Le comité européen de la protection des données (EDPB) a accueilli avec des réserves le nouveau cadre de protection des données, destiné à fournir le cadre juridique des flux de données transatlantiques.
Le comité qui rassemble les autorités de protection des données de l’UE a été créé en vertu du règlement général sur la protection des données (RGPD) pour fournir des orientations et résoudre les litiges liés à l’application transfrontalière.
Ses tâches consistent également à conseiller la Commission européenne sur les décisions relatives à l’adéquation des données, un instrument qui reconnaît le régime de confidentialité d’une juridiction étrangère comme adéquat par rapport aux normes de protection des données de l’UE.
« Bien que nous reconnaissions que les améliorations apportées au cadre juridique américain sont importantes, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées pour garantir la pérennité de la décision d’adéquation », a déclaré la présidente de l’EDPB, Andrea Jelinek, dans un communiqué mardi (28 Février).
« Pour la même raison, nous pensons qu’après le premier réexamen de la décision d’adéquation, des réexamens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer. »
Cadre de confidentialité des données
En décembre, l’exécutif européen a adopté le projet de décision d’adéquation sur les États-Unis, certifiant le cadre de confidentialité des données UE-États-Unis, résultat de mois de longues négociations entre la Commission européenne et l’administration américaine.
En mars 2022, le président américain Joe Biden et la présidente de la Commission européenne Ursula von Der Leyen ont annoncé un accord de principe pour rétablir un cadre transatlantique pour les flux de données, un accord que la Cour de justice de l’UE a ensuite invalidé à deux reprises.
L’accord a été mis en œuvre avec la signature par Biden d’un décret exécutif en octobre pour mettre des garanties sur les données personnelles des personnes qui relèvent de la juridiction de l’UE, notamment en limitant l’accès des agences de renseignement et en établissant un mécanisme de recours.
La Cour de l’UE a invalidé le précédent bouclier de protection des données dans l’arrêt historique Schrems II parce que, comme l’a révélé Edward Snowden, les agences de renseignement américaines avaient un accès disproportionné aux données personnelles de l’UE sans que les citoyens de l’UE conservent la possibilité de demander réparation.
Le décret présidentiel stipule que les activités de collecte de données des activités de renseignement américaines ne peuvent être menées que dans le cadre d’objectifs de sécurité nationale prédéfinis et dans le respect du principe de proportionnalité, de la vie privée des personnes et des libertés civiles.
Le rôle d’agent de protection des libertés civiles (CLPO) a été introduit au sein du bureau américain du directeur du renseignement national pour faire appliquer ces mesures, vérifier les plaintes et rendre des décisions contraignantes.
De plus, une cour de révision de la protection des données a été créée au sein du bureau du procureur général, l’équivalent américain du ministère européen de la justice. Ce tribunal est censé fournir un examen juridique indépendant des décisions du CLPO.
Avis du CEPD
Bien qu’il ne soit pas juridiquement contraignant, l’avis du Conseil pourrait être très influent car le Data Privacy Framework sera presque certainement contesté devant les tribunaux puisque Max Schrems, l’activiste autrichien qui a fait tomber les deux accords précédents, a déjà annoncé une nouvelle bataille juridique.
Les autorités européennes ont fait part de préoccupations concernant certains droits des personnes concernées, les transferts ultérieurs vers des pays tiers, la portée des dérogations au droit d’accès, la collecte temporaire de données en masse et la manière dont le mécanisme de recours fonctionnera dans la pratique.
Sur le dernier point, Schrems a également remis en question le caractère indépendant de la Cour de révision de la protection des données puisqu’elle sera techniquement sous la marque exécutive. Selon lui, cet arrangement n’est qu’une refonte de la figure du médiateur que la Cour de l’UE a jugée inadéquate dans le cadre du verdict précédent.
En revanche, le CEPD considère le nouvel arrangement comme une amélioration significative par rapport au précédent, car il introduit davantage de garanties pour les citoyens de l’UE et fournit des pouvoirs plus efficaces pour remédier aux violations.
Toutefois, les autorités européennes ont souligné que le fonctionnement pratique du mécanisme de recours devrait faire l’objet d’un suivi attentif, ainsi que l’application des principes de nécessité et de proportionnalité nouvellement introduits.
En outre, le Conseil a demandé plus de clarté concernant la collecte en masse temporaire, que le décret autorise sans ordonnance du tribunal, et la conservation et la diffusion des données collectées sans discrimination.
Les autorités européennes de protection de la vie privée ont également noté la similitude du nouveau cadre de protection des données avec le précédent bouclier de protection des données, soulignant que certaines préoccupations subsistent concernant l’absence de définitions critiques et le manque de clarté sur la manière dont le cadre s’appliquerait aux organisations traitant des données personnelles.
La large dérogation au droit d’accès aux informations accessibles au public, l’absence de règles spécifiques sur la prise de décision et le profilage automatisés et le risque de porter atteinte aux garanties de protection des données lors de transferts vers des pays tiers ont également été mentionnés comme des sujets de préoccupation.
Pour le Conseil, l’adoption de la décision d’adéquation devrait être subordonnée à certaines politiques et procédures supplémentaires pour mettre en œuvre le décret. La Commission est invitée à évaluer ces politiques actualisées et à partager son évaluation avec le comité européen de la protection des données.
[Edited by Nathalie Weatherald]