Les clients de l’UE envisagent de s'affranchir des grands fournisseurs de services Cloud américains
Le cloud US bientôt illégal en Europe ? Trump torpille l'accord de transfert de données UE-USA, après que les USA se soient livrés à une surveillance massive des utilisateurs européens
Récemment, le président américain Donald Trump a touché à l'autorité de contrôle de l'accord de transfert de données UE-USA. Selon Noyb, cette action interroge sur l'avenir du cloud US en Europe. En effet, si les arguments en faveur de l'accord UE-États-Unis s'effondrent, le cloud US deviendrait illégal. Selon le fondateur de Noyb, il est plus important que jamais que les entreprises européennes et autres organisations disposent d'un plan d'urgence si ce cas venait à se produire.
Les révélations de Snowden ont montré que les États-Unis se livrent à une surveillance de masse des utilisateurs de l'UE en récupérant des données personnelles auprès des grandes entreprises américaines. En conséquence, un rapport en 2020 a révélé que les Européens ne font pas confiance aux géants américains de la technologie pour leurs dossiers personnels. Le rapport, basé sur une enquête auprès de 4500 personnes au Royaume-Uni, en France et en Allemagne, a montré que les plus grandes inquiétudes concernent l'utilisation des données personnelles à des fins commerciales (51 %) et la possibilité de piratage (43 %).
Le "Privacy and Civil Liberties Oversight Board" (PCLOB) est la principale autorité de contrôle américaine pour ces lois. Les médias américains rapportent que des membres démocrates du PCLOB ont été démis de leurs fonctions et que leurs comptes de messagerie ont été fermés. Cela ramène le nombre de membres nommés en dessous du seuil nécessaire au fonctionnement du PCLOB. Le fait que le président américain ait simplement écarté des personnes d'une autorité (prétendument) indépendante remet en question l'indépendance de tous les autres organes de recours de l'exécutif aux États-Unis.
L'Union européenne s'est appuyée sur ces commissions et tribunaux américains pour estimer que les États-Unis assuraient une protection "adéquate" des données à caractère personnel. En s'appuyant sur le PCLOB et d'autres mécanismes, la Commission européenne permet aux données personnelles européennes de circuler librement vers les États-Unis dans ce que l'on appelle le "cadre transatlantique de protection des données personnelles" (TADPF).
Le PCLOB est le seul élément de "contrôle" pertinent de l'accord. Les autres éléments ne font que jouer le rôle d'organes de recours. Des milliers d'entreprises, d'agences gouvernementales ou d'écoles de l'UE s'appuient sur ces dispositions. Sans le TADPF, elles devraient cesser instantanément d'utiliser les fournisseurs américains de services cloud tels qu'Apple, Google, Microsoft ou Amazon. C'est pourquoi, Noyb se questionne sur les actions de Donald Trump.
En outre, les actions de Donald Trump interviennent alors que les risques de sécurité du cloud augmentent. Selon un rapport de mai 2024, 95 % des organisations subissent des violations du cloud, et 29 % déclarent que la violation a causé un préjudice "important". Parmi les risques de sécurité pour l'infrastructure cloud, les identités humaines et les services non sécurisées ainsi que les autorisations risquées (39 %) ont été en tête de liste. Des problèmes juridiques et règlementaires pourraient donc aggraver la situation pour les entreprises européennes.
Voici les principaux points qui poussent Noyb à cette réflection :
Le système de transfert de données UE-États-Unis : un mélange de lois européennes et américaines
D'une manière générale, la législation européenne interdit l'exportation de données à caractère personnel vers des pays extérieurs à l'UE depuis 1995, sauf en cas de nécessité absolue (par exemple, l'envoi d'un courrier électronique à un pays non membre de l'UE). Les données peuvent être envoyées à l'étranger si le pays tiers offre une protection "essentiellement équivalente" aux données personnelles des Européens.
Les États-Unis, en revanche, disposent de lois très strictes en matière de surveillance de masse (par exemple FISA702 ou EO 12.333), qui permettent au gouvernement américain d'accéder à toutes les données stockées chez Amazon, Meta, Microsoft, Google et toute autre entreprise américaine de la Big Tech sans motif valable ni approbation judiciaire individuelle. Par conséquent, la Cour de justice des Communautés européennes a estimé à deux reprises (Schrems I et Schrems II) que la législation américaine n'était pas "essentiellement équivalente". Cependant, Ursula von der Leyen a insisté pour faire passer un troisième accord UE-USA, appelé "cadre transatlantique de protection des données personnelles" (TADPF).
Les fondations du TADPF ne sont pas solides, selon Noyb
Le 10 juillet 2023, la Commission européenne a publié la décision d'exécution (UE) 2023/1795, adoptant officiellement le TADPF. Cette décision permettait à toute entreprise de l'UE de transférer librement des données à des fournisseurs américains, en dépit des lois de surveillance américaines. La Commission européenne s'est appuyée sur des décrets ou des lettres du gouvernement américain, y compris le PCLOB, pour conclure que les États-Unis sont "essentiellement équivalents". Toutefois, ces éléments ne sont pas reflétés dans les lois américaines et le droit codifié, car il n'y avait pas de majorité au Congrès américain pour adopter de telles lois.
On a longtemps critiqué le fait que le prochain président américain pourrait supprimer ces protections d'un simple trait de plume. Ce scénario se profile désormais à l'horizon. Dans sa décision, la Commission européenne a mentionné le PCLOB à 31 reprises pour expliquer pourquoi les États-Unis disposent de protections "essentiellement équivalentes". Le PCLOB est le seul organe de "contrôle" général qui vérifie si les services américains respectent effectivement les lois, les ordonnances et les autres promesses.
