Comité européen sur la protection des données (EDPB)

Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF)

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé par la Commission et la présidence du Conseil) sur l’accès aux données pour une application efficace de la loi. S’agissant de ce premier sujet, globalement, l’EDPB salue les efforts déployés par les autorités américaines et la Commission européenne pour mettre en œuvre le DPF et prend note de plusieurs évolutions intervenues depuis l’adoption de la décision d’adéquation en juillet 2023 :

  • En ce qui concerne les aspects commerciaux, c’est-à-dire l’application et le respect des exigences applicables aux entreprises autocertifiées au titre de ce cadre, l’EDPB note que le ministère américain du commerce a pris toutes les mesures pertinentes pour mettre en œuvre le processus de certification. Il s’agit notamment de développer un nouveau site web, de mettre à jour les procédures, de nouer le dialogue avec les entreprises et de mener des activités de sensibilisation.
  • En outre, le mécanisme de recours pour les citoyens de l’UE a été mis en œuvre et des orientations complètes sur le traitement des plaintes ont été publiées de part et d’autre de l’Atlantique. Toutefois, le faible nombre de plaintes reçues jusqu’à présent dans le cadre du DPF souligne l’importance pour les autorités américaines de lancer des activités de surveillance concernant la conformité des entreprises certifiées par le CPD avec les principes fondamentaux du DPF. L’EDPB encourage les autorités américaines à élaborer des orientations clarifiant les exigences que les entreprises certifiées par le CPD devraient respecter lorsqu’elles transfèrent des données à caractère personnel qu’elles ont reçues d’exportateurs de l’UE. Des directives des autorités américaines sur les données relatives aux ressources humaines seraient également les bienvenues. L’EDPB se déclare disposé à fournir un retour d’information sur ces documents d’orientation.
  • En ce qui concerne l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’UE vers des organisations certifiées, l’EDPB s’est concentré sur la mise en œuvre effective des garanties introduites par le décret présidentiel 14086 dans le cadre juridique américain, telles que les principes de nécessité et de proportionnalité et le nouveau mécanisme de recours. Le comité estime que les éléments du mécanisme de recours sont en place; dans le même temps, elle renouvelle son appel à la Commission européenne pour qu’elle contrôle le fonctionnement pratique des différentes garanties, par exemple la mise en œuvre des principes de nécessité et de proportionnalité. L’EDPB recommande également à la Commission de suivre les évolutions futures liées à la loi américaine sur la surveillance du renseignement étranger, en particulier compte tenu de la portée étendue de l’article 702 après sa réautorisation par le Congrès des États-Unis au début de cette année.

Enfin, le comité recommande que le prochain réexamen de la décision d’adéquation UE-États-Unis ait lieu dans un délai de trois ans ou moins.

Disponible sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.