Le groupe de travail 'article 29', qui réunit les autorités de protection des données personnelles des États membres, a rendu un avis plutôt favorable à l’accord-cadre transatlantique ('umbrella agreement') de protection des données personnelles conclu en juin 2016 entre l’Union européenne et les États-Unis (EUROPE 11564).
Dans un avis publié fin octobre, le groupe estime que cet accord représente une étape positive qui va compléter les accords bilatéraux existant actuellement en la matière, tels que l'accord PNR sur le transfert des données des passagers aériens ou l'accord SWIFT/TFTP, et renforcer en principe considérablement les sauvegardes existantes.
Les régulateurs européens insistent désormais sur la mise en œuvre effective de cet accord-cadre et soulignent la nécessité d’offrir aux Européens les garanties permises par le 'Judicial Redress Act', législation qui offre en théorie aux ressortissants européens le droit de déposer des recours devant les juridictions américaines en cas de mauvaise utilisation de leurs données, en l’occurrence dans le cadre des activités de surveillance du gouvernement américain.
À ce propos, les régulateurs européens demandent quelques précisions aux autorités américaines en ce qui concerne les limitations prévues par la législation américaine. Celle-ci « comporte diverses limites et conditions préalables quant au champ d'application, aux causes de l'action, à la désignation des organismes visés et à l'application de la loi sur la protection des renseignements personnels (Privacy Act) » dans les affaires judiciaires, explique le groupe.
Le gouvernement des États-Unis devrait aussi être invité à fournir des assurances supplémentaires expliquant et confirmant la portée des droits de recours accordés aux personnes concernées dans l'UE. En particulier, des clarifications s'avèrent nécessaires sur la façon dont les documents des autorités répressives des États-Unis sont exemptés de l'application du 'Privacy Act' et la compatibilité de cette exemption avec l'accord-cadre.
« De plus, certaines précisions peuvent être nécessaires pour garantir que le niveau de protection des données à caractère personnel fourni par l'accord-cadre est pleinement compatible avec le droit communautaire. Il convient en particulier de tenir compte des points suivants : les définitions des notions de 'données à caractère personnel' et de 'traitement des données' diffèrent des définitions de l'UE », précise le groupe 'Article 29'. La période de conservation des données devrait aussi être définie plus strictement en fonction de l'objectif poursuivi.
Les restrictions aux droits d'accès des individus sont en outre « très larges et l'accès pourrait être amélioré par la mise en place d'un mécanisme de droit d'accès indirect », estime le groupe de travail qui souhaiterait encore davantage de clarté sur la manière dont l'accord est conforme aux droits fondamentaux de l'UE et donc à la sécurité juridique de l'accord-cadre. (Solenn Paulic)