Le 1er juillet, le bureau du Premier ministre espagnol a transmis une directive à plusieurs entreprises publiques : ne signez plus aucun nouveau contrat avec la société américaine d’analyse de données Palantir. Une semaine plus tôt, la Cour suprême des États-Unis statuait par 6 voix contre 3 dans l’affaire Trump v. Slaughter que l’「indépendance」 de la Federal Trade Commission (FTC) était inconstitutionnelle. À Vienne, l’organisation de défense de la vie privée noyb a aussitôt déclaré : le socle juridique des accords de transfert de données entre l’UE et les États-Unis — 23 ans de diplomatie numérique — est « juridiquement mort ».
Deux événements qui se sont produits de part et d’autre de l’Atlantique, sans lien apparent. Mais lorsqu’on les superpose, une ligne narrative claire se dessine : l’Europe ne se contente plus d’écrire des lois, de publier des déclarations et d’exprimer des « préoccupations ». Elle passe à l’action.
Figure : La société américaine Palantir à Davos, mai 2022. Source : AFP / Clash Report
Un décret qui claque la porte : pourquoi l’Espagne dit « non » à Palantir
Commençons par l’Espagne. Selon une enquête exclusive du quotidien espagnol El Confidencial, la Moncloa (le bureau du Premier ministre) a émis, via la holding publique SEPI, une instruction sans équivoque à l’intention de Telefónica, Indra, Navantia et d’autres entreprises publiques stratégiques : cessez toute collaboration future avec Palantir.
Ces entreprises ne sont pas des sociétés ordinaires. Telefónica est le premier opérateur télécom espagnol, au cœur de l’infrastructure de communication nationale. Indra est une entreprise de technologie de défense, impliquée dans les systèmes de commandement militaire. Navantia est un constructeur naval militaire, qui bâtit des frégates et des sous-marins. En langage courant, ces entités sont les « tuyaux » de la sécurité nationale espagnole — et Palantir est une entreprise dont le métier consiste à transformer l’analyse de données en produit commercial, à extraire des schémas, des corrélations et des prédictions à partir de masses d’informations. Ce que signifie ouvrir ces « tuyaux » à une société américaine, le gouvernement espagnol l’a visiblement compris.
La directive a déjà produit des effets concrets. Un projet de collaboration presque finalisé entre Navantia et Palantir a été interrompu ; l’accord de coopération entre la Guardia Civil et Palantir a été bloqué par le ministre de l’Intérieur en personne ; l’ancien Premier ministre français Sébastien Lecornu a déclaré publiquement le 10 juin que la France cesserait également de travailler avec cette entreprise. En Allemagne, l’intérêt se porte de plus en plus sur l’alternative française ChaosVision.
Au sein de l’armée espagnole, la décision ne fait pas l’unanimité. Palantir détient encore un contrat avec le Centre de renseignement des forces armées espagnoles (CIFAS), d’une valeur de 16,5 millions d’euros, qui arrive à échéance en novembre prochain. Les chefs d’état-major de l’armée de terre et de la marine font pression sur le ministre de la Défense pour qu’il renouvelle ce contrat, avec un argument simple : le système fonctionne vraiment bien. Mais la Moncloa n’a toujours pas cédé.
Pourquoi l’Espagne a-t-elle « retourné sa veste » à ce moment précis ? L’enquête originale avance deux pistes. Primo, le cofondateur de Palantir Peter Thiel et son PDG Alex Karp entretiennent des liens politiques et financiers profonds avec l’administration Trump, alors que le Premier ministre Pedro Sánchez est en opposition frontale avec le nouveau gouvernement américain sur plusieurs dossiers. Secundo, le gouvernement espagnol a déjà commencé à investir massivement dans ses propres alternatives technologiques — il a validé un investissement de 115 millions d’euros dans la start-up catalane de semi-conducteurs Openchip, dans le cadre d’un projet de méga-usine à 5 milliards d’euros. Le bannissement n’est pas un geste isolé : il libère de l’espace pour une « alternative nationale ».
Figure : noyb compare les accords de transfert de données UE-USA à un « château de cartes ». Source : noyb.eu
Un arrêt qui fait tout basculer : comment la Cour suprême américaine a « blessé » la souveraineté numérique européenne
Tournons-nous maintenant vers Washington. Pour mesurer l’onde de choc de cet arrêt, il faut rappeler un point de droit fondamental : depuis 1995, le droit européen interdit de transférer librement les données personnelles des citoyens de l’UE vers un pays tiers n’offrant pas un niveau de protection « adéquat ». Autrement dit, vos e-mails envoyés depuis Paris sur Gmail, votre réservation Airbnb depuis Milan, votre utilisation de Salesforce depuis Berlin — la légalité du stockage de ces données sur des serveurs américains dépend du jugement que l’UE porte sur la robustesse du système de protection des données aux États-Unis.
