Créé dans le cadre du règlement général sur la protection des données (RGPD), le Comité européen de la protection des données (EDPB) est l’organe européen chargé de veiller à l’application cohérente des règles de protection des données dans l’Union européenne.
L’EDPB rassemble les autorités nationales de protection des données des États membres et intervient régulièrement lorsque des projets législatifs ou des politiques publiques peuvent avoir un impact sur les droits des citoyens européens en matière de données personnelles.
La présidente de l’EDPB, Anu Talus, a récemment interpellé la Commission européenne au sujet des évolutions envisagées par les autorités américaines concernant le fonctionnement du système d’autorisation de voyage électronique ESTA.
Dans une lettre datée du 10 mars 2026, adressée aux commissaires européens chargés de la justice et des affaires intérieures, Anu Talus indique avoir pris connaissance du projet de révision du processus ESTA, qui permet aujourd’hui aux ressortissants des 42 pays participant au Visa Waiver Program, dont la majorité des États membres de l’Espace économique européen, de se rendre aux États-Unis pour un séjour de courte durée sans avoir à solliciter de visa.
ESTA : des données personnelles plus nombreuses demandées aux voyageurs
Dans son courrier, l’organisme européen indique que la réforme envisagée aux États-Unis pourrait entraîner la collecte ou la divulgation d’un volume important de données personnelles concernant les voyageurs européens.
Parmi les informations susceptibles d’être demandées figureraient notamment des éléments relatifs à l’activité des demandeurs sur les réseaux sociaux au cours des cinq dernières années. Le projet pourrait également conduire à la collecte de certaines données concernant les membres de la famille du voyageur, même lorsque ces informations ne sont pas directement liées au déplacement envisagé.
Cette proposition permettrait la collecte, et/ou exigerait la divulgation, d’un volume significatif de données personnelles concernant des personnes de l’Espace économique européen, y compris des informations sur leur activité sur les réseaux sociaux au cours des cinq dernières années, ainsi que des données personnelles relatives à des membres de leur famille, qui ne sont pas liées au voyage du demandeur d’ESTA.
Anu Talus – Présidente du Comité européen de la protection des données (EDPB)
Le Comité souligne par ailleurs que les autorités américaines envisagent de rendre obligatoire la soumission des demandes d’ESTA via l’application mobile officielle mise à disposition par les U.S. Customs and Border Protection, ce qui remplacerait la possibilité actuelle de déposer une demande par l’intermédiaire du site internet esta.cbp.dhs.gov.
Pour l’organisme européen, ces évolutions soulèvent des interrogations sur la manière dont les données personnelles des citoyens de l’Espace économique européen seraient collectées, utilisées et conservées…
Des interrogations sur l’exercice des droits des citoyens européens
Au-delà de la nature des informations collectées, le Comité européen de la protection des données s’interroge également sur les garanties dont disposeraient les voyageurs européens pour exercer leurs droits en matière de protection des données.
L’organisme estime en particulier que la réforme envisagée pourrait soulever des enjeux importants pour la protection des droits fondamentaux des personnes concernées.
Cette proposition soulève des préoccupations importantes pour la protection du droit fondamental à la protection des données des personnes de l’Espace économique européen.
Anu Talus – Présidente du Comité européen de la protection des données (EDPB)
Dans ce contexte, le Comité invite la Commission européenne à préciser si elle a déjà pris, ou envisage de prendre, des mesures face à ces évolutions.
« Le Comité européen de la protection des données vous serait reconnaissant d’indiquer si la Commission européenne a pris, ou prévoit de prendre, des mesures à cet égard », écrit l’organisme.
L’EDPB suggère notamment que l’exécutif européen interroge les autorités américaines sur la possibilité pour les citoyens européens d’exercer effectivement leurs droits en matière de protection des données dans le cadre du droit américain, notamment au titre du Privacy Act, ainsi que sur la durée de conservation des informations collectées dans le cadre du processus ESTA.
La coopération UE–États-Unis sur la sécurité aux frontières en toile de fond
La lettre évoque également les discussions en cours entre l’Union européenne et les États-Unis autour d’un cadre de coopération baptisé “Enhanced Border Security Partnerships”.
Selon l’EDPB, ces négociations, ainsi que les accords qui pourraient être conclus entre les États membres et les autorités américaines, pourraient avoir des conséquences importantes pour la protection des données personnelles.
L’accord-cadre, ainsi que les accords individuels entre les États membres et les États-Unis, pourraient avoir un impact significatif sur la protection des droits fondamentaux, en particulier sur le droit à la protection des données personnelles.
Anu Talus – Présidente du Comité européen de la protection des données (EDPB)
Dans ce contexte, le Comité européen de la protection des données indique se tenir prêt à coopérer avec les services de la Commission européenne afin de fournir des informations complémentaires sur ces enjeux.
