Transferts vers les USA

L’EDPB se félicite des améliorations apportées par le cadre UE-États-Unis sur la protection des données, mais des inquiétudes subsistent

 

Après les remarques de la commission des libertés civiles de la justice et des affaires intérieures du Parlement européen Lien, c’est au tour de l’EDPB de faire le point sur le projet d’adéquation des USA.

Bruxelles, 28 février

L’EDPB a adopté son avis sur le projet de décision d’adéquation concernant le cadre de protection des données à caractère personnel entre l’UE et les États-Unis. L’EDPB accueille favorablement les améliorations substantielles telles que l’introduction d’exigences reflétant les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignement américains et le nouveau mécanisme de recours pour les personnes concernées de l’UE.

En même temps, il exprime des préoccupations et demande des clarifications sur plusieurs points. Ceux-ci concernent, en particulier, certains droits des personnes concernées, les transferts ultérieurs, le champ d’application des exemptions, la collecte temporaire de données en masse et le fonctionnement pratique du mécanisme de recours. L’EDPB apprécierait que non seulement l’entrée en vigueur mais aussi l’adoption de la décision soient conditionnées à l’adoption de politiques et de procédures actualisées pour mettre en œuvre l’Executive Order 14086 par toutes les agences de renseignement américaines. L’EDPB recommande à la Commission d’évaluer ces politiques et procédures mises à jour et de partager son évaluation avec l’EDPB.

Andrea Jelinek, présidente de l’EDPB, a déclaré :  » Un niveau élevé de protection des données est essentiel pour sauvegarder les droits et libertés des individus de l’UE. Tout en reconnaissant que les améliorations apportées au cadre juridique américain sont significatives, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées afin de garantir la pérennité de la décision d’adéquation. Pour la même raison, nous pensons qu’après le premier examen de la décision d’adéquation, des examens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer. »

Le projet de décision d’adéquation, publié par la Commission européenne le 13 décembre 2022, est basé sur le cadre de protection des données (DPF) UE-États-Unis – censé remplacer le Privacy Shield invalidé par la CJUE dans l’arrêt Schrems II. L’élément clé du DPF est constitué par les principes du cadre UE-États-Unis de protection des données, qui ont été publiés par le ministère américain du commerce. Le DPF n’est applicable qu’aux organisations américaines qui se sont auto-certifiées. L’EDPB a maintenant adopté son avis sur le projet de décision, qui prend en compte à la fois les aspects commerciaux et l’accès et l’utilisation des données par les autorités publiques américaines.

En ce qui concerne les aspects commerciaux, l’EDPB se félicite d’un certain nombre de mises à jour apportées aux principes du DPF. Il note également qu’un certain nombre de principes restent essentiellement les mêmes que dans le cadre du Privacy Shield. À ce titre, certaines préoccupations demeurent, par exemple, en ce qui concerne certaines exemptions au droit d’accès, l’absence de définitions clés, le manque de clarté quant à l’application des principes du DPF aux sous-traitants, la large exemption au droit d’accès pour les informations accessibles au public, et l’absence de règles spécifiques sur la prise de décision automatisée et le profilage. L’EDPB réaffirme également que le niveau de protection ne doit pas être affaibli par les transferts ultérieurs. Il invite donc la Commission à préciser que les garanties imposées par le destinataire initial à l’importateur dans le pays tiers doivent être effectives au regard de la législation du pays tiers, avant tout transfert ultérieur.

En outre, l’EDPB demande à la Commission de clarifier la portée des exemptions concernant l’obligation d’adhérer aux principes du DPF et souligne l’importance d’une surveillance et d’une application efficaces du DPF. Ces aspects seront suivis de près par l’EDPB, ainsi que l’efficacité des voies de recours offertes aux personnes concernées de l’UE dont les données sont traitées en violation du RGPD.

En ce qui concerne l’accès du gouvernement aux données transférées aux États-Unis, l’EDPB reconnaît les améliorations significatives apportées par l’Executive Order (EO) 14086. L’EO introduit les concepts de nécessité et de proportionnalité en ce qui concerne la collecte de données par les services de renseignement américains (renseignement électromagnétique).

En outre, le nouveau mécanisme de recours crée des droits pour les individus de l’UE et est soumis à l’examen de la Commission de surveillance de la vie privée et des libertés civiles (PCLOB). Le PE consacre également davantage de garanties pour assurer l’indépendance de la Cour de révision de la protection des données (CRPD), par rapport au mécanisme précédent du médiateur et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées.

L’EDPB souligne qu’une surveillance étroite est nécessaire concernant l’application pratique des principes de nécessité et de proportionnalité nouvellement introduits. Une plus grande clarté est également nécessaire concernant la collecte temporaire en vrac et la conservation et la diffusion ultérieures des données collectées en vrac.

L’EDPB s’inquiète également de l’absence d’obligation d’autorisation préalable par une autorité indépendante pour la collecte de données en masse en vertu de l’Executive Order 12333, ainsi que de l’absence de contrôle indépendant systématique ex post par un tribunal ou un organe indépendant équivalent.

En ce qui concerne l’autorisation indépendante préalable de la surveillance au titre de la section 702 de la FISA, le PCLOB regrette que la Cour FISA ne contrôle pas la conformité avec l’Executive Order 14086 lorsqu’elle certifie des programmes autorisant le ciblage de personnes non américaines, alors même que les autorités de renseignement qui exécutent le programme sont liées par celui-ci. Des rapports du PCLOB sur la manière dont les garanties de l’EO 14086 seront mises en œuvre et comment ces garanties sont appliquées lorsque des données sont collectées en vertu de la section 702 de la FISA et de l’EO 12333 seraient particulièrement utiles.

En ce qui concerne le mécanisme de recours, l’EDPB reconnaît les garanties supplémentaires prévues, telles que le rôle des avocats spéciaux et l’examen du mécanisme de recours par le PCLOB. En même temps, l’EDPB est préoccupé par l’application générale de la réponse standard du DPRC notifiant au plaignant que soit aucune violation couverte n’a été identifiée, soit une détermination exigeant une remédiation appropriée a été émise, d’autant plus que cette décision ne peut pas faire l’objet d’un appel. L’EDPB invite donc la Commission à surveiller de près le fonctionnement pratique de ce mécanisme.

 

A.R