
Bruxelles, le 28 février — Le comité européen de la protection des données a adopté son avis sur le projet de décision d’adéquation concernant le cadre de protection des données UE-États-Unis. Le comité européen de la protection des données se félicite des améliorations substantielles telles que l’introduction d’exigences mettant en œuvre les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignement des États-Unis et le nouveau mécanisme de recours pour les personnes concernées de l’UE. Dans le même temps, elle émet des préoccupations et demande des éclaircissements sur plusieurs points. Ceux-ci concernent notamment certains droits des personnes concernées, les transferts de données ultérieurs, le champ d’application des exemptions, la collecte en vrac de données à titre temporaire et le fonctionnement pratique du mécanisme de recours. Le comité européen de la protection des données apprécierait si non seulement l’entrée en vigueur, mais aussi l’adoption de la décision étaient subordonnées à l’adoption, par toutes les agences de renseignement américaines, de politiques et de procédures actualisées pour la mise en œuvre du décret présidentiel nº 14086. Le comité européen de la protection des données recommande que la Commission évalue ces politiques et procédures actualisées et lui communique son évaluation.
Andrea Jelinek, présidente du comité européen de la protection des données, a déclaré à ce sujet: «Un niveau élevé de protection des données est essentiel à la sauvegarde des droits et libertés des citoyens de l’UE. Tout en reconnaissant l’importance des améliorations apportées au cadre juridique américain, nous recommandons de répondre aux préoccupations exprimées et de fournir les éclaircissements demandés afin de garantir la pérennité de la décision d’adéquation. Pour la même raison, nous estimons qu’après le premier réexamen de la décision d’adéquation, des réexamens ultérieurs devraient avoir lieu au moins tous les trois ans et nous sommes résolus à y contribuer.»
Le projet de décision d’adéquation, publié par la Commission européenne le 13 décembre 2022, est fondé sur le cadre de protection des données UE-États-Unis, destiné à remplacer le bouclier de protection des données invalidé par la CJUE dans l’arrêt Schrems II. La composante principale de ce cadre réside dans les principes régissant le cadre de protection des données UE-États-Unis, qui ont été publiés par le ministère américain du commerce. Le cadre de protection des données ne s’applique qu’aux organisations américaines autocertifiées. Le comité européen de la protection des données a adopté son avis sur le projet de décision, en y abordant aussi bien les aspects commerciaux que l’accès aux données et leur utilisation par les autorités publiques américaines.
En ce qui concerne les aspects commerciaux, le comité européen de la protection des données se félicite d’un certain nombre d’actualisations apportées aux principes régissant le cadre de protection des données. Il observe également qu’un certain nombre de principes restent, en substance, inchangés par rapport au bouclier de protection des données. Ainsi, certaines préoccupations subsistent, par exemple en ce qui concerne certaines dérogations au droit d’accès, l’absence de définitions essentielles, le manque de clarté quant à l’application des principes du cadre de protection des données aux sous-traitants, l’ampleur de la dérogation au droit d’accès concernant les informations accessibles au public, et l’absence de règles spécifiques sur la prise de décision automatisée et le profilage. Le comité réaffirme en outre que le niveau de protection ne doit pas être compromis par les transferts de données ultérieurs. Par conséquent, il invite la Commission à préciser que les garanties imposées par le destinataire initial à un importateur d’un pays tiers doivent être effectives au regard de la législation du pays tiers, avant tout transfert ultérieur.
En outre, le comité européen de la protection des données demande à la Commission de clarifier le champ d’application des exemptions à l’obligation de se conformer aux principes du cadre de protection des données, et souligne l’importance d’une surveillance et d’une mise en application efficaces dudit cadre. Ces aspects seront suivis de près par le comité européen de la protection des données, de même que l’efficacité des voies de recours offertes aux personnes concernées de l’UE dont les données sont traitées en violation du cadre de protection des données.
En ce qui concerne l’accès des pouvoirs publics aux données transférées aux États-Unis, le comité européen de la protection des données reconnaît les améliorations significatives apportées par le décret présidentiel nº 14086. Le décret présidentiel introduit les notions de nécessité et de proportionnalité en ce qui concerne la collecte de renseignements sous forme de données (renseignement par écoute de signaux) par les États-Unis.
En outre, le nouveau mécanisme de recours crée des droits pour les citoyens de l’UE et est soumis au contrôle du Conseil de surveillance de la vie privée et des libertés civiles. Le décret présidentiel protège également l’indépendance de la Cour de contrôle de la protection des données par davantage de garanties que ne le faisait précédemment le mécanisme du médiateur, et introduit des pouvoirs plus efficaces pour remédier aux violations, dont des garanties supplémentaires pour les personnes concernées.
Le comité européen de la protection des données souligne la nécessité d’un suivi étroit en ce qui concerne l’application pratique des principes de nécessité et de proportionnalité nouvellement introduits. Des précisions supplémentaires sont également nécessaires sur la collecte en vrac à titre temporaire et sur la conservation et la diffusion ultérieures des données collectées en vrac.
Le comité européen de la protection des données émet également des préoccupations quant à l’absence d’obligation d’autorisation préalable par une autorité indépendante pour la collecte de données en vrac au titre du décret présidentiel nº 12333, ainsi qu’à l’absence d’un contrôle ex post indépendant systématique par une juridiction ou un organe indépendant équivalent. En ce qui concerne l’autorisation préalable indépendante de la surveillance effectuée au titre de la section 702 de la FISA, le comité européen de la protection des données regrette que la Cour FISA, lors de la certification de programmes autorisant le ciblage de ressortissants non américains, ne contrôle pas le respect du décret présidentiel nº 14086, qui pourtant lie les autorités de renseignement chargées de la mise en œuvre du programme. Des rapports du Conseil de surveillance de la vie privée et des libertés civiles sur la manière dont les garanties prévues par le décret présidentiel nº 14086 seront mises en œuvre et dont elles sont appliquées lors de la collecte de données au titre de la section 702 de la FISA et du décret présidentiel nº 12333 seraient particulièrement utiles. En ce qui concerne le mécanisme de recours, le comité européen de la protection des données est conscient des garanties supplémentaires qui ont été prévues, telles que le rôle des avocats spéciaux et le contrôle du mécanisme de recours par le Conseil de surveillance de la vie privée et des libertés civiles. Dans le même temps, le comité est préoccupé par l’emploi généralisé, par la Cour de contrôle de la protection des données, de réponses-types informant le plaignant soit qu’aucune des violations examinées n’a été établie, soit qu’une décision ordonnant une réparation adéquate a été rendue, et ce, d’autant que cette décision n’est susceptible d’aucun recours. Le comité européen de la protection des données invite donc la Commission à suivre de près le fonctionnement pratique de ce mécanisme.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.