Le Comité européen de la protection des données (CEPD), qui réunit les autorités de protection des données des États membres de l’UE, a publié, lundi 18 novembre, son rapport sur la troisième évaluation du fonctionnement du dispositif transatlantique de protection des données, le ‘Privacy Shield’.
Globalement, le rapport salue les efforts déployés par les autorités américaines pour mettre en œuvre le dispositif, ainsi que l'achèvement de la procédure de nomination au Conseil américain de surveillance de la vie privée et des libertés civiles (PCLOB) et la nomination de Keith Krach au poste de médiateur permanent (‘Ombudsperson’). Mais il souligne surtout que plusieurs des préoccupations soulevées par le CEPD lors de la seconde évaluation (EUROPE 12181/9) restent d’actualité.
C’est notamment le cas des pouvoirs du médiateur, chargé de gérer les plaintes des Européens dont les données sont traitées par des entreprises américaines, jugés largement insuffisants pour exercer efficacement ses fonctions.
« Le CEPD n'est pas en mesure de conclure que le médiateur est investi de pouvoirs suffisants pour accéder à l'information et remédier à la non-conformité. Ainsi, il ne peut toujours pas affirmer que le médiateur peut être considéré comme un 'recours effectif devant un tribunal' au sens de l'Art. 47 de la Charte des droits fondamentaux de l'UE », écrit-il dans son rapport.
Dans son évaluation, présentée le 23 octobre dernier (EUROPE 12355/9), la Commission européenne, pour sa part, avait estimé que la première plainte déposée auprès du médiateur par l’intermédiaire de l'autorité croate de protection des données - même si elle a finalement été jugée irrecevable - avait permis de démontrer le bon fonctionnement du mécanisme.
Le CEPD n'est pas du même avis et, dans son rapport, il rappelle aussi que le médiateur n'est pas investi de pouvoirs qui seraient généralement conférés aux tribunaux ou à d'autres organismes indépendants pour remplir leur rôle. Il souligne aussi que les décisions du médiateur ne peuvent pas être portées en justice pour un contrôle juridictionnel et que, par conséquent, il est impossible pour le plaignant d’obtenir réparation lorsque le médiateur n’agit pas ou lorsqu’il fournit une réponse non satisfaisante au plaignant.
Les autorités européennes de protection des données continuent par ailleurs de penser que des améliorations sont nécessaires en ce qui concerne les contrôles de conformité au dispositif. À leurs yeux, les mesures prises par les autorités américaines se sont concentrées jusqu'ici sur les violations procédurales du cadre plutôt que sur le fond et il estime que la substance même des principes du dispositif n’est pas vérifiée.
D'autres domaines nécessitent aussi une attention particulière, selon le CEPD, notamment l'application des exigences concernant les transferts ultérieurs, la collecte des données par les autorités publiques ou encore le processus de recertification.
Le CEPD rappelle en outre que plusieurs de ses préoccupations seront traitées par la Cour de Justice de l’Union européenne dans le cadre de l’affaire ‘Schrems II’ (C-311/18). Les conclusions de l'avocat général sont attendues le 12 décembre 2019 (EUROPE 12292/15).
Voir le rapport : http://bit.ly/2O4i24B (Marion Fontana)