Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Protection des données à caractère personnel

1990/0287(COD)

La Commission a présenté son second examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis.

Le 12 juillet 2016, la Commission a adopté une décision dans laquelle elle constatait que le bouclier de protection des données UE-États-Unis (le «bouclier de protection des données») assure un niveau de protection adéquat des données à caractère personnel transférées depuis l'Union européenne vers des organisations établies aux États-Unis. La décision d’adéquation prévoit notamment un examen annuel de tous les aspects du fonctionnement du bouclier.

Le premier examen annuel a eu lieu en 2017, et la Commission a conclu que les États-Unis continuaient d’assurer un niveau adéquat de protection des données à caractère personnel transférées de l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données. La Commission a formulé dix recommandations pour améliorer le cadre du bouclier de protection des données afin de veiller à ce que les garanties et garde-fous qu'il prévoit continuent de fonctionner conformément à l’intention première.

Ce rapport conclut le second examen annuel du fonctionnement du bouclier de protection des données. L’examen de cette année s’inscrivait dans le contexte des problèmes liés à la confidentialité des données, qui acquièrent de plus en plus une dimension mondiale, comme en témoigne l’affaire Facebook/Cambridge Analytica. Lors de l’examen, les deux parties ont souligné la nécessité de s’attaquer à ces violations des données à caractère personnel, notamment au travers des actions répressives énergiques de l’autorité de protection des données de l’UE et de la commission fédérale du commerce des États-Unis.

Constatations 

Aspects commerciaux

La Commission a noté que conformément à ses recommandations tirées du premier examen annuel, le ministère américain du commerce a encore renforcé le processus de certification et introduit de nouvelles procédures de surveillance, en ce compris : (i) une nouvelle procédure qui oblige les primodemandeurs à retarder leurs déclarations publiques concernant leur participation au bouclier de protection des données jusqu’à la clôture de l’examen de leur certification par le ministère du commerce, (ii) de nouveaux mécanismes pour déceler les problèmes potentiels de conformité, comme des vérifications sur place aléatoires (à la date de l’examen annuel, ces vérifications aléatoires avaient été effectuées sur quelque 100 organisations) et le suivi des rapports publics concernant les pratiques en matière de protection de la vie privée des participants, et (iii) un examen trimestriel des sociétés reconnues comme davantage susceptibles de faire de fausses déclarations et un système de recherche d’images et de textes sur l’internet.

Depuis le premier examen annuel, le ministère du commerce a renvoyé plus de 50 cas devant la commission fédérale du commerce qui, à son tour, a pris des mesures répressives lorsque le renvoi en tant que tel ne suffisait pas pour assurer la mise en conformité de la société en question.

En ce qui concerne l’application des principes du bouclier, la Commission a noté que la commission fédérale du commerce a récemment délivré des injonctions administratives afin d’exiger des informations auprès de plusieurs participants au bouclier de protection des données. Bien que la Commission considère que la nouvelle approche plus proactive de la commission fédérale du commerce en matière de suivi de la mise en conformité constitue une avancée importante, elle regrette qu’à ce stade il ne soit pas possible de fournir davantage d'informations sur ses enquêtes récentes et elle suivra de près tout nouvel élément dans ce dossier.

Accès aux données à caractère personnel et à leur utilisation par les pouvoirs publics américains

- renouvellement des autorités relevant de la section 702 de la loi sur la surveillance et le renseignement étranger début de l’année 2018 : si ce renouvellement n’a pas abouti à l’inclusion des protections prévues par la directive présidentielle n°28 dans la loi, comme l’avait suggéré la Commission, elle n’a pas non plus limité les garanties prévues dans la loi, qui étaient en vigueur au moment où la décision sur le bouclier de protection des données a été adoptée. De plus, les modifications n'ont pas élargi les compétences des services de renseignement américains leur permettant d’acquérir des informations provenant de services de renseignement étrangers en ciblant des ressortissants non américains en vertu de la section 702. En lieu et place, la loi de 2017 a introduit un certain nombre de garanties supplémentaires limitées quant à la protection de la vie privée, par exemple dans le domaine de la transparence.

- Conseil de surveillance de la vie privée et des libertés civiles : de nouveaux membres du Conseil ont été nommés, le quorum étant ainsi atteint. Le rapport du Conseil a été publié le 16 octobre 2018 et confirme que la directive présidentielle n°28 est intégralement appliquée dans l’ensemble des services de renseignement. Les éléments pertinents des services de renseignement ont adopté des règles détaillées sur la mise en œuvre de cette directive et ont modifié leurs pratiques afin de les mettre en conformité avec les exigences de la directive présidentielle n°28.

Conclusions

De ces constatations, la Commission tire la conclusion que les États-Unis continuent d’assurer un niveau adéquat de protection des données à caractère personnel transférées depuis l'Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données. En particulier, les mesures prises pour mettre en œuvre les recommandations de la Commission à la suite du premier examen annuel ont amélioré plusieurs aspects du fonctionnement pratique du cadre afin de veiller à ce que le niveau de protection des personnes physiques garanti par la décision d’adéquation ne soit pas compromis.

Enfin, bien que la Commission ait recommandé la nomination rapide du médiateur du bouclier de protection des données, le poste de sous-secrétaire d’État au sein du département d’État, à qui la fonction de médiateur a été attribuée, n’avait pas encore été pourvu par une nomination permanente à la date du rapport.

Dès lors, la Commission a invité à nouveau l’administration américaine à confirmer son engagement politique en faveur du mécanisme du médiateur en désignant en priorité un médiateur permanent pour le bouclier de protection des données. Le mécanisme du médiateur est un élément important du cadre du bouclier de protection des données et bien que le médiateur faisant fonction continue d’exercer les fonctions qui s’y rapportent, l’absence de nomination permanente crée une situation profondément insatisfaisante à laquelle il convient de remédier au plus vite. La Commission attend des autorités américaines qu’elles trouvent un candidat pour occuper le poste de médiateur à titre permanent d’ici au 28 février 2019.