EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52019DC0495
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the third annual review of the functioning of the EU-U.S. Privacy Shield
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL sur le troisième examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL sur le troisième examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis
COM/2019/495 final
COMMISSION EUROPÉENNE
Bruxelles, le 23.10.2019
COM(2019) 495 final
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
sur le troisième examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis
{SWD(2019) 390 final}
1.TROISIÈME EXAMEN ANNUEL — CONTEXTE, PRÉPARATION ET PROCÉDURE
Le 12 juillet 2016, la Commission a adopté une décision (ci-après la «décision d’adéquation») dans laquelle elle constatait que le bouclier de protection des données UE-États-Unis (ci-après le «bouclier de protection des données») assure un niveau de protection adéquat des données à caractère personnel transférées depuis l’Union européenne vers des organisations établies aux États‑Unis 1 . La décision d’adéquation exige notamment que la Commission effectue un examen annuel de tous les aspects du fonctionnement du bouclier et que sur cette base, elle établisse un rapport public à présenter au Parlement européen et au Conseil.
Le premier examen annuel a eu lieu en septembre 2017 à Washington et en octobre 2017, la Commission a adopté son rapport au Parlement européen et au Conseil, 2 accompagné d’un document de travail des services de la Commission [SWD(2017) 344 final] 3 . La Commission a conclu que les États-Unis continuaient d’assurer un niveau adéquat de protection des données à caractère personnel transférées de l’Union vers les États-Unis dans le cadre du bouclier de protection des données, mais a toutefois formulé dix recommandations en vue d’améliorer la mise en œuvre concrète du bouclier.
Le second examen annuel a eu lieu en octobre 2018 à Bruxelles, et en décembre 2018, la Commission a adopté son rapport au Parlement européen et au Conseil, 4 accompagné à nouveau d’un document de travail des services de la Commission [SWD(2018) 487 final] 5 . Les informations recueillies dans le cadre du second examen annuel ont confirmé les conclusions formulées par la Commission dans la décision d’adéquation, en ce qui concerne tant les «aspects commerciaux» du cadre (c’est-à-dire les aspects relatifs au respect par les sociétés certifiées des exigences du bouclier de protection ainsi que les questions concernant l’administration, la surveillance et le contrôle du respect de ces exigences par les autorités américaines compétentes) que les aspects liés à l’accès des autorités publiques aux données à caractère personnel transférées au titre du bouclier de protection des données.
En particulier, les mesures prises pour mettre en œuvre les recommandations formulées par la Commission à la suite du premier examen ont permis d’améliorer plusieurs aspects du fonctionnement du cadre dans la pratique. Par exemple, le ministère américain du commerce a introduit de nouveaux mécanismes pour déceler les éventuels problèmes de conformité, la commission fédérale du commerce a adopté une approche plus proactive en matière de suivi et d’exécution des obligations de mise en conformité, et le rapport du conseil de surveillance de la vie privée et des libertés civiles concernant la directive présidentielle nº 28 6 a été publié. Toutefois, la Commission a conclu qu’il convenait de suivre de près toute autre évolution relative à ces procédures et à ces mécanismes, étant donné que certaines de ces mesures ont été prises juste avant le second examen annuel et que certaines procédures étaient encore en cours.
En outre, bien que la fonction de médiateur dans le cadre du bouclier de protection des données soit exercée par le sous-secrétaire d’État faisant fonction et que le mécanisme du médiateur soit donc pleinement fonctionnel, la Commission a souligné l’importance de pourvoir à titre permanent le poste de médiateur du bouclier de protection des données et a en particulier invité les autorités américaines à trouver un candidat pour occuper ce poste avant le 28 février 2019.
La réunion consacrée au troisième examen annuel s’est tenue à Washington les 12 et 13 septembre 2019. Elle a été ouverte par Tiina Astola, directrice générale de la direction générale de la justice et des consommateurs de la Commission européenne, Wilbur Ross, secrétaire d’État américain au commerce, Joseph Simons, président de la commission fédérale du commerce, et Ventsislav Karadjov, vice-président du comité européen de la protection des données. Pour l’Union, l’examen a été mené par des représentants de la direction générale de la justice et des consommateurs de la Commission européenne. Huit représentants désignés par le comité européen de la protection des données 7 ont également participé à cette réunion.
