Le Comité européen de la protection des données (CEPD, ou EDPB en anglais), qui regroupe l’ensemble des autorités de protection des données au niveau européen, « se félicite des améliorations apportées par le cadre de protection de la vie privée des données entre l'UE et les États-Unis », mais souligne que « des inquiétudes subsistent ».
Le CEPD vient de se prononcer sur la proposition faite par les États-Unis à la Commission européenne de créer un nouveau cadre juridique pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains.
Dans son communiqué, le CEPD explique accueillir favorablement plusieurs « améliorations substantielles », telles que l'introduction d'exigences reflétant « les principes de nécessité et de proportionnalité » dans la collecte de données par les services de renseignement américains, tels que prévus dans l'Executive Order (EO) 14086 (voir notre précédent article à ce sujet), ainsi qu'un « nouveau mécanisme de recours » pour les personnes dont les données auraient pu être collectées par le renseignement états-unien.
Le CEPD souligne cela dit qu'une « surveillance étroite est nécessaire » concernant l'application pratique des principes de nécessité et de proportionnalité nouvellement introduits. L'organisme demande aussi une « plus grande clarté » au sujet de la collecte temporaire, de la conservation, ainsi que la diffusion ultérieure des données collectées en vrac.
Il exprime en outre des « préoccupations » et demande des « clarifications » sur plusieurs points relatifs aux droits des personnes concernées, aux transferts ultérieurs, au champ d'application des exemptions, à la collecte temporaire de données en vrac et au fonctionnement pratique du mécanisme de recours.
La lecture de son opinion de 54 pages est ardue, farcie de subtilités juridiques et techniques, reposant notamment sur la complexité des mécanismes de surveillance et de contrôle des services de renseignement américain, ainsi que de la jurisprudence européenne. Elle n'en est pas moins fort instructive au vu des enjeux de ce serpent de mer qu'est le cadre juridique de la protection des flux de données transatlantique.
