Newsletters

Décryptage

Ce que l'arrivée de Trump pourrait changer pour la protection des données personnelles

Parmi ses nombreuses mesures, Donald Trump a ordonné la démission de trois membres démocrates du Privacy and Civil Liberties Oversight Board, un comité qui sous-tend la légalité du Data Privacy Framework, le texte qui autorise le transfert de données personnelles des Européens vers les Etats-Unis. 

Alice Vitard
Trump signant un décret
The White House
Trump signant un décret

En l'espace de quelques heures, Donald Trump – le nouveau président des Etats-Unis fraîchement investi – a abrogé de nombreux executive orders (l'équivalent d'un décret présidentiel) et pris des mesures, dont certaines touchent la protection des données personnelles aux Etats-Unis mais également dans l'Union européenne. 

La vie privée, un obstacle au développement de l'IA

Le 20 janvier, Donald Trump a ainsi annulé le décret 14110, signé par son prédécesseur Joe Biden en octobre 2023, qui établissait des directives de sécurité pour l'intelligence artificielle. Le texte exigeait que les technologies d'IA respectent les principes fondamentaux de la vie privée en garantissant que les données sensibles collectées soient sécurisées et utilisées dans le cadre légal uniquement. Il obligeait également les développeurs d'algorithmes effectuent des tests approfondis pour évaluer la sécurité de leurs systèmes pour détecter les biais, les vulnérabilités et les failles. Les résultats devaient être partagés par le gouvernement. 

Le président a justifié cette abrogation en affirmant que les régulations précédentes entravaient l'innovation. Pour "renforcer la domination des Etats-Unis dans l'IA", il a adopté une nouvelle ordonnance en donnant "180 jours" aux autorités compétentes pour établir "un plan d'action" qui doit "promouvoir l'épanouissement humain, la compétitivité économique et la sécurité nationale". Dans ce cadre, il a présenté le programme "Stargate", financé par des fonds privés d'un montant attendu de 500 milliards de dollars. 

"Déréguler l'intelligence artificielle"

"La révocation de ce décret montre la volonté de Donald Trump de déréguler l'intelligence artificielle afin de permettre un développement sans entrave de cette technologie", réagit Ariane Mole, avocate associée au sein du cabinet Bird & Bird, spécialisée dans le droit de la protection des données, interrogée par L'Usine Digitale. Ce qui tranche avec la vision européenne illustrée par l'Artificial Intelligence Act (AI Act), dont plusieurs articles visent à protéger les données personnelles. C'est ainsi que l'article 12 du règlement exige des fournisseurs qu'ils conservent des journaux détaillés des activités de leurs systèmes d'IA "à haut risque". Ces registres doivent être stockés de manière à assurer la confidentialité et la sécurité des données. 

Donald Trump s'est également attaqué à certains comités. Le 23 janvier, il a demandé la démission des trois membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB), un organisme chargé de veiller au respect des libertés civiles et la vie privée dans les programmes de lutte contre le terrorisme aux Etats-Unis. Il s'agit de la présidente Sharon Bradford Franklin, ainsi que de Edward W. Felten et Travis. Les membres sont nommés par le président des États-Unis, avec l'approbation du Sénat.

Le PCLOB, un comité qui sous-tend le DPF

"Dans le cadre du Data Privacy Framework, cette agence s'est vue donner un rôle important de contrôle", explique Isabelle Roccia, managing director Europe de l'International Association of Privacy Professionals (IAPP), sollicitée par L'Usine Digitale. Dans le détail, le PCLOB a rempli deux missions principales dans le cadre du Data Privacy Framework, ce texte qui encadre les flux de données personnelles des Européens vers les Etats-Unis. Il doit veiller à ce que les activités des agences de renseignement américaines soient limitées aux objectifs définis et restent proportionnés, par le biais d'évaluations régulières. Plus important, ce comité joue également un rôle indirect de supervision du Data Protection Review Court, un tribunal chargé d’examiner les plaintes déposées par des individus étrangers, y compris des citoyens européens. Ce dernier a été créé spécifiquement dans le cadre du DPF. 