Pour les États-Unis, des représentants du ministère du commerce, du département d’État, de la commission fédérale du commerce, du ministère des transports, du bureau du directeur du renseignement national américain et du ministère de la justice, ainsi que des membres du conseil de surveillance de la vie privée et des libertés civiles ont participé à l’examen, tout comme le médiateur récemment nommé (à titre permanent, voir ci-dessous) et l’inspecteur général des services de renseignement. En outre, des représentants de deux organisations qui proposent des services indépendants de règlement des litiges dans le cadre du bouclier de protection des données, de même que l’association américaine d’arbitrage, qui est chargée de la gestion du groupe d’arbitrage du bouclier de protection des données, ont fourni des informations lors des sessions d’examen concernées. Enfin, des exposés d’organisations certifiées dans le cadre du bouclier de protection des données décrivant les mesures prises par les sociétés pour se mettre en conformité avec les exigences du cadre ont également nourri l’examen.
Pour préparer le troisième examen annuel, la Commission a recueilli des informations auprès de différents acteurs concernés [en particulier des sociétés certifiées dans le cadre du bouclier de protection des données par l’intermédiaire de leurs associations professionnelles respectives, et des organisations non gouvernementales (ONG) actives dans le domaine des droits fondamentaux et, en particulier, des droits numériques et du respect de la vie privée]. Parallèlement à la collecte de contributions écrites, la Commission a rencontré des associations industrielles et professionnelles le 9 septembre 2019, et des ONG le 11 septembre 2019.
Les conclusions de la Commission ont été étayées par des données accessibles au public, telles que des décisions de justice, des règles et procédures de mise en œuvre édictées par les autorités américaines compétentes, des rapports et études d’organisations non gouvernementales, des rapports concernant la transparence publiés par des sociétés certifiées dans le cadre du bouclier de protection des données, des rapports annuels émanant de mécanismes de recours indépendants ainsi que des rapports parus dans les médias.
Le présent rapport conclut le troisième examen annuel du fonctionnement du bouclier de protection des données. Ce rapport et le document de travail des services de la Commission qui l’accompagne [SWD(2019) 390 final] suivent la même structure que les documents relatifs aux deux examens annuels précédents. Le rapport couvre tous les aspects du fonctionnement du cadre du bouclier de protection, en s’attachant particulièrement aux éléments que la Commission a jugé nécessaire de suivre de près lors du second examen annuel.
Lors de son évaluation, la Commission a également pris en considération les évolutions intervenues au cours de l’année écoulée, notamment l’affaire relative au bouclier de protection des données en instance devant la Cour de justice de l’Union européenne 8 . À cet égard, l’examen a permis à la Commission de recevoir des éclaircissements des autorités américaines au sujet de certains aspects spécifiques du cadre légal américain régissant la collecte d’informations provenant de services de renseignement étrangers, lesquels aspects ont été abordés dans le contexte de l’affaire Schrems II. Toutefois, une fois que la Cour aura statué sur les affaires en cours, la Commission pourra être amenée à réévaluer la situation.
2.CONSTATATIONS
Durant sa troisième année de fonctionnement, le bouclier de protection des données, auxquelles participaient plus de 5 000 entreprises au moment de la réunion consacrée à l’examen annuel, est sorti de sa phase initiale pour entrer dans une phase plus opérationnelle. Le troisième examen annuel, qui couvre à la fois les aspects commerciaux et les questions liées à l’accès des pouvoirs publics aux données à caractère personnel, a porté essentiellement sur l’expérience acquise et les leçons tirées de la mise en œuvre concrète du cadre.
Les constatations détaillées relatives au fonctionnement du cadre du bouclier de protection des données trois ans après son entrée en vigueur sont présentées dans le document de travail des services de la Commission sur le troisième examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [SWD(2019) 390 final], qui accompagne le présent rapport.
