Pas plus que la directive elle-même, le bouclier de protection des données ne fait naître de responsabilité secondaire. Eu égard à l'importance que revêt le cadre que constitue le bouclier de protection des données UE–États-Unis, le présent mémorandum décrit la procédure de mise en œuvre d'un nouveau mécanisme, en conformité avec la directive présidentielle no 28 (PPD-28), concernant le renseignement d'origine électromagnétique (1). Pour transférer des informations à caractère personnel à un tiers agissant en qualité de responsable du traitement, les organisations sont tenues d'appliquer les principes «Notification» et «Choix». La personne concernée par un mandat de perquisition peut chercher à faire annuler celui-ci au motif qu'il est trop large, qu'il est vexatoire ou qu'il a été obtenu de manière illégale. Après que la Commission européenne, en novembre 2013, a exprimé des inquiétudes concernant l'administration et la mise en application du programme de la sphère de sécurité, la FTC et le ministère américain du commerce ont entamé des consultations avec des représentants de la Commission européenne afin d'étudier les moyens de renforcer ce programme. (65)  Section 6(a)(1), (3), (4), (5), et (6) de l'Inspector General Act; sections 103H(g)(2) de la National Security Act; section 17(e)(1), (2), (4), et (5) de la Central Intelligence Act. Des poursuites engagées par des particuliers ont également abouti à des jugements et des transactions favorables prévoyant des mesures de protection supplémentaires en la matière pour les consommateurs. 12333, le président, assisté par le Conseil national de sécurité, et le DNI publient les directives, procédures et orientations appropriées qui sont nécessaires à la mise en œuvre du décret. L'année dernière, notre site «OnGuard Online» et son pendant en espagnol «Alerta en Linea» ont été consultés plus de cinq millions de fois. § 45(a)(4). Ce processus de nomination garantit que les agents de l'exécutif ne s'immiscent pas dans la sélection, la désignation ou la révocation d'un IG. Par exemple: La section 803 de la loi de 2007 mettant en œuvre les recommandations de la commission du 11 septembre (9/11 Commission Act), inscrit au Code des États-Unis au chapitre 42 U.S.C. Sixièmement, en tant que mécanisme de recours «en dernier ressort», au cas où aucune des autres voies de recours disponibles n'aurait permis de traiter de manière définitive et satisfaisante la réclamation de la personne concernée de l'Union européenne, celle-ci peut recourir à un arbitrage contraignant par le «panel du bouclier de protection des données». Bien que ce principe autorise également des transferts qui reposent sur des instruments non contractuels (programmes de mise en conformité et de contrôle intragroupe, par exemple), le texte indique clairement que ces instruments doivent toujours «garanti[r] la continuité de la protection des informations à caractère personnel conformément aux principes». (6)  Communication de la Commission au Parlement européen et au Conseil intitulée «Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique» [COM(2013) 846 final du 27 novembre 2013]. La FTC s'est engagée à examiner en priorité les cas de non-conformité alléguée par rapport aux principes, soumis par: i) les organisations d'autoréglementation en matière de protection de la vie privée et les autres organismes indépendants d'instruction des litiges; ii) les États membres de l'Union européenne; et iii) le ministère, afin de déterminer s'il y a eu une violation de la section 5 de la Federal Trade Commission Act, qui interdit les actions ou pratiques déloyales ou frauduleuses dans le commerce. Voir 31 U.S.C. Cependant, un tel choix n'existe pas lorsque les organisations traitent des données relatives aux ressources humaines, auquel cas la coopération avec les APD est obligatoire. Dans de rares circonstances, les injonctions de comparution relatives à des documents peuvent être utilisées après la mise en accusation par le grand jury. L'arbitrage sera organisé aux États-Unis. Il importe de noter que notre action contre TRUSTe renforce aussi de façon plus générale le système d'autoréglementation de la protection de la vie privée en garantissant la responsabilité des entités qui jouent un rôle important dans les mécanismes d'autoréglementation, y compris les cadres transfrontaliers de lutte contre le piratage. Cette loi se base également sur la transparence sans précédent dont le gouvernement a fait preuve en matière de renseignement en exigeant du DNI, en consultation avec le procureur général, qu'il déclassifie ou publie un résumé non classifié de chaque décision, ordonnance ou avis rendu par la Cour FISA ou la Cour d'appel pour la surveillance du renseignement étranger (Foreign Intelligence Surveillance Court of Review) impliquant une interprétation élaborée d'une disposition de droit. 4. (21)  Voir la section III.12 de l'annexe II. Voir les sections III.9.a.i., b.ii., c.i. En particulier, ces processus veillent à ce que nos services de renseignement se concentrent sur leur mission de sécurité nationale en application des lois, décrets exécutifs et directives présidentielles qui les habilitent, protègent les informations contre l'accès, l'utilisation et la divulgation non autorisés et effectuent ses activités sous la supervision de plusieurs niveaux de contrôle et de surveillance, y compris par les organes parlementaires de surveillance. De même, les organisations sont tenues de répondre rapidement aux questions et autres demandes d'information relatives à leur adhésion aux principes qui leur sont adressées par le ministère du commerce ou une APD (39) (lorsque l'organisation s'est engagée à coopérer avec l'APD). L'avis du panel n'engage ni le panel ni les APD qui le composent. 