52018DC0860

COMMISSION EUROPÉENNE

Bruxelles, le 19.12.2018

COM(2018) 860 final

RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL

sur le second examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis

{SWD(2018) 497 final}

1.SECOND EXAMEN ANNUEL - FINALITÉ, PRÉPARATION ET PROCÉDURE

Le 12 juillet 2016, la Commission a adopté une décision (ci-après la «décision d’adéquation») dans laquelle elle constatait que le bouclier de protection des données UE-États-Unis (ci-après le «bouclier de protection des données») assure un niveau de protection adéquat des données à caractère personnel transférées depuis l'Union européenne vers des organisations établies aux ÉtatsUnis 1 . La décision d’adéquation prévoit notamment un examen annuel de tous les aspects du fonctionnement du bouclier par la Commission. Le premier examen annuel a eu lieu les 18 et 19 septembre 2017 à Washington et, le 18 octobre 2017, la Commission a adopté son rapport au Parlement européen et au Conseil 2 , accompagné d’un document de travail des services de la Commission [SWD(2017) 344 final] 3 .

Sur la base de ses constatations tirées du premier examen, la Commission a conclu que les États-Unis continuaient d’assurer un niveau adéquat de protection des données à caractère personnel transférées de l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données. La Commission a considéré dans le même temps que la mise en œuvre concrète du cadre du bouclier de protection des données pouvait faire l’objet d’améliorations afin de veiller à ce que les garanties et garde-fous qu'il prévoit continuent de fonctionner conformément à l’intention première. À cet effet, la Commission a formulé dix recommandations.

Le présent rapport conclut le second examen annuel du fonctionnement du bouclier de protection des données. Ce rapport et le document de travail des services de la Commission qui l’accompagne [SWD(2018) 497] suivent la même structure que le premier examen annuel. Ils couvrent tous les aspects du fonctionnement du bouclier de protection des données, en tenant compte également des changements survenus l’année dernière. Un élément central de l’appréciation de la Commission a été la mise en œuvre de ses recommandations tirées du premier examen annuel.

Dans le cadre de la préparation du second examen annuel, la Commission a collecté des informations auprès de différents acteurs [en particulier des sociétés certifiées dans le cadre du bouclier de protection des données par l’intermédiaire de leurs associations professionnelles respectives, et des organisations non gouvernementales (ONG) actives dans le domaine des droits fondamentaux et, en particulier, des droits numériques et du respect de la vie privée], ainsi qu’auprès des autorités américaines compétentes en la matière et associées à la mise en œuvre du cadre.

La réunion consacrée au second examen annuel s’est tenue à Bruxelles les 18 et 19 octobre 2018. Elle a été ouverte par Věra Jourová, commissaire européenne pour la justice, les consommateurs et l'égalité des genres, Wilbur Ross, secrétaire d’État américain au commerce, Joseph Simons, président de la commission fédérale du commerce, et Andrea Jelinek, présidente du comité européen de la protection des données. L’examen a été mené, pour l’Union, par des représentants de la direction générale de la justice et des consommateurs de la Commission européenne. La délégation de l’UE comprenait également sept représentants désignés par le comité européen de la protection des données (l’organe indépendant qui réunit des représentants des autorités nationales chargées de la protection des données des États membres de l’UE ainsi que le contrôleur européen de la protection des données).

Pour les États-Unis, des représentants du ministère du commerce, du département d’État, de la commission fédérale du commerce, du ministère des transports, du bureau du directeur du renseignement national américain, du ministère de la justice ainsi que des membres du conseil de surveillance de la vie privée et des libertés civiles ont participé à l’examen, tout comme le médiateur faisant fonction et l’inspecteur général des services de renseignement. En outre, des représentants d’une organisation qui propose des services indépendants de règlement des litiges dans le cadre du bouclier de protection des données et l’Association américaine d’arbitrage ont fourni des informations lors des sessions d’examen concernées. Enfin, l’examen a pu compter sur les exposés d’organisations certifiées dans le cadre du bouclier de protection des données, qui ont expliqué comment les sociétés se mettent en conformité avec les exigences du cadre.