2.1.Aspects commerciaux
À la lumière des conclusions de l’examen annuel de l’année dernière, l’évaluation des aspects commerciaux effectuée par la Commission a porté en particulier sur les progrès accomplis par le ministère du commerce en ce qui concerne: i) le processus de renouvellement de la certification, ii) l’efficacité des mécanismes introduits par le ministère du commerce pour veiller de manière proactive au respect par les sociétés certifiées des principes du bouclier de protection des données (les «vérifications sur place aléatoires»), iii) les instruments mis en place pour déceler les fausses déclarations, iv) l’évolution et l’issue des mesures de répression prises par la commission fédérale du commerce en réaction aux violations du bouclier de protection des données, et v) les évolutions concernant les orientations en matière de données relatives aux ressources humaines.
En ce qui concerne le processus de renouvellement de la certification, le troisième examen annuel révèle que lorsqu’une société n’a pas achevé le processus de renouvellement de sa certification au terme du délai fixé, il est de pratique courante que le ministère du commerce lui accorde un délai de grâce d’une durée substantielle, conformément à une procédure interne. Pendant cette période (d’une durée approximative de trois mois et demi, voire plus longue dans certains cas et en fonction du moment où le ministère du commerce constate que le processus de renouvellement de la certification n’est pas terminé), la société continue de figurer dans la liste des participants «actifs» du bouclier de protection des données. Dès lors qu’une société figure dans la liste des participants au bouclier de protection des données, les obligations prévues par le cadre restent contraignantes et entièrement exécutoires. Toutefois, le fait qu’une société continue de figurer dans la liste des participants actifs au bouclier pendant une si longue période alors qu’elle n’a pas effectué le renouvellement de sa certification dans les délais impartis nuit à la transparence et à la lisibilité de la liste du bouclier de protection des données, tant pour les sociétés que pour les particuliers au sein de l’Union. En outre, une telle pratique n’encourage pas les sociétés participant au bouclier à respecter rigoureusement l’obligation de renouveler leur certification chaque année.
En ce qui concerne le suivi proactif du respect par les sociétés des principes du bouclier de protection des données, le ministère du commerce a introduit, en avril 2019, un système lui permettant de contrôler 30 entreprises par mois. La Commission se félicite du fait que le ministère du commerce procède de façon proactive, régulière et systématique, à des vérifications sur place aléatoires, ce qui est très important pour améliorer le respect global du cadre et pour déceler les cas nécessitant une action répressive de la part de la commission fédérale du commerce. Toutefois, elle note que ces vérifications sur place aléatoires tendent à se limiter à des exigences formelles, telles que l’absence de réponse de points de contact désignés ou le fait que la politique de confidentialité d’une société ne soit pas disponible en ligne. Bien qu’il s’agisse d’aspects certainement importants du respect des principes du bouclier de protection des données, ces vérifications devraient également porter sur des obligations de fond, telles que, par exemple, le respect du principe de responsabilité en cas de transfert ultérieur, et ce en faisant plein usage des instruments auxquels peut recourir le ministère du commerce au titre du cadre. Les exigences en matière de transferts ultérieurs ont été sensiblement renforcées dans le cadre du bouclier de protection des données, car le manque de garde-fous dans de telles situations compromettrait les protections garanties par le cadre. S’il convient de continuer à procéder de façon régulière et systématique à des vérifications sur place aléatoires, le respect de ces exigences davantage liées aux questions de fond est également essentiel pour la pérennité du bouclier de protection des données et devrait faire l’objet d’un suivi et d’une mise en œuvre stricts de la part des autorités américaines.
En ce qui concerne la recherche de fausses déclarations de participation au bouclier effectuée par le ministère du commerce, la Commission a noté que ce dernier avait continué d’effectuer des recherches chaque trimestre, ce qui a permis de détecter un nombre important de fausses déclarations, lesquelles ont, dans certains cas, également été portées à l’attention de la commission fédérale du commerce. Toutefois, seules les sociétés qui avaient d’une façon ou d’une autre déjà été certifiées ou qui avaient demandé une certification au titre du bouclier de protection des données (mais dont la certification n’avait pas été renouvelée, par exemple) ont été ciblées par ces recherches. Il importe que les sociétés qui n’ont jamais demandé de certification au titre du bouclier de protection des données le soient également. Parmi tous les types de fausses déclarations, celles des sociétés qui n’ont jamais demandé de certification sont potentiellement les plus préjudiciables. De telles pratiques portent en effet préjudice à la vie privée des particuliers, étant donné que les sociétés qui n’ont jamais demandé de certification n’ont mis en œuvre dans le cadre de leurs activités commerciales aucune des protections garanties par le bouclier de protection des données. Ces pratiques portent également préjudice aux sociétés, car les conditions de concurrence équitables s’affaiblissent si des sociétés ne respectant pas les exigences du cadre peuvent néanmoins se prévaloir des avantages de la certification.
