Le Conseil européen de la protection des données (EDPB), l’organisme européen qui supervise toutes les agences européennes de protection des données, dont la Cnil, se félicite en avril 2022 d’un accord politique sur un futur Privacy Shield 2.0. Toutefois, il attend des propositions concrètes de la Commission européenne et des Etats-Unis pour s’engager.
« L‘annonce d’un accord politique de principe entre la Commission européenne et les États-Unis le 25 mars sur un nouveau cadre transatlantique de protection des données », est un point positif pour le Conseil européen de la protection des données (EDPB). De même que « l’engagement pris par les États-Unis de prendre des mesures « sans précédent » pour protéger la vie privée et les données personnelles des personnes de l’Espace économique européen (EEE) lorsque leurs données sont transférées aux États-Unis, constitue un premier pas dans la bonne direction ».
« Cette annonce ne constitue pas un cadre juridique »
Toutefois, l’EDPB remarque que cette annonce posant les bases diplomatiques d’un futur Privacy Shield 2.0 « ne constitue pas un cadre juridique sur la base duquel les exportateurs de données de l’EEE peuvent transférer des données vers les États-Unis ». L’EDPB les invite donc à continuer de prendre les mesures nécessaires pour se conformer à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et en particulier à sa décision Schrems II du 16 juillet 2020. L’EDPB déclare d’ailleurs qu’il accordera une attention particulière à la manière dont cet accord politique se traduira par des propositions juridiques concrètes.
Le RGPD impose à la Commission de lui demander son avis
L’EDPB rappelle au passage que le RGPD impose à la Commission de lui demander son avis avant d’adopter une éventuelle nouvelle décision d’adéquation ou une directive reconnaissant par exemple comme satisfaisant le niveau de protection des données garanti par les autorités américaines. Par conséquent, les responsables de l’EDPB disent attendre tous les documents justificatifs de la Commission européenne.
L’EDPB analysera en particulier si la collecte de données personnelles à des fins de sécurité nationale est limitée à ce qui est strictement nécessaire et proportionné. En outre, l’EDPB examinera comment le mécanisme de recours indépendant annoncé respecte le droit des individus de l’EEE à un recours effectif et à un procès équitable.
Plus spécifiquement, l’EDPB explique aussi qu’elle examinera si toute nouvelle autorité faisant partie de ce mécanisme a accès aux informations pertinentes, y compris les données personnelles, dans l’exercice de sa mission et si elle peut adopter des décisions contraignantes pour les services de renseignement. Enfin, l’EDPB examinera également s’il existe un recours judiciaire contre les décisions ou l’inaction de cette autorité.