Pour contourner cet obstacle, trois « ponts » ont été construits entre l’Europe et l’Amérique : le Safe Harbour en 2000, le Privacy Shield en 2016, et le Data Privacy Framework en 2023. Les deux premiers ont été successivement invalidés par la Cour de justice de l’Union européenne (CJUE), au motif que les lois américaines sur la surveillance de masse étaient trop larges et que les citoyens européens n’y disposaient pas de recours judiciaire indépendant. Le troisième pont tient encore debout — mais il repose sur une clé de voûte fatale : l’indépendance de la FTC.
Dans le document de décision qui valide le Data Privacy Framework, la Commission européenne s’appuie sur la FTC en tant qu’« autorité de contrôle indépendante » à pas moins de 259 reprises. C’est un chiffre stupéfiant. Le droit constitutionnel de l’UE — article 16, paragraphe 2, du Traité sur le fonctionnement de l’UE et article 8, paragraphe 3, de la Charte des droits fondamentaux — exige noir sur blanc que l’autorité de surveillance en matière de protection des données soit indépendante. En l’absence de loi fédérale complète sur la vie privée aux États-Unis, l’indépendance de la FTC constituait pratiquement l’unique justification de l’acceptation par l’UE du caractère « adéquat » du système américain.
Puis la Cour suprême des États-Unis est intervenue. Le 29 juin, la majorité conservatrice a adopté, dans l’arrêt Trump v. Slaughter, la théorie dite de l’« exécutif unitaire » (unitary executive theory) et a jugé que l’indépendance de la FTC était inconstitutionnelle : le président peut désormais révoquer les commissaires de la FTC à tout moment, sans motif. Cela signifie que la FTC n’est plus une autorité « indépendante », mais une agence administrative que le président peut diriger directement. Pour l’UE, ces 259 occurrences sont devenues instantanément 259 brèches.
Le fondateur de noyb, Max Schrems — l’Autrichien qui a fait tomber les deux premiers « ponts » à coups de recours en justice — a publié une déclaration après l’arrêt : « Même selon la propre logique de la Commission européenne, le fondement de tout accord de transfert de données UE-USA est mort. Nous appelons la Commission à engager un processus ordonné de sortie des services cloud américains. Ce ne sera pas simple, mais c’est inévitable. »
Plus dévastateur encore : la logique de la Cour suprême ne se limite pas à la FTC. Si le principe selon lequel « une agence indépendante est inconstitutionnelle » est appliqué de manière générale — et c’est bien l’intention des juges conservateurs — alors la Data Protection Review Court (une entité interne au ministère de la Justice américain qui porte le nom de « cour » sans en être une) et le Privacy and Civil Liberties Oversight Board (PCLOB) se retrouvent tous deux confrontés au même problème de légitimité. Toute l’architecture de confiance de l’UE envers la protection des données américaine est un jeu de dominos.
Figure : Le bâtiment de la CJUE à Luxembourg, l’institution qui a deux fois invalidé les accords de transfert de données UE-USA. Source : noyb.eu
De l’anxiété à l’action : le tournant de la guerre froide numérique atlantique
Superposez ces deux événements et vous verrez émerger un changement de paradigme.
Au cours de la dernière décennie, la posture européenne en matière de souveraineté numérique pouvait se résumer à une « anxiété législative » : le RGPD a été adopté, le Digital Markets Act a été voté, l’AI Act est en cours de déploiement. Les textes de loi s’épaississent, mais l’exécution reste toujours en retard. Les géants américains de la tech continuent de dominer le marché européen, les données des citoyens de l’UE continuent de migrer massivement vers des serveurs américains, et la « souveraineté » reste largement confinée au papier.
Mais la première semaine de juillet 2026 a changé la donne. L’Espagne n’a pas publié de déclaration exprimant sa « préoccupation pour la sécurité des données ». Elle a directement coupé les relations d’affaires avec une entreprise technologique américaine clé — et pas seulement au niveau gouvernemental, mais en enjoignant aux entreprises privées sous contrôle public de faire de même. noyb a adressé une lettre formelle à la Commission européenne pour exiger l’ouverture d’une procédure de retrait — l’ONG n’a pas écrit un énième article pour expliquer que « le cadre pose problème ».
L’auteur de ces lignes ne pense pas qu’il s’agisse d’un hasard. Trois forces agissent simultanément :
Première force : l’« imprévisibilité » de l’administration Trump est devenue une certitude. Si l’Europe observait encore entre 2016 et 2020, l’attentisme a pris fin avec le retour de Trump à la Maison Blanche en 2025. Lorsqu’un président américain peut révoquer à sa guise les responsables des agences de régulation, renverser par décret les engagements politiques de ses prédécesseurs, et que sa Cour suprême fournit une caution constitutionnelle à tout cela, les décideurs européens ne peuvent plus partir du principe que « l’Amérique finira par se corriger elle-même ».