La Commission a constaté avec satisfaction qu’un nombre croissant de personnes concernées dans l’Union font usage des droits dont elles disposent au titre du bouclier de protection des données et que les mécanismes de recours correspondants fonctionnent correctement. D’une part, le nombre de plaintes déposées auprès de mécanismes de recours indépendants a augmenté et d’autre part, celles-ci ont été réglées à la satisfaction des particuliers concernés au sein de l’Union. En outre, les requêtes formulées par des particuliers européens ont été traitées de façon appropriée par les sociétés participantes.
En ce qui concerne le contrôle du respect des principes du bouclier, la Commission a noté que depuis l’année dernière, la commission fédérale du commerce a mené à leur terme sept mesures répressives concernant des violations des principes du bouclier de protection des données, notamment grâce aux opérations «coups de balai» menées d’office qu’elle avait annoncées. Les sept cas portaient tous sur de fausses déclarations de participation au cadre. Deux de ces cas concernaient également la violation d’exigences davantage liées à des questions de fond prévues par le bouclier de protection des données, tels que l’absence de vérification, au moyen d’une autoévaluation ou d’un contrôle extérieur de la conformité, que les déclarations des sociétés relatives à leurs pratiques relevant du bouclier de protection des données sont sincères et que ces pratiques ont été mises en œuvre. La Commission salue les mesures répressives prises par la commission fédérale du commerce au cours de la troisième année de fonctionnement du bouclier de protection des données. Cependant, compte tenu de l’annonce faite l’année dernière par l’agence, d’une part, et des garanties fournies dans le cadre du second examen annuel, d’autre part, la Commission s’attendait à une ligne de conduite plus énergique en matière d’actions répressives concernant les violations substantielles des principes du bouclier de protection des données.
À cet égard, la Commission a pris note des explications données à l’occasion du troisième examen annuel, selon lesquelles certaines enquêtes en cours prennent plus de temps du fait que la commission fédérale du commerce passe en revue toutes les violations possibles. Cependant, les informations transmises par la commission fédérale du commerce étaient trop limitées pour évaluer de façon appropriée les progrès réalisés en matière d’actions répressives. Si l’accès à de telles informations est restreint pour des raisons légitimes de confidentialité, le fait que la commission fédérale du commerce ne puisse pas partager davantage d’éléments, même sous une forme agrégée et anonyme, au sujet des opérations «coups de balai» menées d’office n’est toutefois pas justifiable. Cette ligne de conduite n’est pas conforme à l’esprit de coopération entre les autorités sur lequel repose le bouclier de protection des données. La commission fédérale du commerce devrait trouver des moyens de partager les informations utiles concernant ses actions répressives avec la Commission, ainsi qu’avec les autorités de protection des données de l’Union qui sont conjointement responsables de la mise en œuvre effective du cadre.
La façon dont les données relatives aux ressources humaines sont traitées au titre du bouclier de protection des données a de nouveau été abordée au cours de l’examen. Comme l’ont confirmé les parties prenantes, l’élaboration d’orientations communes par le ministère du commerce, la commission fédérale du commerce et les autorités de protection des données de l’Union apporterait une véritable valeur ajoutée. À cet égard, la Commission constate que des contacts ont récemment eu lieu et ont permis d’améliorer la compréhension de ces questions, mais qu’ils n’ont pas encore permis d’aboutir à des résultats concrets.