Les conclusions de la Commission ont en outre été alimentées par une étude commandée par la Commission et des données accessibles au public, telles que des décisions de justice, des règles et procédures de mise en œuvre édictées par les autorités américaines compétentes, des rapports et études d’organisations non gouvernementales, des rapports concernant la transparence publiés par des sociétés certifiées dans le cadre du bouclier de protection des données, des rapports annuels émanant de mécanismes de recours indépendants ainsi que des rapports parus dans les médias.

L’examen de cette année s’inscrivait dans le contexte des problèmes liés à la confidentialité des données, qui acquièrent de plus en plus une dimension mondiale, comme en témoigne l’affaire Facebook/Cambridge Analytica. Tant l’Union européenne que les États-Unis sont conscients des défis similaires auxquels ils sont confrontés lorsqu'il s’agit de protéger les données à caractère personnel. Lors de l’examen, les deux parties ont souligné la nécessité de s’attaquer à ces violations des données à caractère personnel, notamment au travers des actions répressives énergiques de l’autorité de protection des données de l’UE et de la commission fédérale du commerce des États-Unis.

Le rapport de la Commission tient aussi compte du débat en cours sur la législation fédérale en matière de respect de la vie privée aux États-Unis. La convergence entre nos deux systèmes sur le long terme renforcerait les bases sur lesquelles le cadre du bouclier de protection des données a été développé.

2.CONSTATATIONS ET CONCLUSIONS

Le second examen annuel a couvert à la fois les «aspects commerciaux» du cadre du bouclier de protection des données et les questions relatives à l’accès des autorités aux données à caractère personnel.

En ce qui concerne les «aspects commerciaux», à savoir les questions concernant l’administration, la surveillance et l’exécution des obligations s’appliquant aux sociétés certifiées, la Commission a noté que conformément à ses recommandations tirées du premier examen annuel, le ministère américain du commerce a encore renforcé le processus de certification et introduit de nouvelles procédures de surveillance. Le ministère du commerce a notamment adopté une nouvelle procédure qui oblige les primodemandeurs à retarder leurs déclarations publiques concernant leur participation au bouclier de protection des données jusqu’à la clôture de l’examen de leur certification par le ministère du commerce. En outre, le ministère du commerce a introduit de nouveaux mécanismes pour déceler les problèmes potentiels de conformité, comme des vérifications sur place aléatoires (à la date de l’examen annuel, ces vérifications aléatoires avaient été effectuées sur quelque 100 organisations) et le suivi des rapports publics concernant les pratiques en matière de protection de la vie privée des participants au bouclier de protection des données. Dans sa recherche des fausses déclarations de participation au bouclier, le ministère du commerce utilise désormais de manière active divers outils, par exemple un examen trimestriel des sociétés reconnues comme davantage susceptibles de faire de fausses déclarations et un système de recherche d’images et de textes sur l’internet. Grâce à ces pratiques et procédures nouvellement introduites, le ministère du commerce a, depuis le premier examen annuel, renvoyé plus de 50 cas devant la commission fédérale du commerce qui, à son tour, a pris des mesures répressives lorsque le renvoi en tant que tel ne suffisait pas pour assurer la mise en conformité de la société en question.

En ce qui concerne l’application des principes du bouclier, la Commission a noté que la commission fédérale du commerce, dans le cadre de ses efforts pour veiller de manière proactive au respect des principes du bouclier de protection des données, a récemment délivré des injonctions administratives afin d’exiger des informations auprès de plusieurs participants au bouclier de protection des données. La commission fédérale du commerce a aussi confirmé que son enquête dans l’affaire Facebook/Cambridge Analytica est en cours. Bien que la Commission considère que la nouvelle approche plus proactive de la commission fédérale du commerce en matière de suivi de la mise en conformité constitue une avancée importante, elle regrette qu’à ce stade il ne soit pas possible de fournir davantage d'informations sur ses enquêtes récentes et elle suivra de près tout nouvel élément dans ce dossier.

Le second examen annuel a aussi pris en compte les avancées pertinentes survenues dans le système juridique américain en matière de protection des données. Il s'agit notamment de la consultation entamée par le ministère du commerce au sujet d’une approche fédérale de la protection des données ainsi que du processus de réflexion de la commission fédérale du commerce sur ses compétences actuelles dans le domaine de la protection de la vie privée et sur l’efficacité de l’utilisation de son autorité actuelle de remédiation.

