Cadre de protection des données UE-États-Unis, accès aux données pour les services répressifs : le CEPD adopte deux nouveaux documents
Lors de sa dernière session plénière, le Comité européen de la protection des données (CEPD) a adopté son premier rapport sur le cadre Union Européenne (UE) - États-Unis de protection des données (Data Privacy Framework – DPF), ainsi qu’une déclaration sur les recommandations relatives à l'accès aux données par les services répressifs.
Le 4 novembre 2024, le CEPD s’est réuni en séance plénière et a adopté plusieurs documents importants.
Un rapport sur la décision d’adéquation UE-États-Unis
Un rapport sur la première revue de la décision d’adéquation UE-États-Unis a ainsi été adopté par le CEPD, après que la Commission européenne a publié le sien le 9 octobre dernier.
Le CEPD salue les efforts déployés par les autorités étatsuniennes et la Commission européenne pour mettre en œuvre le DPF, y compris le mécanisme de recours, depuis l’adoption de la décision d'adéquation en juillet 2023. Selon le CEPD, la mise en place d’un mécanisme de recours doit être accompagnée d’un contrôle régulier par les autorités étatsuniennes, du respect des exigences du DPF par les entreprises certifiées. Le CEPD encourage par ailleurs l'élaboration d'orientations par les autorités américaines, clarifiant les exigences de conformité pour les entreprises certifiées lorsqu'elles transfèrent les données reçues d'exportateurs de l'UE.
En ce qui concerne l'accès des autorités publiques étasuniennes aux données de l'UE reçues par les organismes certifiés, le CEPD invite la Commission européenne à contrôler le fonctionnement pratique des différentes garanties – par exemple, comment les principes de nécessité et de proportionnalité sont interprétés et appliqués par les autorités compétentes. Elle l’invite également à suivre les évolutions de la législation étasunienne, en particulier du Foreign Intelligence Surveillance Act (FISA) qui encadre la collecte de données personnelles de ressortissants étrangers par les services de renseignement étatsuniens.
Le CEPD recommande à la Commission européenne que le prochain réexamen du DPF ait lieu dans un délai maximum de trois ans.
Une déclaration sur l’accès aux données par les services répressifs
Lors de cette plénière, le CEPD a également adopté une déclaration sur les recommandations publiées en juin 2024 par le groupe d'experts de haut niveau sur l'accès aux données en vue d'une répression efficace (High-Level Group on Access to Data for Effective Law Enforcement – HLG).
Depuis son lancement en juin 2023, le HLG a produit 42 recommandations portant notamment sur le chiffrement et la nécessité d'harmoniser les règles relatives à la conservation des données.
Dans cette déclaration, le CEPD s’inquiète de voir les services répressifs susceptibles d’être dotés de capacités excessives. Il souligne un risque élevé de graves interférences avec les droits fondamentaux, en particulier en ce qui concerne la conservation des données, leur sécurité et leur chiffrement.
Si le CEPD note positivement que la recommandation pourrait conduire à l'établissement de conditions uniformisées en matière de conservation des données, il n’accueillerait pas favorablement une obligation large et générale de conservation des données sous forme électronique par tous les fournisseurs de services.
Cette déclaration souligne également l’importance de préserver l’usage du chiffrement pour éviter que le respect de la vie privée et de la confidentialité ne soit négativement affecté.