2.2.Accès aux données à caractère personnel et utilisation de ces données par les autorités publiques américaines
En ce qui concerne les aspects liés à l’accès aux données à caractère personnel et à leur utilisation par les autorités publiques américaines, le troisième examen annuel visait avant tout à confirmer que l’ensemble des limitations et garde-fous sur lesquels repose la décision d’adéquation sont encore en place. Le troisième examen annuel a en outre permis de s’intéresser aux évolutions récentes et d’encore préciser certains aspects du cadre juridique ainsi que les différents mécanismes de surveillance et les moyens de recours, en particulier ceux relatifs au traitement et à la résolution des plaintes par le médiateur.
En dépit de l’absence de toute évolution juridique relative à la collecte d’informations provenant de services de renseignement étrangers effectuée en vertu de la section 702 de la loi sur la surveillance et le renseignement étranger («Foreign Intelligence Surveillance Act — FISA»), la Commission a salué les éclaircissements fournis par les autorités américaines en ce qui concerne la façon dont la collecte de renseignements est ciblée dans le cadre des programmes de surveillance menés au titre de la section 702 de la loi susmentionnée (c’est-à-dire les programmes Prism et Upstream). Ces éclaircissements corroborent les conclusions formulées par la Commission dans la décision d’adéquation, selon lesquelles la collecte d’informations provenant de services de renseignement étrangers effectuée en vertu de la section 702 de la loi sur la surveillance et le renseignement étranger s’effectue toujours en utilisant des critères de sélection, et le choix de ces critères de sélection est régi par la loi et peut faire l’objet d’une surveillance judiciaire et législative indépendante.
La Commission a également souligné que certaines habilitations permettant d’obtenir des informations provenant de services de renseignement étrangers au titre de la section 501 de la loi sur la surveillance et le renseignement étranger, telle que modifiée par l’USA FREEDOM Act de 2015, expirent le 15 décembre 2019. Étant donné que la collecte d’informations relevant de la section 501 de la loi sur la surveillance et le renseignement étranger est à prendre en compte dans le contexte du bouclier de protection des données et a par conséquent fait l’objet d’une évaluation aux fins de la décision d’adéquation de la Commission, il importe qu’en cas de renouvellement des habilitations («reauthorization»), les limitations et les garde-fous existants, telles que l’interdiction de la collecte en vrac, restent en place.
En ce qui concerne la directive présidentielle nº 28, les autorités américaines ont explicitement confirmé que celle-ci demeure pleinement en vigueur et qu’elle n’a fait l’objet d’aucune modification. En outre, aucune modification n’a été apportée aux procédures de mise en œuvre de la directive présidentielle nº 28 au sein des différentes agences des services de renseignement. De plus, la Commission a pris note des explications fournies par les autorités américaines selon lesquelles les dispositions de la directive présidentielle nº 28 relatives à la collecte en vrac, y compris celles relatives à l’acquisition temporaire, ne s’appliquent pas à la collecte d’informations provenant de services de renseignement étrangers effectuée aux États-Unis (par exemple, à la collecte d’informations auprès d’une société certifiée qui traite des données transférées depuis l’Union européenne au titre du bouclier de protection des données), telle que la collecte relevant de la section 702 de la loi sur la surveillance et le renseignement étranger effectuée au titre du programme Prism ou Upstream, étant donné que cette collecte est toujours ciblée.
En ce qui concerne le conseil de surveillance de la vie privée et des libertés civiles, un organe de surveillance important dans le domaine de la surveillance gouvernementale, la Commission s’est félicitée du fait que le sénat américain ait confirmé récemment la nomination de deux membres supplémentaires du conseil, permettant au conseil de surveillance de la vie privée et des libertés civiles de compter désormais cinq membres et d’être ainsi au complet pour la première fois depuis 2016. La Commission a également observé que les effectifs du conseil ont doublé depuis le dernier examen annuel, et que le conseil a adopté un programme de travail ambitieux qui consiste en dix projets de surveillance en cours, dont certains revêtent une importance particulière aux fins de l’examen périodique du bouclier de protection des données effectué par la Commission.
En ce qui concerne le mécanisme du médiateur du bouclier de protection des données, le président américain a annoncé le 18 janvier 2019 la nomination de Keith Krach au poste de sous-secrétaire d’État, lequel agira également en qualité de médiateur. Le 20 juin 2019, la nomination de M. Krach a été confirmée par le sénat. La Commission se félicite de la nomination de M. Krach comme médiateur du bouclier de protection des données en ce qu’elle garantit que le poste sera pourvu à titre permanent.
En ce qui concerne la première plainte déposée auprès du mécanisme du médiateur, par l’autorité croate de protection des données, peu avant le dernier examen annuel, celle-ci a été jugée irrecevable, étant donné qu’elle portait sur des faits survenus avant l’adoption de la décision relative au bouclier de protection des données. Cependant, la plainte a permis de tester dans la pratique le fonctionnement des procédures applicables. Les représentants du comité européen de la protection des données ayant participé à l’examen annuel et le médiateur ont tous confirmé que toutes les étapes correspondantes de la procédure avaient été déclenchées et menées à leur terme de façon satisfaisante. La Commission salue la réussite du traitement de cette première requête comme une indication importante que le mécanisme du médiateur peut exercer ses fonctions en bonne et due forme.
Les autorités américaines ont également fourni des explications supplémentaires sur la façon dont le médiateur travaillera avec d’autres organes de surveillance indépendants et remédiera aux violations. Elles ont notamment confirmé que toute plainte soumise au médiateur sera systématiquement portée à l’attention de l’inspecteur général des services de renseignement, qui procédera à sa propre évaluation. En outre, elles ont expliqué que si une plainte déposée auprès du médiateur met en lumière une violation des procédures de ciblage visées à la section 702 de la loi sur la surveillance et le renseignement étranger, cette violation sera portée devant le tribunal de la surveillance du renseignement étranger, qui réalisera un examen indépendant et, le cas échéant, ordonnera à l’agence de surveillance concernée de prendre des mesures correctives. Ces mesures peuvent être d’ordre individuel ou structurel, et aller, par exemple, de la suppression de données obtenues illégalement jusqu’au changement de pratique en matière de collecte des données, y compris en ce qui concerne les orientations et les formations destinées au personnel.
Enfin, il a été confirmé que si une violation de la législation américaine (y compris une violation de décrets présidentiels, de directives présidentielles et de règles et procédures d’une agence, telles que les procédures de ciblage et de minimisation approuvées par le tribunal de la surveillance du renseignement étranger) est décelée lors de l’examen d’une plainte déposée auprès du médiateur, les données collectées illégalement seraient supprimées de l’ensemble des bases de données gouvernementales et toute référence aux données en question serait retirée des rapports de renseignement. Un particulier de l’Union européenne serait ainsi en mesure d’obtenir la suppression de ses données à caractère personnel si celles-ci ont fait l’objet d’une collecte et d’un traitement illégaux par les services de renseignement américains.
La Commission accueille avec satisfaction ces explications supplémentaires, qui illustrent la façon dont la coopération entre les différents organes de surveillance indépendants renforce l’efficacité du mécanisme du médiateur. Il importait également de préciser qu’en recourant au mécanisme du médiateur, les particuliers de l’Union peuvent véritablement exercer leur droit à la suppression des données, ce qui constitue un élément fondamental du droit à la protection des données à caractère personnel.
3.CONCLUSION
Les informations recueillies dans le cadre du troisième examen annuel confirment les conclusions formulées par la Commission dans la décision d’adéquation, en ce qui concerne tant les aspects commerciaux du cadre que les aspects liés à l’accès des autorités publiques aux données à caractère personnel transférées au titre du bouclier de protection des données. À cet égard, la Commission a pris note d’un certain nombre d’améliorations apportées au fonctionnement du cadre ainsi que des nominations au sein des principaux organes de surveillance.
Toutefois, compte tenu de certains problèmes mis en lumière par les expériences vécues au quotidien ou devenus plus significatifs dans le contexte de la mise en œuvre pratique du cadre, la Commission conclut qu’un certain nombre de mesures concrètes doivent être prises pour mieux assurer le fonctionnement effectif du bouclier de protection des données dans la pratique:
1.Le ministère du commerce devrait abréger les divers délais dont disposent les sociétés pour mener à son terme le processus de renouvellement de leur certification. Un délai maximal de 30 jours semble raisonnable pour donner aux sociétés suffisamment de temps pour renouveler leur certification, y compris pour pallier tout problème survenu lors du processus de renouvellement, tout en garantissant l’efficacité de ce processus. Si le renouvellement de la certification n’est pas terminé à l’expiration de ce délai, le ministère du commerce devrait envoyer une lettre d’avertissement dans les meilleurs délais.
2.Dans le cadre de sa procédure de vérifications sur place aléatoires, le ministère du commerce devrait évaluer le respect par les sociétés du principe de responsabilité en cas de transfert ultérieur, notamment en faisant usage de la possibilité offerte par le bouclier de protection des données de demander un résumé ou une copie représentative des dispositions relatives à la protection de la vie privée figurant dans un contrat conclu aux fins de transferts ultérieurs par une société certifiée dans le cadre du bouclier de protection des données.
3.Le ministère du commerce devrait en priorité mettre en place des instruments permettant de déceler les fausses déclarations de participation au bouclier de protection des données émanant de sociétés qui n’ont jamais demandé de certification, et utiliser ces instruments de façon régulière et systématique.
4.La commission fédérale du commerce devrait en priorité trouver des moyens de partager les informations utiles relatives aux enquêtes en cours avec la Commission, ainsi qu’avec les autorités de protection des données de l’Union ayant également des responsabilités en matière de contrôle du respect des règles au titre du bouclier de protection des données.
5.Dans les prochains mois, les autorités de protection des données de l’Union, le ministère du commerce et la commission fédérale du commerce devraient élaborer des orientations communes concernant la définition et le traitement des données relatives aux ressources humaines.
La Commission continuera de suivre de près toute évolution relative à des éléments spécifiques du cadre du bouclier de protection des données, notamment i) le fonctionnement du mécanisme du médiateur, en particulier en cas de nouvelle plainte; ii) le résultat des projets de surveillance en cours lancés par le conseil de surveillance de la vie privée et des libertés civiles et des projets revêtant une importance particulière pour le bouclier de protection des données (par exemple, des projets liés à des requêtes de données obtenues au titre de la section 702 de la loi sur la surveillance et le renseignement effectuées par le Federal Bureau of Investigation (FBI), la mise en œuvre des recommandations relatives à la directive présidentielle nº 28 formulées par le conseil, etc.); iii) le renouvellement de la section 501 de la loi sur la surveillance et le renseignement étranger, notamment pour que les garde-fous existants restent en place; et iv) l’évolution de la jurisprudence américaine en matière de recours juridictionnel dans le domaine de la surveillance gouvernementale, en particulier en ce qui concerne la qualité pour agir en justice.
Enfin, la Commission continuera de suivre de près le débat en cours sur la législation fédérale en matière de protection de la vie privée aux États-Unis. Une approche globale de la protection des données et de la vie privée permettrait d’accroître la convergence entre les systèmes de l’Union et des États-Unis et de renforcer ainsi les bases sur lesquelles le cadre du bouclier de protection des données a été élaboré.
Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO L 207 du 1.8.2016, p. 1).
Rapport de la Commission au Parlement européen et au Conseil sur le premier examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [COM(2017) 611 final], voir http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Document de travail des services de la Commission accompagnant le rapport de la Commission au Parlement européen et au Conseil sur le premier examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [SWD(2017) 344 final], voir http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Rapport de la Commission au Parlement européen et au Conseil sur le second examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [COM(2018) 860 final], voir https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .
Document de travail des services de la Commission accompagnant le rapport de la Commission au Parlement européen et au Conseil sur le second examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [SWD(2018) 497 final], voir https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
«Presidential Policy Directive 28: Signals Intelligence Activities», du 17 janvier 2014, qui prévoit des limitations et des garde-fous importants pour les ressortissants non américains en matière de collecte de renseignement électromagnétique.
L’organe indépendant qui réunit des représentants des autorités nationales chargées de la protection des données des États membres de l’Union ainsi que le Contrôleur européen de la protection des données.
Voir l’affaire T-738/16, La quadrature du net/Commission. Des questions relatives au bouclier de protection des données ont également été soulevées dans le contexte de l’affaire C-311/18, Data Protection Commissioner/Facebook Ireland, Maximilian Schrems («Schrems II»), dans le cadre de laquelle une audience s’est déroulée le 9 juillet 2019 devant la grande chambre de la Cour de justice.