Comme l’ont démontré l’affaire Facebook/Cambridge Analytica et d’autres révélations, il serait important que l’Union européenne et les États-Unis parviennent à une plus grande convergence dans les réponses apportées. Dans cet esprit, la Commission a observé avec grand intérêt les initiatives susmentionnées et a participé au processus de consultation du ministère du commerce à l’aide d’une contribution écrite 4 .

En ce qui concerne les aspects liés à l’accès aux données à caractère personnel et à leur utilisation par les pouvoirs publics américains, le second examen annuel a porté sur les avancées correspondantes observées dans le cadre juridique américain, notamment en ce qui concerne les politiques et les procédures des agences y afférentes, sur les tendances récentes en matière d’activités de surveillance et sur les développements dans la mise en place et le fonctionnement de mécanismes importants de surveillance et de recours.

Le fait juridique le plus marquant dans le domaine de l’accès des pouvoirs publics a été le renouvellement des autorités («reauthorization») relevant de la section 702 de la loi sur la surveillance et le renseignement étranger («Foreign Intelligence Surveillance Act - FISA», ci-après la «loi») au début de l’année 2018. Si ce renouvellement n’a pas abouti à l’inclusion des protections prévues par la directive présidentielle n° 28 dans la loi, comme l’avait suggéré la Commission, elle n’a pas non plus limité les garanties prévues dans la loi, qui étaient en vigueur au moment où la décision sur le bouclier de protection des données a été adoptée. De plus, les modifications n'ont pas élargi les compétences des services de renseignement américains leur permettant d’acquérir des informations provenant de services de renseignement étrangers en ciblant des ressortissants non américains en vertu de la section 702. En lieu et place, la loi de 2017 sur le renouvellement des autorités portant modification de la loi sur la surveillance et le renseignement étranger de 1978 («FISA Amendments Reauthorization Act») a introduit un certain nombre de garanties supplémentaires limitées quant à la protection de la vie privée, par exemple dans le domaine de la transparence.

Le conseil de surveillance de la vie privée et des libertés civiles, qui ne comptait plus qu'un seul membre lors du premier examen annuel, a également connu des changements importants. La Commission avait recommandé la nomination rapide des membres manquants du conseil. Le 11 octobre 2018, le sénat américain a confirmé les nominations du président du conseil de surveillance de la vie privé et des libertés civiles ainsi que de deux autres membres, le quorum étant ainsi atteint, ce qui permet au conseil d’exercer pleinement toutes ses fonctions. Après le premier examen annuel, la Commission avait aussi recommandé la publication du rapport du conseil sur la directive présidentielle n° 28. Le rapport a été publié le 16 octobre 2018 5 et confirme que la directive présidentielle n° 28 est intégralement appliquée dans l’ensemble des services de renseignement. Il confirme notamment qu’en plus de la publication de la directive présidentielle n° 28, les éléments pertinents des services de renseignement ont adopté des règles détaillées sur la mise en œuvre de cette directive et ont modifié leurs pratiques afin de les mettre en conformité avec les exigences de la directive présidentielle n° 28.

Enfin, bien que la Commission ait recommandé la nomination rapide du médiateur du bouclier de protection des données, le poste de sous-secrétaire d’État au sein du département d’État, à qui la fonction de médiateur a été attribuée, n’avait pas encore été pourvu par une nomination permanente à la date du présent rapport. À cet égard, la Commission a pris note du fait que lors du second examen annuel, le gouvernement américain a reconnu la nécessité de nommer rapidement un sous-secrétaire permanent et a confirmé que ce processus était engagé.

À la date du présent rapport, le mécanisme du médiateur n’avait encore reçu aucune demande. Une plainte adressée au médiateur avait cependant été déposée auprès de l’autorité croate de protection des données et les contrôles appropriés étaient effectués.

Les constatations détaillées relatives au fonctionnement de tous les aspects du cadre du bouclier de protection des données deux ans après son entrée en vigueur sont présentées dans le document de travail des services de la Commission sur le second examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [SWD(2018) 497], qui accompagne le présent rapport.

Les informations recueillies dans le cadre du second examen annuel confirment les conclusions formulées par la Commission dans la décision d’adéquation, tant en ce qui concerne les «aspects commerciaux» du cadre que les aspects liés à l’accès aux données à caractère personnel transférées au titre du bouclier de protection des données par les autorités américaines.

