Le 28 février 2023, le comité européen de la protection des données (« EDPB ») a rendu son avis 5/2023 sur le projet de décision d’exécution de la Commission européenne sur la protection adéquate des données à caractère personnel en vertu du cadre UE-États-Unis sur la protection des données (l’« avis »). . Dans l’avis, le CEPD a reconnu des améliorations substantielles dans le cadre de protection des données UE-États-Unis (« DPF ») proposé par rapport au bouclier de protection des données, tout en indiquant également qu’un certain nombre d’aspects du DPF doivent être clarifiés, développés ou détaillés.
Principaux points à retenir de l’avis de l’EDPB
- Le CEPD note avec satisfaction les améliorations substantielles apportées au DPF, notamment en ce qui concerne l’introduction des principes de nécessité et de proportionnalité et le mécanisme de recours individuel pour les personnes concernées de l’UE. Elle tient également compte des engagements pris par les autorités américaines dans l’application du DPF et considère que cette application doit être contrôlée de manière adéquate.
- La complexité du DPF peut le rendre difficile à comprendre pour les parties prenantes concernées, et certaines définitions clés sont également absentes du texte.
- Les exceptions au droit d’accès peuvent être trop larges dans le DPF, des garanties supplémentaires devraient être fournies en ce qui concerne la possibilité de nouveaux transferts de données des personnes concernées de l’UE, et des garanties supplémentaires sont nécessaires dans le contexte de la prise de décision automatisée.
- Le DPF n’introduit pas d’exigence d’autorisation préalable par une autorité indépendante pour la collecte massive de données, et les garanties dans ce contexte peuvent être insuffisantes.
- Les nouveaux mécanismes de recours dans le cadre du DFC représentent une évolution positive par rapport au Privacy Shield. En particulier, la Cour de révision de la protection des données offre des garanties renforcées, par exemple en termes d’indépendance. Cependant, des clarifications sur certains aspects, tels que l’accès à l’information par les juges, peuvent encore être nécessaires.
- L’utilisation générale de la réponse standard par la Cour de révision de la protection des données peut ne pas prendre en considération de manière adéquate l’équilibre nécessaire entre les droits des individus et les considérations de sécurité nationale.
- L’efficacité de l’EO 14086 dépendra de l’adoption de politiques et de procédures pour sa mise en œuvre par les agences de renseignement américaines. Le CEPD estime que l’adoption et l’entrée en vigueur du DPF devraient être subordonnées à l’adoption desdites politiques et procédures.
prochaines étapes
Le DPF devra maintenant être approuvé par un comité de représentants des États membres. Le Parlement européen est également susceptible de continuer à contrôler le processus. Bien que l’avis du comité européen de la protection des données ne soit pas contraignant, il devrait influencer à la fois les représentants des États membres et le Parlement européen dans leurs tâches respectives.