Deuxième force : la frontière entre sécurité des données et sécurité de défense est en train de disparaître. La raison centrale du bannissement de Palantir n’est pas l’atteinte à la vie privée, c’est la « sécurité nationale ». Ce qui inquiète l’Espagne, c’est le flux de renseignements militaires, de données de communication et d’informations policières. Quand la capacité d’analyse de données est en elle-même une arme, externaliser cette capacité revient à externaliser une partie de sa défense nationale. Ce n’est plus une question de conformité RGPD, c’est une question de souveraineté.
Troisième force : l’Europe construit sérieusement des alternatives. L’investissement espagnol dans Openchip, l’acquisition allemande de ChaosVision, la stratégie française de « cloud souverain » — l’Europe commence enfin à dépenser sérieusement pour bâtir ses « propres » solutions, au lieu de se contenter de dire qu’elle ne veut pas des solutions américaines. Quand un marché de substitution commence à se former, le « bannissement » cesse d’être une posture politique pour devenir un choix commercial viable.
Qui sont les antagonistes ?
Cette guerre froide numérique n’a pas de méchant unique, mais une ligne de front claire : d’un côté, l’expansion du pouvoir présidentiel américain sous la théorie de l’« exécutif unitaire » — un président qui peut contrôler à sa guise toutes les agences de régulation et de maintien de l’ordre, alors que l’UE a précisément besoin que ces agences soient « indépendantes » pour pouvoir leur faire confiance. De l’autre, une Europe qui bascule de la conformité passive au blocage actif — en coupant directement les dépendances par décret administratif et décision politique, sans passer par le lent cheminement des recours judiciaires.
Un détail révélateur : le décret espagnol a été transmis « silencieusement ». Le gouvernement n’a pas publié de communiqué de presse, n’a pas tenu de conférence de presse ; l’instruction a été relayée de manière confidentielle à travers les canaux internes de la SEPI. Cela montre précisément qu’une action sérieuse n’a pas besoin de mise en scène.
Et maintenant ?
À court terme, il n’y aura pas de « déconnexion » brutale des données. Même si noyb exige que la Commission européenne retire sa reconnaissance de l’adéquation de la protection des données américaine, la Commission choisira très probablement de temporiser, de négocier, de chercher des rustines techniques. L’article 49 du RGPD autorise les transferts de données nécessaires (réservation d’hôtel, paiement transfrontalier) : la plupart des activités commerciales quotidiennes ne s’arrêteront pas du jour au lendemain.
Mais à moyen terme — un à trois ans — le changement sera irréversible. Les entreprises européennes reçoivent déjà des avis juridiques : même si vous utilisez des clauses contractuelles types (CCT) plutôt que le Data Privacy Framework, votre « analyse d’impact » sur les transferts de données s’appuie généralement sur l’hypothèse d’indépendance de la FTC et du PCLOB. Ces analyses doivent maintenant être réécrites, et la conclusion de cette réécriture sera probablement : non, ça ne passe plus.
Max Schrems a été direct : « Nous appelons la Commission à engager un processus ordonné de sortie des services cloud américains. » Il a bien dit « cloud » — et plus de 70 % du marché européen du cloud est entre les mains d’entreprises américaines. La manœuvre ne sera pas facile, mais les propos de Schrems reflètent un consensus européen de plus en plus majoritaire : plutôt que de rafistoler sans fin une relation de confiance avec un partenaire en qui on n’a plus confiance, autant construire la sienne.
Le bannissement de Palantir par l’Espagne et l’abolition de l’indépendance de la FTC sont, au fond, la même logique à l’œuvre des deux côtés de l’Atlantique : le contrôle des infrastructures numériques est devenu, au même titre que le territoire, la défense et la monnaie, un attribut inaliénable de la souveraineté nationale. En juillet 2026, cette conviction est passée des textes de loi aux décrets administratifs.
Liens de référence :
- https://clashreport.com/world/articles/spain-orders-blacklist-of-us-tech-giant-palantir-from-public-and-private-companies-fsnc2z17gjv
- https://noyb.eu/en/us-supreme-court-just-blew-eu-us-data-transfers
- https://news.ycombinator.com/item?id=48762725
- https://lobste.rs/s/thkwcf
- https://therecord.media/supreme-court-decision-threatens-eu-us-data-sharing
- https://cybernews.com/security/trumps-ftc-eu-us-data-transfer-risk/