You are currently viewing Une nouvelle décision d’adéquation sur le transfert de données personnelles vers les Etats-Unis : l’avis du CEPD

En juillet 2020, la Cour de Justice de l’Union Européenne a invalidé le Privacy Shield, la décision d’adéquation permettant le transfert de données personnelles de l’UE vers les Etats Unis. Selon l’article 45 du RGPD, « un transfert de données à caractère personnel vers un pays tiers peut avoir lieu lorsque la Commission européenne a constaté par voie de décision que le pays tiers en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique. » Il est donc devenu plus compliqué de transférer des données personnelles vers les Etats-Unis, les responsables de traitement utilisant désormais souvent le consentement des personnes concernées ou l’exécution d’un contrat pour que de tels transferts restent légaux.

Afin de faciliter les choses et de relancer les relations numériques entre l’UE et les Etats-Unis, Joe Biden a présenté le 7 octobre 2022 l’Executive Order 14086. Il renforce les garanties des citoyens européens dont les données sont collectées et utilisées par les autorités états-uniennes. L’objectif est de créer un nouveau texte remplaçant le Privacy Shield : le Data Privacy Framework (DPF). Le texte a ensuite été soumis à la Commission européenne ; si elle estime que le niveau de protection qu’il garantit aux Etats-Unis est suffisant, elle rendra sa décision d’adéquation. Après étude, la Commission a demandé un avis au Comité Européen de la Protection des Données (CEPD) sur son projet de décision. Ce dernier l’a rendu le 28 février 2023.

Le CEPD a d’abord relevé de nettes améliorations par rapport au Privacy Shield. Par exemple, les services de renseignement américains voulant accéder aux données des citoyens européens devront se baser sur les principes de nécessité et de proportionnalité. Des nouveaux droits ont également été créés pour les citoyens européens. Ces derniers pourront les faire valoir devant l’agence gouvernementale Privacy and Civil Liberties Oversight Board (PCLOB), dont Joe Biden a annoncé la création.

Mais de nombreuses inquiétudes subsistent, notamment concernant cette possibilité de recours. En effet, lorsque le PCLOB sera amené à rendre une décision et qu’il estimera qu’aucune infraction couverte par le DPF n’aura pu être identifiée ou que les mesures correctives appropriées auront déjà été prises, le citoyen européen ne pourra pas contester et faire appel. Le CEPD a également relevé que les entités collectant des données en masse n’auront pas besoin de l’autorisation préalable d’une autorité indépendante, cette pratique faisant pourtant peser un risque clair sur les données et sur les droits des personnes concernées. Aucun contrôle a posteriori n’est également prévu. Enfin, le CEPD regrette de voir que certaines inquiétudes émises à l’égard du Privacy Shield subsistent dans le Data Privacy Framework. On peut notamment citer les trop nombreuses exceptions au droit d’accès des citoyens de l’Union à leurs données, l’absence de définition de certains termes clés ou encore le manque de règles spécifiques à la prise de décision automatisée et au profilage.

Ainsi, le CEPD conseille à la Commission de demander plus de précisions aux autorités américaines avant de prendre une nouvelle décision d’adéquation. Affaire à suivre…

 

 

SOURCES:

A propos de Anne Boutin