La décision d'adéquation qui autorise le transfert de données vers les Etats-Unis va-t-elle tomber bientôt, et si oui, avec quelles conséquences ?
Comme vous l'avez certainement déjà lu, le président de la commission LIBE du Parlement européen a demandé au début du mois à la Commission européenne de réévaluer le Data Privacy Framework (DPF) à la lueur de la décision de Donald Trump de mettre fin au mandat de tous les membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB), qui n'a plus le quorum nécessaire pour fonctionner. Le PCLOB est au coeur du DPF puisque c'est ce comité qui est censé s'assurer du plein respect des droits des Européens dont les données sont importées aux USA et sont susceptibles d'être scrutées par des services de renseignement. Sans lui, la Cour de justice de l'Union européenne constaterait sans aucune difficulté que les conditions ne sont pas réunies pour éviter au DPF le même sort que le Privacy Shield invalidé par sa décision Schrems II.
Pour le moment, les CNIL européennes sont discrètes sur le sujet, et on les comprend. Mais il en est une qui vient de sortir du bois : la Datatilsynet norvégienne publie en effet un communiqué dans lequel elle conseille aux responsables de traitement d'anticiper une possible annulation du DPF (la Norvège a intégré le RGPD dans son droit national en tant que pays membre de l'EEE).
"Le conseil le plus important pour votre entreprise est d'avoir une stratégie de sortie pour savoir quoi faire si vous ne pouvez plus transférer des données personnelles aux États-Unis de la même manière qu'aujourd'hui. Il convient également de noter que l'utilisation des services de cloud américains sur le sol européen peut être compromise si la décision d'adéquation est abrogée", écrit l'autorité norvégienne.
"Si une décision d'adéquation est abrogée, il n'y aura probablement pas de période de transition", prévient-elle aussi.
Certes, la Datatilsynet se veut optimiste. Elle "comprend que l'intention est de nommer de nouveaux membres du conseil d'administration au sein du PCLOB", et elle assure que la situation ne deviendra problématique que si la vacance du comité dure "très longtemps" (pour info, les membres démocrates du PCLOB viennent de déposer un recours en justice pour exiger le respect de leur nomination, donc la situation pourrait effectivement trainer le temps que les recours aboutissent ou s'épuisent).
Néanmoins, elle dit aussi qu'avec ou sans PCLOB, "nous nous attendons à ce que ces règles [du DPF] soient tôt ou tard contestées devant la Cour de justice de l'Union européenne" - ce qui en réalité est déjà le cas, par le député français Philippe Latombe. "Il est important d'en avoir conscience lorsque vous achetez des services américains".
Dit autrement, et en prenant moins de gants qu'elle, le message de l'autorité norvégienne est le suivant : continuez à acheter du cloud américain si vous le voulez, mais ne venez surtout pas pleurer quand ça ne sera à nouveau plus légal.
