Le CEPD s’est prononcé sur le projet de décision d’adéquation concernant l’accord entre l’Union européenne et les États-Unis. S’il note des améliorations substantielles, le contrôleur européen de la protection des données pointe certaines lignes du projet et réclame des éclaircissements.

Le CEDP a rendu à Bruxelles, le 28 février dernier, son avis sur la décision d’adéquation du nouveau cadre juridique en matière de collecte et d’utilisation des données personnelles par les services de renseignements américains. L’organe européen chargé de la protection des données se félicite de certaines avancées mais reste prudent. Il recommande notamment la subordination de l’adoption de la décision et de son entrée en vigueur à l’adoption de politiques et de mises à jour de procédures par les agences de renseignement américaines.

Le projet de décision publié le 13 décembre 2022 par la Commission européenne vise le Data Privacy Framework (DPF), qui remplace le Privacy Shield invalidé par la Cour de Justice de l’Union européenne dans son arrêt Schrems 2. Au cœur du DPF, les principes de confidentialité des données entre Union européenne et États-Unis publiés par le département américain du commerce, qui n’ont vocation à s’appliquer qu’aux organisations américaines qui se portent volontaires.

Réexamens ultérieurs à prévoir

Dans son avis, le CEPD émet quelques doutes : certaines dérogations au droit d'accès, l'absence de définitions-clés, le manque de clarté quant à l'application des principes DPF aux sous-traitants, la large dérogation au droit d'accès pour le public informations disponibles et l'absence de règles spécifiques sur la prise de décision automatisée et le profilage. Le CEPD attire également l’attention de la Commission européenne sur l’hypothèse des transferts ultérieurs de données vers des pays tiers, source de risques pour la protection des données. Il met également en exergue les exemptions à l'obligation d'adhérer aux principes du DPF. Pour le CEPD, il faudra s’assurer de l’efficacité du DPF dans son application, et celle des voies de recours offerts aux ressortissants de l'Union européenne dont les données sont traitées en violation du DPF.

La présidente du Comité européen de la protection des données, Andrea Jelinek, a déclaré dans un communiqué du 28 février 2023 : Bien que nous reconnaissions que les améliorations apportées au cadre juridique américain sont importantes, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées pour garantir la pérennité de la décision d'adéquation. Pour la même raison, nous pensons qu'après le premier réexamen de la décision d'adéquation, des réexamens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer.”

Anne-Laure Blouin