Passer au contenu

Données personnelles US-UE : les CNILS européennes valident le nouveau cadre transatlantique, avec quelques réserves

Un mois après la Commission européenne, le comité européen de protection des données (EDPB) publie son bilan de la mise en œuvre du DPF, le nouvel accord qui encadre le transfert de données personnelles des Européens aux États-Unis.

Des progrès, mais des améliorations sont encore possibles : voilà le bilan dressé par les CNILS européennes, les gardiens de nos données personnelles et de notre vie privée, à propos du DPF, le « Data Privacy Framework », un an après son adoption. Mardi 5 novembre, le Comité européen de la protection des données (ou EDPB) a publié son analyse du premier bilan de cet accord qui encadre, depuis juillet 2023, les transferts de données personnelles de l’Europe vers les États-Unis.

Le texte controversé remplace le « Privacy Shield », le précédent accord annulé par la Cour de justice de l’Union européenne à deux reprises. Les juges européens avaient estimé en 2015 et en 2020, que les accords précédents n’offraient pas aux Européens suffisamment de garanties lorsque leurs données personnelles étaient transférées sur le sol américain.

À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête

Des « efforts » et « des améliorations significatives »

Un nouveau cadre avait alors été adopté en juillet 2023, le DPF, donnant lieu en octobre 2024 à un premier état des lieux de la Commission européenne. Un mois plus tôt, Bruxelles avait en effet publié un bilan plutôt positif du nouveau cadre transatlantique.

À lire aussi : Un an après le nouvel accord US-UE sur les données personnelles, Bruxelles estime que les autorités américaines jouent le jeu

De son côté, l’EDPB dans un communiqué publié sur son site Web « salue les efforts déployés par les autorités américaines et la Commission européenne pour mettre en œuvre le DPF ». Le comité européen reconnaît qu’il y a bien eu « des améliorations significatives par rapport à l’ancien cadre du Privacy Shield ».

Comme nous vous l’expliquions dans cet article, Washington a ajouté de nouveaux garde-fous au précédent accord, offrant sur le papier davantage de droits aux Européens, dont les données personnelles finissent sur le sol américain ou dans les mains des services secrets américains.

Mais ces nouvelles garanties avaient été jugées insuffisantes par le Parlement européen et d’autres organisations et politiques.

À lire aussi : « C’est une bombinette » : notre souveraineté numérique en danger avec la loi sur le renseignement US, selon ce député

Transfert de données UE-US : la nouvelle cour de Biden déjà sous le feu des critiques

Comment l’Europe a abandonné vos données personnelles aux espions américains

Transfert des données Europe/États-Unis : le député Philippe Latombe nous explique son coup de poker

Des points d’amélioration relevés par les CNILs européennes

De son côté, l’organisme qui réunit les CNIL des 27 pays de l’Union européenne note plusieurs points d’amélioration pour « maintenir un niveau élevé de protection des données et sauvegarder les droits et libertés des individus de l’UE ».

Si un nouveau mécanisme de recours pour les citoyens de l’UE a été mis en œuvre – les Européens peuvent en théorie contester l’accès des services secrets américains à leurs données personnelles – il n’aurait été que très peu utilisé. Les CNILs européennes notent en effet  « le faible nombre de plaintes reçues à ce jour dans le cadre du DPF » – aucune n’aurait été initiée – d’où « l’importance pour les autorités américaines de lancer des activités de contrôle concernant le respect des principes fondamentaux du DPF par les entreprises certifiées par le DPF ». C’est un point que devrait attentivement surveiller la Commission, y compris lors des futures révisions du DPF, écrivent les CNILs européennes dans leur rapport.

Des entreprises « pas conscientes » des nouvelles exigences du DPF ?

En d’autres termes, les autorités américaines sont invitées à davantage contrôler le bon respect du DPF par les sociétés qui transfèrent des données personnelles des Européens aux États-Unis. L’EDPB préconise d’ailleurs la mise en place de guides pratiques à destination de ces dernières, qui sauront précisément à quoi elles doivent se conformer.  Certaines entreprises certifiées par le DPF ne seraient pas « conscientes des exigences » contenues dans le nouvel accord, note le Comité européen.

L’EDPB s’inquiète également de l’extension de la définition du « fournisseur de services de communications électroniques » adoptée en avril dernier lors du renouvellement de la loi FISA. Il demande à la Commission européenne de « suivre les développements futurs liés à la loi américaine sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act, FISA) ». Le prochain examen de l’exécutif européen ne devrait avoir lieu que dans trois ans, un timing que les CNILs européennes jugent approprié. 

À lire aussi : Les États-Unis prolongent finalement de 2 ans la loi FISA : les services secrets américains pourront continuer à nous espionner jusqu’en 2026

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Communiqué de l'EDPB (en anglais)


Votre opinion
  1. @Stéphanie Bascou

    J’ai regardé la petite vidéo associée à l’article concernant les données de santé.

    Tous les citoyens européens ne sont pas et ne seront pas logés à la même enseigne … pour des raisons de sécurité nationale (présidents, ministres, militaires, peut-être les membres de la commission européenne mais pas les députés européens … etc …).
    Faut-il par exemple autoriser la publication des données de santé de celui ou celle qui sera président de la République Française dans 30 ans ? (la réponse est bien évidemment NON). Donc ni opt-in ni opt-out, c’est un non catégorique (et en plus on fera des économies d’électricité (produite avec du charbon ou pétrole de schiste aux USA) en n’entrainant pas les IA sur nos données).
    Aujourd’hui en croisant les fichiers et demain avec le quantique la pseudo-anonymisation est un gag.

    J’avais demandé au secrétariat général des ministères sociaux en France (ministères du travail, de la santé, des sports) le retrait de mes données de santé de la Plateforme des Données de Santé (HDH) au titre du RGPD il y a plus de 4 ans. J’attends toujours leur réponse …

Les commentaires sont fermés.