De ces constatations, la Commission tire la conclusion que les États-Unis continuent d’assurer un niveau adéquat de protection des données à caractère personnel transférées depuis l'Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données.

En particulier, les mesures prises pour mettre en œuvre les recommandations de la Commission à la suite du premier examen annuel ont amélioré plusieurs aspects du fonctionnement pratique du cadre afin de veiller à ce que le niveau de protection des personnes physiques garanti par la décision d’adéquation ne soit pas compromis.

Certaines de ces mesures n'ont toutefois été prises que récemment et les procédures correspondantes sont toujours en cours. Toute autre évolution relative à ces procédures doit donc être suivie de près, notamment parce qu’elles touchent à des éléments qui sont essentiels pour la continuité du constat d’adéquation. Cela concerne notamment:

1.l’efficacité des mécanismes introduits par le ministère du commerce au cours de la deuxième année de fonctionnement du cadre afin de suivre de manière proactive le respect par les sociétés certifiées des principes du bouclier de protection des données, en particulier le respect des exigences et obligations de fond;

2.l’efficacité des instruments mis en place par le ministère du commerce depuis le premier examen annuel pour déceler les fausses déclarations de participation au cadre, en s’attachant particulièrement à la recherche des fausses déclarations des sociétés qui n’ont jamais demandé de certification;

3.l’évolution et l’issue des opérations «coups de balai» menées d’office par la commission fédérale du commerce au cours de la deuxième année de fonctionnement du bouclier de protection au moyen d’injonctions administratives pour détecter les violations sur le fond du bouclier;

4.le développement d’orientations supplémentaires menées conjointement par le ministère du commerce, la commission fédérale du commerce et les autorités de protection des données de l’UE sur des éléments nécessitant des éclaircissements (par exemple, les données en matière de ressources humaines);

5.la nomination d'un médiateur permanent du bouclier de protection des données;

6.l’efficacité du traitement et de la résolution des plaintes par le médiateur.

En particulier, la Commission invite à nouveau l’administration américaine à confirmer son engagement politique en faveur du mécanisme du médiateur en désignant en priorité un médiateur permanent pour le bouclier de protection des données. Le mécanisme du médiateur est un élément important du cadre du bouclier de protection des données et bien que le médiateur faisant fonction continue d’exercer les fonctions qui s’y rapportent, l’absence de nomination permanente crée une situation profondément insatisfaisante à laquelle il convient de remédier au plus vite. La Commission attend des autorités américaines qu’elles trouvent un candidat pour occuper le poste de médiateur à titre permanent d’ici au 28 février 2019 et qu’elles l’informent sur l’identité de la personne nommée. Si cette nomination n’a pas lieu pour cette date, la Commission envisagera alors de prendre les mesures appropriées, conformément au règlement général sur la protection des données 6 . La Commission escompte aussi recevoir des informations précises et détaillées sur tous les aspects mentionnés ci-dessus afin de pouvoir évaluer si les mesures prises sont efficaces dans la pratique.

Enfin, la Commission continuera à suivre de près le débat en cours sur la législation fédérale en matière de protection de la vie privée aux États-Unis. Compte tenu de l’importance des flux de données transatlantiques, la Commission encourage les États-Unis à adopter un système complet de protection des données et de la vie privée et à devenir partie à la convention n° 108 du Conseil de l’Europe. C’est par une telle approche globale que la convergence entre nos deux systèmes peut être assurée sur le long terme, ce qui renforcerait également les bases sur lesquelles le cadre du bouclier de protection des données a été élaboré.

(1)

Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO L 2017 du 1.8.2016, p. 1).

(2)

Rapport de la Commission au Parlement européen et au Conseil sur le premier examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [COM(2017) 611 final], voir http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(3)

Document de travail des services de la Commission accompagnant le rapport de la Commission au Parlement européen et au Conseil sur le premier examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis [SWD(2017) 344 final], voir http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(4)

Disponible à l’adresse suivante: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf

(5)

«Report to the President on the Implementation of Presidential Policy Directive 28: Signals Intelligence Activities», disponible à l'adresse suivante: https://www.pclob.gov/reports/report-PPD28/

(6)

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Choose the experimental features you want to try