Transfert de données personnelles aux Etats-Unis (la suite) : que retenir de la résolution du Parlement européen du 11 mai 2023 ?

Rappelez-vous : le 28 février 2023, le Comité européen de la protection des données (CEPD) rendait son avis sur le projet de décision d’adéquation concernant le cadre de protection des données de l’UE et des États-Unis.

Parmi les préoccupations qui subsistaient : certaines exemptions au droit d’accès accordé aux personnes concernées et l’exemption générale au droit d’accès pour les informations accessibles au public ; l’absence de définitions clés ; le manque de clarté quant à l’application des principes à l’égard des sous-traitants ; l’absence de règles spécifiques sur la prise de décision automatisée et le profilage ; l’accès et l’utilisation des données par les autorités américaines…

Le 11 mai dernier, le Parlement européen a adopté une résolution sur l’adéquation de la protection offerte par le cadre UE-Etats-Unis en matière de protection des données. La résolution du Parlement européen dans son intégralité, c’est ici (en anglais uniquement).

En ce qui concerne ses conclusions :

👉 Le Parlement européen rappelle avoir demandé à la Commission, dans sa résolution du 20 mai 2021, de ne pas adopter une nouvelle décision d’adéquation à l’égard des États-Unis à moins que des réformes significatives ne soient introduites, en particulier pour des raisons de sécurité nationale et de renseignement. A cet égard, le Parlement ne considère pas l’EO 14086 comme suffisamment significatif et réitère que la Commission ne devrait pas laisser à la Cour de justice de l’Union européenne la tâche de protéger les droits fondamentaux des citoyens de l’UE à la suite de plaintes de ces citoyens individuels.

👉 Le Parlement européen rappelle que la Commission doit évaluer l’adéquation d’un pays tiers sur la base de la législation et des pratiques en place, non seulement en substance, mais aussi en pratique, conformément aux arrêts Schrems I, Schrems II et au RGPD (considérant 104).

👉 Le Parlement européen note que les principes du cadre de confidentialité des données émis par le département du Commerce des États-Unis n’ont pas été suffisamment modifiés, par rapport à ceux du Privacy Shield, pour fournir une protection essentiellement équivalente à celle prévue par le RGPD.

👉 Le Parlement européen note que si les États-Unis s’engagent de manière importante à améliorer l’accès aux recours et les règles sur le traitement des données par les autorités publiques, la communauté américaine de renseignement a jusqu’en octobre 2023 pour mettre à jour ses politiques et pratiques conformément à l’engagement de l’EO 14086, et que l’avocat général des États-Unis n’a pas encore désigné l’UE et ses États membres comme pays qualifiés pouvant accéder à la voie de recours disponible et souligne que cela signifie que la Commission n’était pas en mesure d’évaluer l’efficacité des recours proposés et des mesures proposées concernant l’accès aux données “en pratique”.

👉 Le Parlement européen conclut donc que la Commission ne peut procéder à la prochaine étape d’une décision d’adéquation que lorsque ces délais et étapes auront été respectés par les États-Unis pour garantir que les engagements ont été respectés en pratique.

👉 Le Parlement européen, en concluant que le cadre de protection des données et de la vie privée entre l’UE et les États-Unis ne parvient pas à créer une équivalence essentielle dans le niveau de protection, demande à la Commission de poursuivre les négociations avec ses homologues américains afin de créer un mécanisme qui garantirait une telle équivalence et qui fournirait le niveau de protection adéquat requis par la législation de l’Union en matière de protection des données.

👉 Le Parlement européen demande à la Commission de ne pas adopter la constatation d’adéquation tant que toutes les recommandations formulées dans sa résolution et dans l’avis du CEPD ne seront pas pleinement mises en œuvre et demande à la Commission d’agir dans l’intérêt des entreprises et des citoyens de l’UE en veillant à ce que le cadre proposé fournisse une base juridique solide, suffisante et orientée vers l’avenir pour les transferts de données entre l’UE et les États-Unis.

👉 Le Parlement européen s’attend à ce que toute décision d’adéquation, si elle est adoptée, soit contestée devant la CJUE et souligne la responsabilité de la Commission en cas d’échec de protection des droits des citoyens de l’UE dans le cas où la décision d’adéquation serait à nouveau invalidée par la CJUE.

Le ton est donné… A suivre !

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»