Etats-Unis : le CEPD rend son avis sur l’encadrement des flux de données transatlantiques
La Commission européenne et le gouvernement américain poursuivent leurs tractations afin de parvenir à une décision d’adéquation qui pourrait à nouveau faciliter les flux transatlantiques de données personnelles.
Pour rappel, cette facilité était offerte jusqu’au 16 juillet 2020 par la décision d’adéquation dite « Privacy Shield ». La Cour de Justice de l’Union Européenne avait jugé, dans son arrêt « Schrems II » que la législation étatsunienne ne permettait plus d’assurer un niveau de protection des données équivalent à celui de l’Union, et invalidé cette décision. Il revenait dès lors aux responsables de traitement de mettre en place les garanties suffisantes afin d’assurer la sécurité des données transférées vers les États-Unis.
Un nouveau projet de décision d’adéquation avait été initié. La présidence américaine a dans ce cadre publié un Executive Order visant à remédier aux griefs qui ont motivé l’invalidation du Privacy Shield – en tête desquels figure la surveillance massive et incontrôlée à laquelle peuvent se livrer les agences de renseignement sur les données transférées. Ces nouvelles propositions sont détaillées dans notre article dédié à cet Executive order.
La Commission Européenne avait donc requis l’avis du Conseil Européen sur la Protection des Données (CEPD) sur le projet de décision d’adéquation, comprenant ce nouveau cadre législatif américain.
Dans son rapport publié le 28 février 2023, le CEPD dresse un bilan mitigé de ce « EU-US Data Privacy Framework ».
Ce bilan commence en effet par noter les « améliorations substantielles » proposées, qui concernent avant tout en de nouvelles exigences pour la collecte de données par le renseignement. Les agences nationales devront ainsi désormais se conformer aux principes de :
- nécessité (à la progression d’une collecte de renseignements prioritaire)
- proportionnalité (à la priorité susmentionnée, qui doit faire l’objet d’une validation).
L’application de ces principes devrait permettre une activité de renseignement plus ciblée, contrairement à la pratique de la collecte de masse.
Le CEPD salue en outre les nouvelles possibilités de recours offertes aux personnes concernées par ces traitements, auprès du Civil Liberties Protection Officer ou de la toute nouvelle Data Protection Review Court.
Toutefois, l’institution note également la subsistance de nombreuses zones d’ombres qui viennent affaiblir ce cadre législatif. Elle insiste sur la nécessité d’un suivi précis de l’application de ces nouveaux principes de nécessité et de proportionnalité, afin qu’ils ne restent pas que théoriques. Davantage de clarté est par ailleurs demandée concernant l’encadrement de la collecte en masse temporaire autorisée par le Data Privacy Framework, et la dissémination des données collectées par ce moyen au-delà de l’agence à l’origine du traitement.
Globalement, le CEPD réitère une nouvelle fois son inquiétude face à l’absence de mécanismes d’autorisation préalable à la surveillance de masse, et de contrôle systématique par les tribunaux ou des autorités indépendantes. Les recours précédemment mentionnés sont en outre limités, en cela que le Data Protection Review Court pourra simplement notifier le plaignant qu’elle n’a « pas identifié de violation de ses droits », sans plus de détails, et que les décisions de cette dernière ne seront pas susceptibles d’appel.
De son côté, l’association NOYB à l’origine de l’arrêt Schrems II a déjà annoncé son intention de contester la future décision de la Commission, qui selon elle ne pourrait en l’état « survivre à un examen par la CJUE ».
La question des transferts de données vers les États-Unis via une décision d’adéquation est donc encore loin d’être réglée. En attendant, les entreprises devront poursuivre leur usage des outils standards comme les clauses contractuelles types de la Commission.
Le Pôle Contrats informatiques, Données et Conformité accompagne les responsables de traitement dans la définition et le suivi de leur politique de traitement des données personnelles, ainsi que dans la gestion des contentieux y-relatifs.
Pour toute question, n’hésitez pas à nous contacter.