"Le PCLOB soutient certains engagements faits par le gouvernement américain dans l'implémentation du DPF", résume Isabelle Roccia. Elle tempère tout de même l'ordre de démission pris par Trump : "on peut imaginer que s'il avait voulu complètement supprimer le PCLOB, il l'aurait fait". "Nous pouvons supposer qu'il va remplacer les membres démocrates par des membres républicains", ajoute-t-elle. 

Déplumé, Le PCLOB est bloqué

Or, à l'heure actuelle, le fonctionnement du comité est bloqué car il ne reste qu'un seul membre : Beth Ann William. Pour que ce comité prenne une décision, un quorum est nécessaire, précise l'experte de l'IAPP. Au moins trois membres doivent ainsi être présents. Pour elle, ces démissions doivent être analysées comme "un signal" qui ne doivent pas directement être vues comme une volonté de Donald Trump de sabrer le DPF. En tout cas, pour l'instant.

"D'un point de vue européen, c'est sûr que l'impact de cette décision sur le DPF se pose", note-t-elle. Elle ajoute : "je pense que la Commission européenne va être obligée d'examiner à nouveau ce texte si jamais il y a des changements significatifs du côté des Etats-Unis". Et conclut, "la décision du PCLOB n'est pas encore à ce niveau significatif, à mon sens, pour relancer un tel examen". Avis partagé avec la Commission européenne qui, par la voix de son porte-parole Markus Lambert, a fait savoir que les règles convenues avec les Etats-Unis "restaient applicables quels que soient les membres du PCLOB"

Un risque pour les entreprises européennes

Sans grande surprise, Max Schrems, président d'honneur de l'association Noyb et militant pour la défense de la vie privée, a pris la parole dans un billet de blog. "Cet accord [le DPF] a toujours été construit sur du sable, mais le lobby des entreprises de l'UE et la Commission européenne l'ont voulu de toute façon. Au lieu d'une limitation juridique stable, l'UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes", écrit-il.

Or, rappelle-t-il, une troisième invalidation du cadre encadrant les flux de données outre-Atlantique a des conséquences majeures pour les entreprises européennes. En effet, sauf à prendre de nouvelles mesures, elles ne pourraient plus utiliser de technologies américaines, comme le cloud. C'est en effet une inquiétude, réagit l'avocate qui rappelle "le cataclysme" provoqué par les annulations successives du Safe Harbor en 2015, puis du Privacy Shield en 2020. "Si le DPF est annulé, c'est problématique, précise-t-elle. Mais depuis l'invalidation des précédents textes, des mesures ont été prises pour faire en sorte, par exemple, que les données soient stockées sur le territoire européen."

Un recours pendant contre le DPF

Il convient de préciser que l'accord entre l'Union européenne et les Etats-Unis ne sera pas immédiatement annulé si Donald Trump continue sur la voie qu'il semble avoir empruntée en matière de protection des données. La Commission européenne devra décider d'abroger l'accord, ou la Cour de justice de l'Union européenne si un recours dans ce sens est déposé.

En septembre 2023, le député Philippe Latombe avait contesté le DPF, estimant qu'il ne respectait ni le Règlement général sur la protection des données (RGPD), ni la Charte des droits fondamentaux. Son recours en référé avait été rejeté par la justice européenne jugeant que le requérant n'avait pas démontré l'existence d'un préjudice grave et irréparable justifiant une suspension immédiate. Cette décision ne préjugeait pas de l'issue du recours sur le fond, qui est toujours en cours d'examen.

Il reste donc à voir jusqu'où Donald Trump ira et si ses prochaines mesures risquent de fragiliser le DPF. Précisons qu'il n'a pas grand intérêt à voir annuler ce texte qui légalise le recours à des technologies américaines par les entreprises européennes, lorsqu'elles traitent des données personnelles.  

À lire aussi

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay