Bruxelles, le 7 avril - Le comité européen de la protection des données a adopté une déclaration sur l’annonce d’un nouveau cadre transatlantique de protection des données. Le comité européen de la protection des données salue la volonté des États-Unis de prendre des mesures «sans précédent» pour protéger la vie privée et les données à caractère personnel des individus au sein de l’Espace économique européen (EEE) lorsque leurs données sont transférées vers les États-Unis comme un premier pas positif dans la bonne direction.
Le comité européen de la protection des données note que cette annonce ne constitue pas un cadre juridique sur la base duquel les exportateurs de données de l’EEE peuvent transférer des données vers les États-Unis. Les exportateurs de données doivent continuer de prendre les mesures nécessaires pour se conformer à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et en particulier à sa décision Schrems II du 16 juillet 2020. Le comité européen de la protection des données accordera une attention particulière à la manière dont cet accord politique est traduit en propositions juridiques concrètes.
Le comité européen de la protection des données a hâte d’examiner de près les améliorations que le nouveau cadre pourrait apporter à la lumière du droit de l’Union, de la jurisprudence de la CJUE et des recommandations précédentes du comité, une fois qu’il aura reçu tous les documents justificatifs de la part de la Commission européenne. En particulier, le comité européen de la protection des données analysera si la collecte de données à caractère personnel à des fins de sécurité nationale est limitée à ce qui est strictement nécessaire et proportionné. En outre, le comité européen de la protection des données examinera comment le mécanisme de recours indépendant respecte le droit des individus, dans l’EEE, à un recours effectif et à un procès équitable. Plus précisément, le comité européen de la protection des données examinera si toute nouvelle autorité faisant partie de ce mécanisme a accès aux informations pertinentes, y compris aux données à caractère personnel, dans l’exercice de sa mission et si elle peut adopter des décisions contraignantes pour les services de renseignement. Le comité européen de la protection des données examinera également s’il existe un recours juridictionnel contre les décisions ou l’inaction de cette autorité.
Le comité européen de la protection des données réitère qu’il reste déterminé à jouer un rôle constructif dans la sécurisation des transferts transatlantiques de données à caractère personnel qui profitent aux individus et aux organisations de l’EEE.
Ensuite, le comité européen de la protection des données a adopté une lettre dans laquelle il fait part de ses préoccupations quant à l’évolution récente de la législation en Belgique visant à réformer la loi établissant l’autorité de contrôle belge (AC BE), étant donné qu’elle pourrait avoir une incidence négative sur la stabilité et l’indépendance de l’autorité belge.
Le comité européen de la protection des données souligne que le contrôle indépendant, dont il craint qu’il soit affecté par les réformes proposées, est essentiel au droit fondamental à la protection des données et, pour cette raison, qu’il est protégé par la charte et le traité sur l’UE. Il s’agit également de la pierre angulaire de l’application effective des règles prévues par le RGPD et de la coopération effective entre les AC. De plus, le comité européen de la protection des données s’inquiète de la conformité des propositions avec le RGPD et avec la jurisprudence stricte de la CJUE. En particulier, le comité européen de la protection des données a mentionné les questions soulevées par l’interruption du mandat actuel des membres externes de l’AC BE et l’ajout de motifs pour la révocation des membres. Le comité européen de la protection des données se demande également comment les différentes propositions conduisant à un contrôle parlementaire accru peuvent être liées à l’obligation pour les AC de demeurer «libres de toute influence extérieure» conformément à l’article 52, paragraphe 2, du RGPD. En outre, le comité européen de la protection des données affirme que la proposition législative visant à rendre obligatoire l’utilisation d’un centre de services partagé peut être contraire à la liberté de l’AC de choisir et de disposer de ses propres agents (article 52, paragraphe 5, du RGPD), ce qui pourrait donner lieu à une influence externe indirecte sur la stabilité et le fonctionnement de l’AC BE.
Enfin, le comité européen de la protection des données a convenu de demander le statut d’observateur lors de la conférence de printemps des autorités européennes de protection des données. La conférence de printemps offre une plateforme de dialogue aux autorités chargées de la protection des données de toute l’Europe, y compris des pays n’appartenant pas à l’EEE. Cette demande s’inscrit dans le cadre de la stratégie 2021-2023 du comité européen de la protection des données consistant à renforcer le dialogue avec la communauté internationale et à favoriser la coopération entre les membres du comité et les autorités de protection des données de pays tiers.
Aleid Wolfsen, vice-président du comité européen de la protection des données, a déclaré: «La coopération internationale est essentielle au respect des droits en matière de protection des données dans l’EEE et au-delà. Il s’agit d’une nouvelle avancée importante dans le renforcement de notre dialogue avec la communauté internationale en vue de promouvoir les normes de l’UE en matière de protection des données et de garantir une protection efficace des données à caractère personnel au-delà des frontières de l’UE.»
EDPB_Press Release_2022_05