Le 28 février 2023, le Comité européen de la protection des données (CEPD) a rendu son avis sur le projet de décision d’adéquation concernant le cadre de protection des données de l’UE et des États-Unis. Si Andrea Jelinek, présidente du CEPD, reconnait que les améliorations apportées au cadre juridique américain sont significatives, elle précise que le CEPD : « recommande de répondre aux préoccupations exprimées et de fournir les clarifications demandées pour garantir la pérennité de la décision d’adéquation ».
1/ Concernant les aspects commerciaux
Parmi les préoccupations qui subsistent :
- Certaines exemptions au droit d’accès accordé aux personnes concernées et l’exemption générale au droit d’accès pour les informations accessibles au public ;
- L’absence de définitions clés ;
- Le manque de clarté quant à l’application des principes du DPF aux sous-traitants ;
- L’absence de règles spécifiques sur la prise de décision automatisée et le profilage ;
- La compromission du niveau de protection des données au regard de transferts ultérieurs : le CEPD invite ainsi la Commission européenne à préciser que, les garanties imposées par le destinataire initial à l’importateur dans le pays tiers soient effectives à la lumière de la législation du pays tiers, avant tout transfert ultérieur.
Concernant les aspects commerciaux, toujours, le CEPD demande à la Commission européenne de clarifier le champ d’application des exemptions concernant l’obligation d’adhérer aux principes du DPF, et souligne l’importance d’une surveillance et d’une application efficace de ce dernier.
2/ Concernant l’accès et l’utilisation des données par les autorités américaines
Le CEPD reconnait les améliorations significatives apportées par l’Executive Order 14086 qui introduit les concepts de nécessité et de proportionnalité en ce qui concerne la collecte de données par les services de renseignements américains.
Nonobstant, subsistent certaines préoccupations. Parmi elles :
- Un suivi étroit reste nécessaire concernant l’application pratique des principes de nécessité de proportionnalité nouvellement introduits ;
- Une plus grande clarté est également nécessaire en ce qui concerne la collecte temporaire, la conservation et la diffusion ultérieure des données collectées « en vrac » ;
- L’absence de contrôle indépendant systématique a posteriori par un tribunal ou un organe indépendant équivalent ;
- Le CEPD regrette que la FISA Court ne contrôle pas le respect de l’Executive Order 14086 lors de la certification des programmes autorisant le ciblage de personnes non américaines, alors même que les autorités de renseignement qui exécutent le programme sont liées par ce dernier ;
- Concernant le mécanisme de recours, l’application générale d’une réponse standard notifiant au plaignant qu’aucune violation couverte n’a été identifiée ou qu’une décision exigeant des mesures correctives appropriées a été prise, d’autant plus que cette décision ne peut faire l’objet d’aucun recours.
Par ailleurs :
- Le CEPD apprécierait que l’entrée en vigueur et l’adoption de la décision soient subordonnées à l’adoption, par toutes les agences de renseignements américaines, de politiques et procédures actualisées visant à mettre en œuvre l’Executive Order 14806 ;
- Que ces politiques et procédures soient évaluées par la Commission européenne et partagées avec le CEPD ;
- Qu’après le premier réexamen de la décision d’adéquation, des réexamens ultérieurs aient lieu au moins tous les 3 ans (le CEPD s’engage à y contribuer).
La Commission européenne devra désormais obtenir l’accord d’un comité composé de représentants des États membres de l’UE et précise que le Parlement européen dispose d’un droit de regard sur les décisions d’adéquation, « Ce n’est qu’après cela que la Commission européenne pourra adopter la décision finale d’adéquation, qui permettrait aux données de circuler librement et en toute sécurité entre les entreprises européennes et américaines certifiées par le ministère du Commerce dans le nouveau cadre. »
Suite au prochain épisode !