DONNÉES PERSONNELLES & TRANSFERT VERS LES ÉTATS-UNIS

Sorry, this entry is only available in French.

Dans un avis rendu le 28 février 2023, le Comité Européen à la Protection des Données (« CEPD »), prend acte des améliorations à la protection des données personnelles des citoyens européens résultant du nouveau cadre juridique adopté par le Président Joe Biden le 7 octobre 2022, mais dresse aussi la liste des sujets d’inquiétude qui persistent (CEPD, avis 5/2023 du 28 février 2023 sur le projet de décision d’adéquation relatif au cadre des transferts de données personnelles entre l’UE et les Etats-Unis).

On se souvient qu’à la suite de l’annulation du Privacy Shield, qui régissait le transfert de données personnelles entre l’Union Européenne et les Etats-Unis, par la Cour de Justice, le 16 juillet 2020 (qui faisait elle-même suite à l’invalidation du Safe Harbor par la même Cour le 6 octobre 2015), en raison notamment de la faculté persistante, pour les services secrets américains, d’accéder massivement aux données personnelles des citoyens européens, le Président Joe Biden a adopté le 7 octobre 2022 un nouveau cadre juridique à de tels transferts, sous la forme d’un Executive order.

La Commission européenne a publié, en date du 13 décembre 2022, un projet de décision d’adéquation de cet acte législatif américain au droit européen, considérant donc que cet acte offrait des garanties suffisantes aux transfert de données personnelles des citoyens européens vers les Etats-Unis.

Néanmoins, avant d’adopter cette décision, la Commission a sollicité l’avis du CEPD, lequel est mitigé.

Si le CEPD, dont l’avis est consultatif, accueille favorablement l’introduction d’une exigence de nécessité et de proportionnalité dans le traitement des données personnelles par les agences américaines de renseignement, il dresse aussi une liste de points d’inquiétude, parmi lesquels l’exercice de certains droits des personnes une fois le transfert effectué, l’étendue des exceptions aux règles énoncées, la faculté temporaire de procéder à la collection de données « en vrac », et le fonctionnement effectif du mécanisme de recours.

In fine, le CEPD recommande à la Commission de subordonner sa décision d’adéquation à l’adoption, par l’ensemble des agences de renseignements américaines, de politiques et de procédures de mise en œuvre de l’Executive order préalablement évaluées et contrôlées par elle. A suivre, donc.

Share this post: Facebook Twitter LinkedIn