L'EDPB met en œuvre des mécanismes de recours DPF pour les plaintes relatives aux données de l'UE
Le Comité européen de la protection des données (« EDPB ») a mis en œuvre deux mécanismes de recours distincts pour répondre aux préoccupations liées au traitement des données à caractère personnel transférées de l'UE et de l'EEE vers les États-Unis dans le cadre du DPF. Alors que l'un des mécanismes se concentre spécifiquement sur les plaintes relatives à la sécurité nationale, l'autre offre une voie plus large permettant aux individus de rechercher une solution à diverses questions relatives à la protection des données, garantissant ainsi une protection complète des droits des personnes concernées par les transferts transfrontaliers de données.
Le Comité européen de la protection des données (« EDPB ») a joué un rôle déterminant pour assurer la protection des données à caractère personnel transférées de l'UE et de l'EEE vers les États-Unis au titre du Data Privacy Framework (littéralement Cadre de protection des données UE - États-Unis et ci-après « DPF »). En réponse aux préoccupations concernant l'adéquation de la protection, l'EDPB a supervisé la mise en œuvre de deux mécanismes de recours importants, visant à répondre aux griefs liés au traitement des données à caractère personnel par les activités de renseignement d'origine électromagnétique des États-Unis.
Tout d'abord, suite à l'adoption de la décision d'adéquation du DPF par la Commission européenne le 10 juillet 2023, un nouveau mécanisme de recours a été mis en place, ciblant spécifiquement les plaintes liées à la sécurité nationale. Ce mécanisme est conçu pour traiter et résoudre les plaintes des personnes au sein de l'UE et de l'EEE alléguant l'accès illégal et l'utilisation de leurs données personnelles par les activités de renseignement d'origine électromagnétique des États-Unis
Il est important de noter que ce mécanisme est applicable quel que soit l'outil de transfert utilisé pour transmettre des données à caractère personnel aux États-Unis. Cela signifie que des plaintes peuvent être déposées, que le transfert de données ait eu lieu dans le cadre de la décision d'adéquation du DPF, de clauses contractuelles standard ou ad hoc, de règles d'entreprise contraignantes, de codes de conduite, de mécanismes de certification ou de dérogations. Toutefois, il est essentiel de souligner que ce mécanisme de recours ne couvre que les données transmises après le 10 juillet 2023.
En complément de ce mécanisme de recours, l'EDPB a introduit un autre mécanisme qui fonctionne dans le cadre du DPF et qui est conçu pour répondre aux préoccupations au-delà de celles liées uniquement à la sécurité nationale. Bien que les détails de ce mécanisme ne soient pas explicitement décrits, il est raisonnable de penser qu'il couvre un éventail plus large de questions relatives à la protection des données à caractère personnel transférées aux États-Unis, englobant des aspects tels que la protection de la vie privée, la sécurité et le respect des réglementations en matière de protection des données. Ce mécanisme permet vraisemblablement aux personnes de déposer des plaintes et de demander réparation en cas de violation de leurs droits en matière de protection des données à caractère personnel, ce qui garantit une approche globale de la réparation dans le cadre du DPF.
Les plaintes concernant l'accès et l'utilisation illicites de données à caractère personnel par les services américains de renseignement d'origine électromagnétique, transmises de l'UE/EEE aux États-Unis, feront l'objet d'une procédure de vérification approfondie supervisée par les autorités nationales de protection des données (DPA) de l'UE/EEE. Cette procédure permet de s'assurer que les plaintes répondent à des critères spécifiques et sont légitimes avant d'être transmises pour résolution. Voici comment les plaintes seront traitées :
1. Vérification de l'identité du plaignant : L'autorité nationale de protection des données de l'UE/EEE vérifie d'abord l'identité du plaignant pour s'assurer qu'il agit uniquement en son nom propre et qu'il ne représente pas une organisation gouvernementale, non gouvernementale ou intergouvernementale.
2. Évaluation : L'autorité de protection des données vérifie que la plainte est complète et qu'elle remplit les conditions fixées par la législation américaine. Il s'agit notamment de vérifier que le plaignant estime qu'une ou plusieurs lois américaines ont été violées en raison de l'accès illégal à ses données à caractère personnel par des agences de renseignement américaines après leur transmission de l'UE vers les États-Unis.
La plainte doit contenir toutes les informations pertinentes par écrit, y compris les détails du compte en ligne ou du transfert de données à caractère personnel dont on pense qu'ils ont été consultés.
3. Transmission aux autorités américaines : Transmission aux autorités américaines : Le secrétariat de l'EDPB transmettra ensuite la plainte, également dans un format crypté, aux autorités américaines compétentes chargées de traiter ces plaintes. Il s'agit notamment du Responsable de la protection des libertés civiles du Bureau du directeur du renseignement national (en anglais Office of the Director of National Intelligence's Civil Liberties Protection Officer, dit « CLPO »).
Comment Gerrish Legal peut-il vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd'hui pour plus d'informations.
Wilem Loba, Legal Intern, et Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal