La commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a déconseillé de signer le pacte américain proposé sur le transfert de données malgré un accord de principe, sur la base de l’adéquation de la protection.
La présidente de l’UE Ursula von der Leyen et le président américain Joe Biden étaient précédemment parvenus à un accord sur la manière dont le transfert de données devrait avoir lieu entre les États-Unis et les États membres de l’UE dans le but de rester conforme aux protections préexistantes, comme le règlement général sur la protection des données (GDPR ).
Malgré cela, LIBE affirme que le Data Privacy Framework (DPF) ne répond pas tout à fait aux normes strictes du GDPR, et que sa progression devrait être stoppée jusqu’à ce que « des réformes significatives soient introduites ».
Cadre de confidentialité des données UE-États-Unis
LIBE explique dans son projet de proposition de résolution (s’ouvre dans un nouvel onglet) que le FAP :
« … ne parvient pas à créer une équivalence réelle dans le niveau de protection ; [and that it] invite la Commission à poursuivre les négociations avec ses homologues américains dans le but de créer un mécanisme qui garantirait une telle équivalence et qui fournirait le niveau de protection adéquat requis par le droit de l’Union en matière de protection des données et la charte telle qu’interprétée par la [European Court of Justice]”.
Il est également noté que les États-Unis n’ont pas de loi fédérale en matière de protection des données et que le décret exécutif peut être modifié à tout moment par le président américain : soit Joe Biden, soit son successeur.
Entre autres conclusions, l’ordonnance ne couvre pas les données auxquelles les autorités publiques ont accès par d’autres moyens, ni ne s’applique aux achats de données commerciales ou aux accords de partage volontaire de données.
Quel que soit le format de l’accord DPF, les entreprises basées dans l’UE pourront partager des données personnelles avec des entreprises américaines sans avoir à envisager de mesures de protection supplémentaires. Cependant, le format précis de ce DPR semble être à quelques pas d’être finalisé pour l’instant, ce qui signifie que les entreprises transatlantiques devront attendre encore plus longtemps.