Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Protection des données à caractère personnel

1990/0287(COD)

La Commission a présenté son rapport sur le troisième examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis.

Durant sa troisième année de fonctionnement, le bouclier de protection des données, auxquelles participaient plus de 5000 entreprises au moment de la réunion consacrée à l’examen annuel, est sorti de sa phase initiale pour entrer dans une phase plus opérationnelle. Le troisième examen annuel, qui couvre à la fois les aspects commerciaux et les questions liées à l’accès des pouvoirs publics aux données à caractère personnel, a porté essentiellement sur l’expérience acquise et les leçons tirées de la mise en œuvre concrète du cadre.

Principales conclusions

Aspects commerciaux

L'évaluation par la Commission des aspects commerciaux s'est notamment concentrée sur les progrès réalisés par le ministère du commerce en ce qui concerne :

- Le processus de renouvellement de la certification

Lorsqu’une société n’a pas achevé le processus de renouvellement de sa certification au terme du délai fixé, il est de pratique courante que le ministère américain du Commerce lui accorde un délai de grâce d’une durée substantielle, conformément à une procédure interne. Pendant cette période (d’une durée approximative de trois mois et demi, voire plus longue dans certains cas), la société continue de figurer dans la liste des participants «actifs» du bouclier de protection des données.

Dès lors qu’une société figure dans la liste des participants au bouclier de protection des données, les obligations prévues par le cadre restent contraignantes et entièrement exécutoires. Le rapport note toutefois que le fait qu’une société continue de figurer dans la liste des participants actifs au bouclier pendant une si longue période alors qu’elle n’a pas effectué le renouvellement de sa certification dans les délais impartis nuit à la transparence et à la lisibilité de la liste du bouclier de protection des données. En outre, une telle pratique n’encourage pas les sociétés participant au bouclier à respecter rigoureusement l’obligation de renouveler leur certification chaque année.

- Les vérifications sur place aléatoires

En ce qui concerne les vérifications proactives de la conformité des entreprises aux exigences du bouclier de protection de la vie privée, le ministère du Commerce a introduit en avril 2019 un système dans lequel il vérifie 30 entreprises chaque mois. La Commission se félicite des vérifications sur place aléatoires régulières et systématiques de la conformité. Toutefois, elle note que ces vérifications tendent à se limiter à des exigences formelles, telles que l’absence de réponse de points de contact désignés ou le fait que la politique de confidentialité d’une société ne soit pas disponible en ligne. Le respect de ces contrôles aléatoires est crucial pour la continuité du bouclier de protection de la vie privée et devrait faire l'objet d'une surveillance et d'une application strictes par les autorités américaines.

- Les outils de détection des fausses déclarations

Le fait que le ministère du commerce avait continué d’effectuer des recherches chaque trimestre a permis de détecter un nombre important de fausses déclarations. Toutefois, les recherches ont ciblé uniquement les sociétés qui avaient d’une façon ou d’une autre déjà été certifiées ou qui avaient demandé une certification au titre du bouclier de protection des données. Le rapport souligne l’importance que les sociétés qui n’ont jamais demandé de certification au titre du bouclier de protection des données le soient également. Parmi tous les types de fausses déclarations, celles des sociétés qui n’ont jamais demandé de certification sont potentiellement les plus préjudiciables.

- Progrès et résultats des mesures de répression prises par la commission fédérale du commerce en réaction aux violations du bouclier

Depuis l’année dernière, la commission fédérale du commerce a mené à leur terme sept mesures répressives concernant des violations des principes du bouclier de protection des données, notamment grâce aux opérations «coups de balai» menées d’office qu’elle avait annoncées. Les sept cas portaient tous sur de fausses déclarations de participation au cadre. La Commission, tout en saluant les mesures répressives prises par la commission fédérale du commerce au cours de la troisième année de fonctionnement du bouclier de protection des données, s’attendait à une ligne de conduite plus énergique en matière d’actions répressives concernant les violations substantielles des principes du bouclier.

Accès et utilisation des données personnelles par les autorités publiques américaines

Le troisième examen annuel visait, tout d'abord, à confirmer que toutes les limites et les garanties sur lesquelles repose la décision d'adéquation restent en place. En outre, le troisième examen annuel a été l'occasion d'examiner les faits nouveaux et de clarifier davantage certains aspects du cadre juridique, ainsi que les différents mécanismes de contrôle et les possibilités de recours, en particulier en ce qui concerne le traitement et la résolution des plaintes par le Médiateur.

Conclusion

Les informations recueillies dans le cadre du troisième examen annuel confirment les conclusions de la Commission dans sa décision d'adéquation, tant en ce qui concerne les aspects commerciaux du cadre que les aspects relatifs à l'accès aux données à caractère personnel transférées par les autorités publiques dans le cadre du bouclier de la vie privée. À cet égard, la Commission a noté un certain nombre d'améliorations dans le fonctionnement du cadre ainsi que des nominations au sein des principaux organes de surveillance.

Toutefois, à la lumière de certaines questions qui sont ressorties de l'expérience quotidienne ou qui sont devenues plus pertinentes, la Commission conclut qu'un certain nombre de mesures concrètes doivent être prises pour mieux assurer le fonctionnement efficace du bouclier de la protection de la vie privée dans la pratique :

- le ministère du Commerce devrait raccourcir les différents délais accordés aux entreprises pour achever le processus de renouvellement de la certification. Une période maximale de 30 jours au total semblerait raisonnable pour permettre aux entreprises de disposer d'un délai suffisant, y compris pour rectifier tout problème identifié dans le processus de renouvellement, tout en assurant l'efficacité de ce processus. Si, à l'expiration de ce délai, le renouvellement n'est pas terminé, le ministère du commerce devrait envoyer la lettre d'avertissement sans plus tarder.

- dans le cadre de sa procédure de vérification aléatoire, le ministère du commerce devrait évaluer dans quelle mesure les entreprises respectent le principe de responsabilité en matière de transferts ultérieurs, notamment en faisant usage de la possibilité offerte par le bouclier de protection de la vie privée de demander un résumé ou une copie représentative des dispositions d'un contrat conclu par une entreprise certifiée aux fins du transfert ultérieur.

- le ministère du Commerce devrait mettre au point des outils pour détecter les fausses allégations de participation au bouclier des entreprises qui n'ont jamais demandé la certification, et utiliser ces outils de façon régulière et systématique.

- la commission fédérale du commerce devrait, en priorité, trouver des moyens de partager des informations utiles sur les enquêtes en cours avec la Commission, ainsi qu'avec les autorités de protection des données de l'UE qui ont également des responsabilités en matière d'application dans le cadre du bouclier de protection de la vie privée.

- les autorités de protection des données de l'UE, le ministère américain du commerce et la commission fédérale du commerce devraient élaborer des orientations communes sur la définition et le traitement des données relatives aux ressources humaines dans les mois à venir.

Enfin, la Commission continuera de suivre de près le débat en cours sur la législation fédérale en matière de protection de la vie privée aux États-Unis. Une approche globale de la protection de la vie privée et des données augmenterait la convergence entre les systèmes de l'UE et des États-Unis, ce qui renforcerait les fondements sur lesquels le cadre de protection de la vie privée a été élaboré.