Le 28 février 2023, le CEPD a rendu son avis sur le projet de décision d’adéquation de la Commission européenne concernant les Etats-Unis.
Pour rappel, la Cour de justice de l’Union européenne a, dans une décision « Schrems II » du 16 juillet 2020, invalidé le Privacy Shield et a fortement restreint les possibilités de transfert de données personnelles vers les Etats-Unis. Cette décision était motivée par les lois et pratiques américaines, lesquelles permettent des accès par les autorités de surveillance américaines aux données personnelles jugés trop larges.
Suite à la signature d’un décret présidentiel 14086 par les Etats-Unis, visant à renforcer les garanties portant sur les activités de renseignements des Etats-Unis, notamment en les soumettant à des exigences de proportionnalité et de nécessité, la Commission européenne a, le 13 décembre 2022, amorcé le processus tendant à l’adoption d’une décision d’adéquation concernant les transferts de données entre l’Union européenne et les Etats-Unis.
Le 28 février 2023, le CEPD a rendu son avis quant au projet de décision d’adéquation de la Commission.
Le CEPD y salue les améliorations substantielles, telle que l’introduction d’exigences incorporant les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignements américains.
Le CEPD y exprime également ses préoccupations et demande des éclaircissements sur plusieurs points, notamment :
- Les droits des personnes concernées, le CEPD déplorant les éléments suivants :
- Le droit d’accès n’est pas décrit dans le corps de la décision d’adéquation.
- L’exercice du droit d’opposition semble, quant à lui, cantonné au cas de figure où les données sont utilisées à des fins de prospection directe.
- Les transferts ultérieurs, qui ne doivent pas amoindrir le niveau de protection des personnes concernées. Le CEPD recommande, à ce titre, que les destinataires ultérieurs des données soient soumis à des règles, y compris contractuel, permettant un niveau de protection adéquate.
- Le champ d’application des exemptions, jugé peu clair par le CEPD, la décision d’adéquation prévoyant que l’adhésion aux principes qu’elle liste puisse être limitée, notamment afin que le destinataire des données se conforme à la loi, à des exigences de sécurité nationale, à une décision de justice ou à la poursuite d’intérêts publics. Le CEPD n’ayant pas connaissance des lois américaines, il n’est pas en mesure d’évaluer le détail du champ de ces exemptions, et demande donc à la Commission de préciser ces cas d’exemption.
- Les collectes de données indiscriminées à large échelle, qui demeurent toujours possible, à condition d’être temporaires, et ce sans nécessiter de garantie, telle qu’une autorisation. Le CEPD demande à la Commission d’encadrer précisément ces cas de collecte.
- Le fonctionnement pratique du mécanisme de recours, jugé, par le CEPD, identique à celui figurant dans la décision Privacy Shield, au sujet duquel le CEPD avait déjà émis des critiques.
Le CEPD apprécierait, enfin, que l’entrée en vigueur et l’adoption de la décision d’adéquation soient subordonnées à l’adoption, par toutes les agences de renseignement américaines, de politiques et de procédures actualisées visant à mettre en œuvre le décret présidentiel 14086.
Source : ici