Source: noyb.eu (billet de blog de Max Schrems). Contexte: l’auteur estime que l’instabilité croissante du système juridique américain et une hostilité ouverte envers l’UE mettent en péril les transferts de données UE–US. Les mécanismes actuels, TADPF et SCCs/BCRs, reposent sur un patchwork fragile de textes, pratiques et jurisprudences; la défaillance d’un seul élément pourrait faire s’effondrer l’ensemble du dispositif ⚖️.
Premier point de rupture probable: indépendance de la FTC. Une affaire devant la Cour suprême (Trump v. Slaughter) pourrait consacrer la théorie de l’exécutif unitaire, rendant inconstitutionnelles les autorités exécutives réellement indépendantes. Or le TADPF s’appuie sur la FTC comme autorité indépendante pour l’application, exigence correspondant à l’article 8(3) de la Charte des droits fondamentaux de l’UE. Un arrêt attendu au plus tard en juin/juillet 2026 pourrait remettre en cause ce pilier. Des bascules vers SCCs ou BCRs sont évoquées, mais avec des questions majeures sur les données déjà transférées 🔒.
Deuxième point de rupture: la Data Protection Review Court (DPRC). Cette instance n’est pas une véritable cour, mais un groupe au sein de l’exécutif créé par EO 14086. Si la Cour suprême invalide l’indépendance d’organes exécutifs, l’indépendance revendiquée par la DPRC pourrait être affectée. Les TIAs qui fondent l’usage de SCCs/BCRs aux États-Unis s’appuient souvent sur EO 14086 et la DPRC; sans ces éléments, il ne resterait que l’article 49 du RGPD pour des transferts strictement nécessaires (par ex. commandes, emails), tandis que l’externalisation vers des cloud/SaaS US manquerait d’assise juridique 🚨.
Troisième point de rupture: la fragilité d’EO 14086 elle-même. L’auteur rappelle des menaces de révocation par Trump; si EO 14.148 n’a pas annulé EO 14086, elle a ordonné une revue des EOs de sécurité nationale. Des changements secrets ne sont pas exclus. Un post sur Truth Social a déclaré nuls les EOs signés à l’autopen (situation floue pour EO 14086). Le programme Project 2025 critique explicitement EO 14086; l’auteur note aussi que Dustin Carmack, lié à ce programme, est désormais lobbyiste de Meta. Conclusion: EO 14086 pourrait tomber à tout moment, entraînant TADPF, TIAs, SCCs et BCRs avec elle 🌐.
Autres faiblesses évoquées: similarité d’EO 14086 avec PPD-28 déjà rejeté par la CJUE (Schrems II), lourdeurs et faibles garanties de la DPRC au regard de l’article 47 de la Charte, principes commerciaux du TADPF sans exigence de base légale au sens du RGPD, interrogations sur l’indépendance du PCLOB et la dépendance à des pratiques non écrites. L’auteur appelle les gouvernements et responsables de traitement de l’UE à se préparer à des chocs imminents et, à long terme, à limiter les transferts lorsque des fournisseurs US ont la garde ou le contrôle des données, privilégiant des offres empêchant techniquement tout accès US; il estime que la solution réaliste actuelle est de basculer vers des fournisseurs européens. Il s’agit d’une analyse juridique visant à alerter sur les risques de conformité des transferts transatlantiques.
🔗 Source originale : https://noyb.eu/en/eu-us-data-transfers-time-prepare-more-trouble-come