Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont publié, vendredi 12 juillet, leur évaluation préliminaire conjointe sur les implications du ‘CLOUD Act’ américain pour le cadre européen de protection des données.
Demandée par la commission des libertés civiles (LIBE) du PE en janvier dernier (EUROPE 12166/4), l’évaluation visait surtout à clarifier ce que devaient faire les prestataires de services qui se trouveraient dans une situation de conflit entre l’application de la loi américaine et l’application de la loi européenne, à savoir le Règlement général sur la protection des données (GDPR).
La loi américaine prévoit en effet que les fournisseurs de services américains seront obligés de se conformer aux ordres de divulgation de données impartis par les autorités américaines, quel que soit le lieu de stockage de ces données.
Or, du côté de l’UE, l’article 48 du règlement GDPR sur les enquêtes étrangères interdit le transfert ou la divulgation de données à caractère personnel, sauf en vertu d'un traité d’assistance judiciaire mutuelle ou d'un autre accord international, par exemple celui que la Commission européenne va négocier avec les États-Unis sur l’accès transfrontière aux preuves électroniques détenues par un prestataire de services dans le cadre de procédures pénales (EUROPE 12278/20).
Dans le document, les deux autorités confirment donc « qu'à l'heure actuelle, à moins qu'un mandat en vertu du ‘CLOUD Act' américain ne soit reconnu ou rendu exécutoire sur la base d'un accord international, la licéité de tels transferts de données personnelles ne peut être établie, sauf circonstances exceptionnelles où le traitement est nécessaire afin de protéger les intérêts vitaux de la personne concernée ».
De plus, dans les cas où il existe un accord international tel qu'un traité d'entraide judiciaire, les entreprises de l'UE devraient généralement refuser les demandes directes et renvoyer l'autorité du pays tiers demandeur à un traité ou accord d'entraide judiciaire existant, écrivent-elles. Cette façon de procéder permet, selon elles, de garantir que les données soient divulguées conformément au droit de l'UE et sous le contrôle des tribunaux européens.
Par ailleurs, le document souligne que le traité d'entraide judiciaire déjà en vigueur entre l'UE et les États-Unis ne contient que très peu de dispositions pertinentes du point de vue de la protection des données. Ce faisant, les deux autorités appellent à mettre en œuvre d’urgence une nouvelle génération de traités d’entraide judiciaire permettant un traitement beaucoup plus rapide et sûr des demandes.
Le Comité européen et le Contrôleur européen de la protection des données rappellent aussi que tout accord entre l’UE et les États-Unis sur l’accès transatlantique aux preuves électroniques devra contenir suffisamment de garanties adéquates en matière de protection des données, être conforme au droit de l'UE et garantir une réciprocité des conditions dans lesquelles les deux parties peuvent avoir accès aux données.
Voir le document : https://bit.ly/2LUsH16 (Marion Fontana)