D'autres éléments de la législation américaine, comme les divers mécanismes de recours, exigent qu'un plaignant devienne actif. Les États-Unis ont traditionnellement bloqué l'accès à ces organes par le biais de diverses règles de "qualité pour agir", ce qui fait que pratiquement aucune action en justice n'a jamais été admise. Cela signifie que le PCLOB est le seul mécanisme de contrôle pertinent sur lequel le TADPF s'est appuyé.
Max Schrems, fondateur de Noyb, déclare :
L'indépendance des organes exécutifs remise en questionEnvoyé par Max Schrems
Contrairement aux autorités de protection des données de l'UE, la plupart des organes de contrôle américains sont des entités du pouvoir exécutif et ne sont donc pas indépendants. L'indépendance n'est souvent accordée que par le président, mais elle peut être révoquée ou annulée à tout moment. Nombre de ces concepts juridiques étranges résultent de l'incapacité structurelle des États-Unis à adopter une véritable législation.
Au lieu de cela, des domaines juridiques entiers sont simplement réglementés par des décrets présidentiels. Le fait que le président américain tente de révoquer purement et simplement des personnes remet en question l'idée d'organes exécutifs "indépendants", qui aurait pu être défendue dans les faits dès le départ. De nombreux autres éléments du TADPF, comme la Cour de contrôle de la protection des données, bénéficient de protections juridiques encore plus faibles que le PCLOB.
Voici la projection de Noyb concernant la situation :
45 jours pour le prochain point crucial
Dans l'un des premiers décrets que Donald Trump a signés début février 2025, il a décidé que toutes les décisions de Joe Biden en matière de sécurité nationale (y compris les décisions pertinentes sur lesquelles reposent les transferts entre l'UE et les États-Unis) seraient réexaminées et potentiellement supprimées dans un délai de 45 jours. Cela signifie que d'autres éléments sur lesquels le TADPF s'est appuyé pourraient s'effondrer en quelques jours.
Étant donné que l'ensemble de l'accord repose sur des décisions de l'exécutif de Joe Biden, Donald Trump pourrait supprimer tous les éléments clés de l'accord d'une simple signature, ce qui entraînerait des transferts de données instantanément illégaux entre l'UE et les États-Unis.
La Commission a manœuvré les entreprises de l'UE vers une falaise
Malgré tous les faits et les critiques du Parlement européen et des autorités de protection des données de l'UE, la Commission européenne a toujours affirmé que le TADPF était solide et sain. Le lobby des entreprises de l'UE a poussé à la conclusion d'un (ou de plusieurs) accord, aussi instable ou farfelu soit-il. De même, les grandes entreprises technologiques américaines voulaient rester sur le marché de l'UE sans aucune limitation technique en ce qui concerne l'accès du gouvernement américain.
Aujourd'hui, les grandes banques, les systèmes scolaires nationaux et les petites entreprises risquent de se retrouver dans une situation juridique où l'utilisation de produits américains de "cloud" sera bientôt illégale.
Les transferts de données entre l'UE et les États-Unis sont légaux pour l'instant, mais il faut s'y préparer
Une décision de l'administration américaine ne rendra pas instantanément les transferts américains illégaux. La décision de la Commission européenne est généralement légale tant qu'elle reste en vigueur et qu'elle n'est pas annulée par la Commission elle-même ou par la Cour de justice. Ainsi, même si la conclusion matérielle devient erronée, la décision existe toujours formellement jusqu'à ce qu'elle soit annulée. Toutefois, si des éléments clés sur lesquels l'UE s'est appuyée ne fonctionnent pas, l'UE devra annuler l'accord.
La Commission européenne en mauvaise posture
La Commission européenne s'est mise dans une situation délicate, non seulement du point de vue de la crédibilité, mais aussi du point de vue diplomatique. Si elle réagit rapidement et annule le TADPF, l'oligarchie technologique américaine s'écriera que l'UE "se moque" des grandes entreprises technologiques américaines. L'administration Trump pourrait y voir une raison d'entamer une première grande bataille avec l'UE.
Cependant, ne pas agir et ne pas avertir officiellement les entreprises, les organismes publics et les autres organisations de l'UE qui envoient des données aux États-Unis semble également problématique. L'avenir du TADPF pourrait être de très courte durée.
Une version européenne du débat américain sur TikTok ?
Alors que les États-Unis ont longtemps minimisé les craintes des Européens concernant la circulation des données personnelles vers les États-Unis et leur utilisation à des fins de surveillance de masse, ils ont soudainement changé d'avis une fois que leurs propres données ont été agrégées par TikTok. D'une part, une interdiction ou une acquisition obligatoire des Big Tech américaines en Europe serait juridiquement impossible. Les entreprises américaines seraient protégées contre l'adoption par l'UE d'une mesure équivalente à une "interdiction de TikTok".
D'autre part, l'obligation de garder les données de l'UE hors des mains du gouvernement américain est la règle par défaut de la législation européenne depuis 1995. Ce sera également le cas lorsque la Commission européenne annulera l'accord entre l'UE et les États-Unis. Les grandes entreprises technologiques américaines devront alors protéger leurs centres de données européens contre l'accès de leurs sociétés mères américaines.
À propos de Noyb
Noyb est une ONG financée par des dons et basée à Vienne, en Autriche, qui travaille à l'application des lois sur la protection des données, en particulier le RGPD et la directive ePrivacy. Actuellement, une équipe de plus de 20 experts juridiques et informatiques de toute l'Europe travaille à garantir que le droit fondamental à la vie privée est respecté par le secteur privé. Plus de 5 000 membres soutiennent l'organisation.
Source : Noyb
Et vous ?
Pensez-vous que ces craintes de Noyb sont crédibles ou pertinentes ?
Voir aussi :
Répondre avec citation
Partager