Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
Vers le Privacy Shield 2.0 : une nouvelle étape franchie et toujours des questions
Article Droit européen | 01/03/23 | 6 min. | Marc Mossé
Ce 28 février, l’EDPB (European Data Protection Board) a rendu son avis sur le projet de décision d’adéquation (le projet de Décision) présenté par la Commission européenne le 13 décembre 2022 opinion on the draft adequacy decision regarding the EU-U.S. Data Privacy Framework. Cet avis obligatoire, mais non contraignant, reconnait de réelles avancées, appelle à des clarifications et pointe des améliorations souhaitables voire nécessaires que l’institution demande à la Commission de prendre en compte. S’il n’est pas certain que l’avis conduise à infléchir significativement la version finale de la Décision, on peut facilement imaginer que les remarques laissées sans réponse viendront nourrir le troisième contentieux déjà annoncé par Max Schrems.
Un bref rappel des épisodes précédents : la Cour de Justice de l’Union Européenne a annulé en juillet 2020 – arrêt « Schrems II » - la décision d’adéquation supportant le Privacy Shield ; comme elle l’avait fait par son arrêt de 2015 - « Schrems I » - pour celle relative au Safe Harbor. L’absence de proportionnalité en matière d’accès aux données par les autorités de surveillance des Etats-Unis et le manque de recours judiciaire pour les citoyens, constituaient deux des principaux griefs retenus par la CJUE.
L’actuel projet de Décision résulte de nombreux mois de négociations entre l’UE et les autorités US.
Avant même une analyse plus en profondeur de cet avis, il apparait que l'EDPB reconnait des avancées substantielles mais relève des manques conséquents.
Pour nous en tenir, à ce stade, aux questions liées à l'accès par les autorités publiques aux données transférées aux États-Unis, l'EDPB admet que le cadre juridique américain relatif aux activités de renseignement électromagnétique a été utilement modifié par l'adoption de l’EO 14086 du Président J. Biden, en date du 7 octobre 2022, qui ajoute des garanties supplémentaires significatives..
En particulier, il souligne l’introduction des concepts de nécessité et de proportionnalité en ce qui concerne la collecte de données par les services de renseignement américains.
En outre, l’EDPB admet que le nouveau mécanisme de recours crée des droits pour les citoyens de l'UE – à l’inverse du système précédent critiqué par la CJUE - avec la possibilité d’un examen par la Commission de surveillance de la vie privée et des libertés civiles (PCLOB). L’EDPB note que l’EO consacre également davantage de garanties pour assurer l'indépendance de la Cour de révision de la protection des données (CRPD), par rapport au mécanisme précédent de l’Ombusdman, et introduit des pouvoirs plus efficaces pour remédier aux potentielles violations, y compris des garanties supplémentaires pour les personnes concernées.
Dans le même temps, l’EDPB exprime des préoccupations et demande des clarifications sur plusieurs points.
Tout en reconnaissant que l'EO introduit les concepts de nécessité et de proportionnalité dans le cadre juridique du renseignement d'origine électromagnétique, l'EDPB souligne la nécessité de surveiller de près les effets de ces mesures dans le cadre du renseignement d'origine électromagnétique, et de suivre attentivement les effets de ces modifications dans la pratique, y compris l'examen des politiques et procédures internes mettant en œuvre ces garanties de l'EO au niveau des agences gouvernementales US.
L'EDPB a notamment constaté que le cadre juridique américain actuel, lorsqu'il autorise la collecte de données « en vrac » (bulk collection) en vertu de l'Executive Order 12333, présente des lacunes et, notamment, ne prévoit pas l’obligation d’obtenir l'autorisation préalable d'une autorité indépendante, comme l’exige la jurisprudence la plus récente de la Cour européenne des droits de l’homme. Il ne prévoit pas davantage de contrôle systématique ex-post par un tribunal ou un organisme indépendant équivalent. En ce qui concerne l'autorisation préalable de surveillance en vertu de la section 702 de la FISA, l'EDPB regrette que la FISA Court ("FISC") n'examine pas la conformité avec l'EO 14086 lorsqu'elle certifie le programme autorisant le ciblage de personnes non américaines. Selon l'EDPB, les garanties supplémentaires contenues dans l’EO devraient être prises en compte, y compris par le FISC.
Faisant là encore écho aux préoccupations de la CJUE, l’EDPB insiste aussi pour que la Commission veille de façon précise aux conditions concrètes de fonctionnement du mécanisme créant les nouvelles voies de recours.
Ce mercredi 1er mars, la Commission des libertés civiles, justice et affaires intérieures du Parlement européen qui envisage le vote d’une résolution critique sur ce projet de Décision, a auditionné Mme A. Jellinek, présidente de l’EDPB. Les députés européens de cette Commission ont principalement pointé les insuffisances du projet plutôt que les améliorations. Le représentant de la Commission, M. Bruno G ancarelli a indiqué qu’un dialogue allait s’engager sur la base de cet avis. Que ce soit l’avis de l’EDPB ou la potentielle prise de position du Parlement européen, nul doute que les pressions vont continuer de s'exercer alors que les Etats membres devront à leur tour donner leur avis sur le projet de Décision.
A suivre donc…