ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !
En savoir plus

L'EDSA examine le cadre UE-États-Unis de la protection des données : Ce qui doit encore être amélioré

L'EDSA examine le cadre UE-États-Unis sur la protection des données
Catégories :
,

L'échange transatlantique de données est d'une importance fondamentale pour le commerce et l'économie, mais il est depuis des années au centre de discussions juridiques et de protection des données. L'introduction du cadre de protection des données UE-États-Unis (DPF) en 2023 vise à créer une nouvelle base pour un transfert de données sécurisé. Le Comité européen de la protection des données (CEPD) s'est maintenant penché sur la mise en œuvre de la décision d'adéquation pour les États-Unis et a tiré un premier bilan intermédiaire.

Voici les progrès réalisés dans la mise en œuvre du DPF

Suite à l'arrêt de la Cour de justice des Communautés européennes (CJCE) dans l'affaire "Schrems II", d'importantes lacunes ont été constatées dans l'accord précédent sur la protection des données, le Privacy Shield. Le DPF a été conçu pour répondre aux critiques de la CJCE et pour harmoniser les normes de protection des données entre l'UE et les États-Unis.

Le premier examen du DPF par l'EDSA montre des progrès, notamment sur les points suivants :

  • l'autocertification des entreprises : Le ministère américain du commerce a pris toutes les mesures pertinentes pour mettre en œuvre le processus de certification. Cela comprend le développement d'un nouveau site web, la mise à jour des procédures, la collaboration avec les entreprises et la mise en place d'activités de sensibilisation. À ce jour, plus de 2 800 organisations ont été certifiées.
  • Application du droit : le DPF prévoit une procédure de plainte à plusieurs niveaux, y compris un arbitrage indépendant. Des directives complètes sur le traitement des plaintes ont été publiées des deux côtés de l'Atlantique.

Inquiétudes quant à l'accès aux données par l'État

L'EDSA estime toutefois que les contrôles du respect des principes du DPF par les autorités américaines sont encore insuffisants. Le faible nombre de plaintes reçues à ce jour dans le cadre du DPF montre à quel point il est important que les autorités américaines mettent en place des mesures de surveillance pour vérifier que les entreprises certifiées DPF respectent les principes essentiels du DPF. L'EDSA demande donc un renforcement des contrôles.

Une préoccupation centrale de l'examen concerne l'accès de l'État aux données par les autorités américaines, en particulier par les services de renseignement. Dans ce domaine, les principes de nécessité et de proportionnalité inscrits dans le DPF sont essentiels. L'Executive Order 14086 a été considéré comme un progrès, mais des inquiétudes subsistent :

  • Les États-Unis continuent d'autoriser les mesures de surveillance de masse sans autorisation indépendante préalable, ce qui est contraire aux exigences de la Cour européenne de justice.
  • La section 702 du U.S. Foreign Intelligence Surveillance Act (FISA) régit la surveillance des citoyens non américains en dehors du territoire américain, par exemple par la NSA. Dans ce domaine, la portée des mesures de surveillance a été considérablement élargie, ce qui soulève des questions de transparence et de prévisibilité.


Le CEPD souligne que ces questions devraient être traitées en priorité lors des futurs examens.

Conseil de lecture : La Commission européenne adopte une nouvelle décision d'adéquation pour le transfert sécurisé de données entre l'UE et les États-Unis

Application du droit et recours

La nouvelle Cour d'examen de la protection des données (DPRC) offre aux citoyens de l'UE de meilleures possibilités de faire valoir leurs droits. Néanmoins, des défis subsistent :

  • Manque de transparence : les décisions du DPRC ne peuvent pas être contestées, ce qui limite l'obligation de rendre des comptes.
  • Aucun test pratique n'a été effectué : Aucune plainte n'a été déposée jusqu'à la révision de juillet 2024, de sorte que le fonctionnement réel des mécanismes n'a pas pu être testé.


A l'issue de l'audit, l'EDSA a formulé des recommandations concrètes, notamment

  1. Renforcer l'application proactive : les autorités américaines telles que le ministère du commerce et la Federal Trade Commission devraient renforcer leurs activités de surveillance.
  2. Clarification des définitions légales : Les termes peu clairs tels que "fournisseur de services de communications électroniques" dans la section 702 FISA doivent être clarifiés afin de garantir la sécurité juridique.
  3. Renforcer le contrôle de l'accès aux données : l'utilisation par les services de renseignement des données disponibles sur le marché devrait notamment être davantage réglementée et contrôlée.


La prochaine révision du DPF devrait avoir lieu dans les trois ans pour aborder ces points en suspens et garantir de nouveaux progrès.

Conclusion : Le cadre UE-États-Unis pour la protection des données marque une étape importante vers un échange transatlantique de données plus sûr, mais il reste confronté à des défis considérables. Il reste à voir si les États-Unis répondront aux préoccupations de l'EDSA sous la nouvelle administration, afin de garantir à long terme un niveau de protection comparable à celui des normes de protection des données de l'UE.

Source : Rapport du Comité européen de la protection des données sur le niveau de protection adéquat des données à caractère personnel dans le cadre du cadre de protection des données UE-États-Unis 

Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages

fr_FRFrench
de_DEGerman en_USEnglish it_ITItalian fr_FRFrench