La Commission européenne de protection des données (EDPB[1]) a publié, le 28 février 2023, son opinion sur la décision d’adéquation avec les États-Unis en préparation.

Dans un rapport d’une cinquantaine de pages, l’EDPB a analysé le niveau de protection offert par les États-Unis aux personnes dont les données à caractère personnel sont transférées et tente de déterminer si ce niveau de protection est conforme aux exigences du RGPD[2].

De manière générale, l’EDPB s’est montré plutôt critique envers le nouveau cadre législatif proposé par les États-Unis, appelé « Data Privacy Framework » (DPF) :

  • le nouveau texte n’est pas toujours applicable et les exceptions nécessitent « des précisions » ;
  • sa structure et sa numérotation « rendent les informations plutôt difficiles à trouver » et ne « permettent pas aux personnes, aux entreprises et aux autorités d’avoir une bonne compréhension » ;
  • certaines définitions manquent, notamment pour les termes d’« agent » et de « sous-traitant » ;
  • certains principes du texte ont certes évolué, mais ils restent « essentiellement inchangés » par rapport au texte précédent (le « Privacy Shield ») ;
  • les protections relatives aux transferts de données vers d’autres pays devraient être « clarifiées » ;
  • le niveau de protection des personnes vis-à-vis des traitements de données automatisées, notamment couplés à l’intelligence artificielle, est « variable selon les secteurs » ;
  • les procédures de contrôle sont les mêmes que celles présentes dans le Privacy Shield.

Concernant l’utilisation des données des personnes européennes, l’EDPB souligne des améliorations, comme l’avait fait la Commission LIBE[3], mais précise que des clarifications doivent être apportées, notamment sur la « collecte temporaire de données en masse » et l’utilisation des données issues de cette collecte. Une autorité indépendante devrait également pouvoir intervenir.

Enfin, l’EDPB accueille favorablement l’instauration d’un tribunal dédié aux questions de la protection des données (« Data Protection Review Court »), mais précise que son fonctionnement devrait être surveillé.

Pour conclure, l’EPPB appelle la Commission européenne à étudier ses demandes et apporter des précisions avant de poursuivre.

« L’EDPB suggère que ces préoccupations soient prises en compte et que la Commission fournisse les clarifications demandées afin de consolider les fondements du projet et d’assurer un suivi étroit de la mise en œuvre concrète de ce nouveau cadre juridique »

— EDPB, Avis du 28/02/2023, §1.2

Lire :

Notes et références

  1. CEPD : Comité Européen de la Protection des Données.
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le 15 février 2023, la Commission LIBE a également émis un avis critique concernant la décision d’adéquation en préparation. Voir « PROTECTION DES DONNÉES – Le Parlement européen incité à ne pas adopter une nouvelle décision d’adéquation avec les États-Unis par sa Commission LIBE ».