Bruxelles, le 5 novembre – Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen* du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau** sur l’accès aux données pour une application efficace de la loi.
L’EDPB salue les efforts déployés par les autorités américaines et la Commission européenne pour mettre en œuvre le CPD et prend note de plusieurs évolutions intervenues depuis l’adoption de la décision d’adéquation en juillet 2023.
En ce qui concerne les aspects commerciaux,c’est-à-dire l’application et le respect des exigences applicables aux entreprises autocertifiées au titre de ce cadre, l’EDPB note que le ministère américain du commerce a pris toutes les mesures pertinentes pour mettre en œuvre le processus de certification. Il s’agit notamment de développer un nouveau site web, de mettre à jour les procédures, de nouer le dialogue avec les entreprises et de mener des activités de sensibilisation.
En outre, le mécanisme de recours pour les citoyens de l’UE a été mis en œuvre et des orientations complètes sur le traitement des plaintes ont été publiées de part et d’autre de l’Atlantique. Toutefois, le faible nombre de plaintes reçues jusqu’à présent dans le cadre du CPD souligne l’importance pour les autorités américaines de lancer des activités de surveillance concernant la conformité des entreprises certifiées par le CPD avec les principes fondamentaux du CPD.
L’EDPB encourage les autorités américaines à élaborer des orientations clarifiant les exigences que les entreprises certifiées par le CPD devraient respecter lorsqu’elles transfèrent des données à caractère personnel qu’elles ont reçues d’exportateurs de l’UE. Des directives des autorités américaines sur les données relatives aux ressources humaines seraient également les bienvenues. L’EDPB se déclare disposé à fournir un retour d’information sur ces documents d’orientation.
En ce qui concerne l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’UE vers des organisations certifiées, l’EDPB s’est concentré sur la mise en œuvre effective des garanties introduites par le décret présidentiel 14086 dans le cadre juridique américain, telles que les principes de nécessité et de proportionnalité et le nouveau mécanisme de recours. Le comité estime que les éléments du mécanisme de recours sont en place; dans le même temps, elle renouvelle son appel à la Commission européenne pour qu’elle contrôle le fonctionnement pratique des différentes garanties, par exemple la mise en œuvre des principes de nécessité et de proportionnalité. L’EDPB recommande également à la Commission de suivre les évolutions futures liées à la loi américaine sur la surveillance du renseignement étranger, en particulier compte tenu de la portée étendue de l’article 702 après sa réautorisation par le Congrès des États-Unis au début de cette année.
Zdravko Vukić, vice-président du comité européen de la protection des données, a déclaré: «Noussommes heureux que des progrès aient été accomplis depuis l’adoption de la décision d’adéquation grâce à la coopération fructueuse entre les autorités américaines, la Commission européenne et le comité européen de la protection des données. Dans le même temps, des améliorations sont encore possibles et nous devrions continuer à travailler ensemble pour maintenir un niveau élevé de protection des données et préserver les droits et libertés des citoyens de l’UE.»
Enfin, le comité recommande que le prochain réexamen de la décision d’adéquation UE-États-Unis ait lieu dans un délai de trois ans ou moins.
La déclaration sur les recommandations du groupe de haut niveau sur l’accès aux données pour une application efficace de la loi souligne que les droits fondamentaux doivent être protégés lorsque les services répressifs accèdent aux données à caractère personnel des personnes. Bien que l’EDPB soutienne l’objectif d’une application efficace de la loi, il souligne que certaines des recommandations du GHN pourraient entraîner de graves intrusions dans les droits fondamentaux, en particulier le respect de la vie privée et de la vie familiale.
Bien que l’EDPB note avec satisfaction que la recommandation peut conduire à la mise en place de conditions de concurrence équitables en matière de conservation des données, il considère qu’une obligation large et générale de conservation des données sous forme électronique par tous les fournisseurs de services créerait une ingérence significative dans les droits des personnes. Par conséquent, l’EDPB se demande si cela répondrait aux exigences de nécessité et de proportionnalité de la charte des droits fondamentaux de l’Union européenne et de la jurisprudence de la CJUE.
Dans sa déclaration, l’EDPB souligne également que les recommandations concernant le cryptage ne devraient pas empêcher son utilisation ni affaiblir l’efficacité de la protection qu’il fournit. Par exemple, l'introduction d'un processus côté client permettant l'accès à distance aux données avant qu'elles ne soient chiffrées et envoyées sur un canal de communication, ou après qu'elles aient été déchiffrées chez le destinataire, affaiblirait en pratique le chiffrement. Il importe de préserver la protection et l’efficacité du cryptage afin d’éviter que le respect de la vie privée et de la confidentialité ne soit compromis et de garantir la liberté d’expression et la croissance économique, qui dépendent de technologies fiables.
Note aux éditeurs
* Conformément à l’article 3 de la décision d’adéquation UE-États-Unis, la Commission européenne est tenue de réexaminer la décision d’adéquation un an après son adoption. La réunion de réexamen s’est tenue à Washington D.C. les 18 et 19 juillet 2024 et la Commission européenne était accompagnée de cinq représentants du comité européen de la protection des données.
** Le GHN a été lancé par la Commission européenne en juin 2023 et est coprésidé par la Commission européenne et la présidence tournante du Conseil. Il a été lancé dans le but d'explorer les défis pour les praticiens de l'application de la loi en ce qui concerne l'accès aux données et de proposer des solutions et des recommandations.
En juin 2024, le groupe de haut niveau a publié 42 recommandations pour la poursuite du développement des politiques et de la législation de l’UE, structurées comme suit: «mesures de renforcement des capacités», «coopération avec l’industrie et normalisation» et «mesures législatives». Les recommandations portent en particulier sur le cryptage, la coopération avec le secteur ainsi qu’entre les services répressifs et la nécessité de règles harmonisées en matière de conservation des données.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.