation des données commerciales vers les États-Unis - est susceptible de tomber si la CJUE met au rebut le TADPF. En outre, une grande partie de l'accord repose sur des décrets américains, ce qui l'expose aux caprices de l'administration Trump.

  2. Le TADPF est actuellement attaqué en justice par Max Schrems et risque de subir le même sort que ses prédécesseurs, le Safe Harbour et le Privacy Shield. Pour la troisième fois consécutive, cela reviendrait à couper l'herbe sous le pied de la libre circulation des données de part et d'autre de l'Atlantique et à laisser une fois de plus les entreprises européennes dans l'incertitude. Le fait que plusieurs membres du Conseil de surveillance de la protection de la vie privée et des libertés civiles (PCLOB) des États-Unis aient été licenciés rend l'annulation du TADPF par la Cour de justice de l'Union européenne presque inévitable.

  3. L'accord PNR entre l'UE et les États-Unis est essentiellement une « décision d'adéquation » de la Commission européenne, déterminant que les États-Unis offrent un niveau adéquat de protection des données. La décision d'adéquation a toujours été contestée. L'avis de la CJCE sur un accord similaire avec le Canada a clairement montré que l'accord PNR entre l'UE et les États-Unis constituait une violation flagrante de la législation européenne. Mais, pour des raisons politiques, la Commission européenne a refusé d'abroger la décision d'adéquation. Cependant, sous la nouvelle administration Trump, il y a des cas très alarmants de passagers arrêtés, détenus, interdits d'entrée ou même expulsés. Dans certains cas, apparemment sur la base de leurs opinions politiques. Plusieurs États membres de l'UE ont émis des avertissements de voyage pour certaines catégories de personnes, comme les personnes transgenres. Le risque d'utilisation abusive des données PNR à l'encontre de personnes voyageant d'Europe vers les États-Unis est bien réel.

  4. Comme l'accord PNR, l'accord SWIFT, qui permet le partage des données relatives aux paiements, a également été controversé dès le départ, et sa mise en œuvre a toujours suscité des interrogations. Il était clair que des données en vrac étaient systématiquement envoyées aux États-Unis, en violation de l'accord. Compte tenu de l'évolution très alarmante de l'État de droit aux États-Unis, des doutes sur l'indépendance et la neutralité de ses institutions et des discussions entre la Maison Blanche et le Kremlin sur le retour de la Russie dans le système SWIFT, il est clair que l'accord SWIFT entre l'UE et les États-Unis est très problématique.

  5. Aux fins de la mise en œuvre de la loi américaine FATCA, les données fiscales des citoyens de l'UE sont partagées par les banques avec les autorités américaines sur la base d'accords intergouvernementaux bilatéraux entre les États-Unis et les États membres de l'UE (IGA). Cet accord a été jugé juridiquement défectueux à plusieurs reprises par les autorités européennes de protection des données, mais cela n'a pas empêché les flux de données. Cependant, comme l'administration Trump souhaite que son nouveau département DOGE ait accès aux bases de données de l'Internal Revenue Service américain, il est clair que même les conditions inadéquates de l'IGA ne sont plus remplies, et donc totalement illégales.

  6. Par le biais du US CLOUD Act, les États-Unis se sont unilatéralement octroyé l'accès aux données stockées dans l'UE, où elles sont régies par le droit communautaire. La Commission européenne, au lieu de s'opposer à ce que les États-Unis étendent ainsi leur juridiction, a ouvert la voie en créant les conditions nécessaires à la saisie extraterritoriale de données. Les négociations en vue d'un accord légalisant l'accès direct des États-Unis aux données stockées dans l'UE, contournant ainsi la législation européenne en matière de protection des données, sont toujours en cours. Elles devraient être suspendues immédiatement. Les données destinées à l'application de la loi devraient être transférées aux États-Unis exclusivement par le biais d'un traité d'entraide judiciaire (MLAT).

Ces faiblesses et risques systémiques ne sont pas apparus au cours des dernières semaines, ils sont connus depuis de nombreuses années. Les États-Unis ont souvent fait pression sur l'UE pour qu'elle accepte des transferts de données sans protection adéquate. Par exemple, en menaçant de refuser les droits d'atterrissage aux transporteurs aériens (données PNR), ou les licences d'exploitation des banques (données FATCA) ou l'exclusion du programme américain d'exemption de visa (donnant aux autorités américaines l'accès à diverses données). L'UE a toujours accepté docilement cette situation et a donné la priorité aux relations diplomatiques sur les droits de ses propres citoyens. Il est clair que cela n'est plus possible dans les circonstances actuelles.

Les politiques de la nouvelle administration américaine devraient inciter l'UE à agir. Tout comme l'UE prend des mesures pour réduire les risques et devenir plus autonome dans des domaines tels que le commerce ou la défense, elle devrait revoir d'urgence les dispositions relatives aux transferts de données de part et d'autre de l'Atlantique. Cela créera probablement des situations difficiles, mais c'est le résultat malheureux de deux décennies d'ignorance des signes avant-coureurs.

Compte tenu de ce qui précède, je vous demande de bien vouloir répondre aux questions suivantes :

Êtes-vous d'accord pour dire que, dans les circonstances actuelles, les dispositions existantes pour les transferts transatlantiques de données à des fins commerciales et répressives sont inadéquates, dans de nombreux cas illégales, et qu'elles posent de graves risques pour les droits des citoyens et la sécurité de l'Europe ?

Avez-vous analysé la situation et, dans l'affirmative, allez-vous rendre les résultats publics ?

Quelles mesures immédiates comptez-vous prendre pour faire face aux risques décrits ci-dessus ? Veuillez préciser pour chacun des six domaines mentionnés.

Dans l'attente d'une réponse rapide, 

je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées,

Sophie in ’t Veld.

Ceci est une traduction du Substack hebdomadaire de Sophie in´t Veld. Les opinions exprimées dans cet article sont celles de l'auteur et ne reflètent pas nécessairement les positions officielles de Volt.

Elle a été élue membre du Parlement européen en 2004, puis réélue en 2009, 2014 et 2019 pour le D66 hollandais. Pour les élections européennes de 2024, elle était tête de liste de Volt Belgique.

Protection de nos données

Ce que prévoit notre règlementation européenne.

Lire l'article