06CV015D (D. Wyo. Enfin, les mécanismes de surveillance précités sont complétés par le conseil de surveillance du renseignement (Intelligence Oversight Board) créé au sein du conseil consultatif en matière de renseignement relevant du président, qui supervise le respect par les autorités américaines de renseignement de la Constitution et de toutes les règles applicables. Nous exigerons le respect du cadre par différentes injonctions appropriées dans les futures ordonnances relatives au cadre du bouclier de protection des données. Le bouclier de protection des données ne porte pas atteinte à l'application de la législation de l'Union régissant le traitement des données à caractère personnel dans les États membres (16). Le Sénat peut, sur leur demande, octroyer aux commissions permanentes ou spéciales l’autorisation de désigner des missions d'information sur les questions relevant de leur compétence. Si des violations potentielles du bouclier de protection des données par des agents de billetterie sont portées à sa connaissance, il travaille sur le dossier en coordination avec la FTC. (13)  NCSL, Data Disposal Laws (12 janvier 2016), disponible à l'adresse http://www.ncsl.org/research/telecommunications-and-information-technology/data-disposal-laws.aspx. Le bouclier de protection des données UE-États-Unis se compose des principes publiés par le ministère américain du commerce le 7 juillet 2016, qui figurent à l'annexe II, et des observations et engagements officiels contenus dans les documents énumérés à l'annexe I et aux annexes III à VII. (49)  Voir:New York Times v. Department of Justice, 756 F.3d 100 (2d Cir. Toutes les données à caractère personnel recueillies avant le retrait peuvent encore être traitées avec les autres données recueillies dans le cadre de l'essai clinique, à condition que cela ait été précisé au participant dans la notification au moment où il a donné son accord. APPLICATION DU BOUCLIER DE PROTECTION DES DONNÉES. J'ai demandé à mes collaborateurs de consacrer toutes les ressources nécessaires à la mise en œuvre intégrale et rapide du cadre du bouclier de protection des données, et de veiller à ce que les engagements figurant aux annexes 1 et 2 soient mis en pratique sans tarder. 5. Selon les informations fournies par l'ODNI, ces nominations ont déjà eu lieu. Une organisation s'engage à coopérer avec les APD en déclarant, dans son autocertification d'adhésion au bouclier de protection des données adressée au ministère du commerce (voir le principe complémentaire «Autocertification»), qu'elle: décide de se conformer aux dispositions des points a) i) et a) iii) du principe «Voies de recours, application et responsabilité» du bouclier de protection des données en s'engageant à coopérer avec les APD; coopérera avec les APD au niveau de l'instruction et du règlement des plaintes déposées au titre du bouclier de protection des données; et. (165)  Observations de l'ODNI (annexe VI), p. 17. La législation des États membres de l'Union européenne s'applique à la collecte des données personnelles et à tout traitement intervenant avant le transfert aux États-Unis. Selon la PPD-28, on entend par collecte en vrac de renseignements d'origine électromagnétique une collecte qui «pour des raisons techniques ou opérationnelles, est effectuée sans utiliser de discriminants (par exemple des identifiants ou des critères de sélection spécifiques)». La FAA dispose également qu'«une convention ou sentence découlant d'une relation de ce type et concernant exclusivement des citoyens des États-Unis sera réputée ne pas relever du champ d'application de la convention [de New-York] sauf si cette relation implique des biens situés à l'étranger, envisage une exécution ou une application à l'étranger ou présente tout autre lien raisonnable avec un ou plusieurs États étrangers.» Ibidem au chapitre 2, «toute partie à l'arbitrage peut s'adresser à toute instance judiciaire compétente au titre du présent chapitre pour obtenir une ordonnance confirmant la sentence à l'encontre de toute autre partie à l'arbitrage. (3)  Les agences répressives ou réglementaires peuvent demander des informations auprès des sociétés à des fins d'enquête aux États-Unis en vertu d'autres pouvoirs en matière pénale, civile et réglementaire non abordés dans le présent document, qui se limite aux pouvoirs en rapport avec la sécurité nationale. (16)  Cela vaut également pour les traitements qui sont effectués par une organisation établie en dehors de l'Union, mais en recourant à des moyens situés sur le territoire de l'Union [voir l'article 4, paragraphe 1, point c), de la directive 95/46/CE]. Le ministère supprimera une organisation de la liste du bouclier de protection des données en réaction à toute notification de non-respect persistant qu'il recevrait, qu'elle provienne de l'organisation elle-même, d'un organisme d'autoréglementation du respect de la vie privée, d'un autre organisme indépendant d'instruction des litiges ou d'un organisme public, mais seulement après avoir accordé à l'organisation concernée un préavis de 30 jours et la possibilité de répondre. Le premier réexamen annuel ainsi que les réexamens ultérieurs, le cas échéant, comprendront un dialogue sur d'autres sujets, par exemple dans le domaine de la prise de décision automatisée, y compris les aspects relatifs aux similarités et aux différences dans les approches suivies par l'Union européenne et par les États-Unis. Le bureau du ministère des transports pour l'application de la législation et les procédures en matière d'aéronautique (Aviation Enforcement Office) mène des enquêtes et engage des poursuites en vertu du titre 49, section 41712, de l'U.S.C. Cette disposition contient les exigences générales concernant la surveillance incombant au Congrès en matière de sécurité nationale. Si une organisation américaine autocertifiée peut, en principe, utiliser des données relatives aux ressources humaines à d'autres fins qu'une relation de travail (par exemple pour certaines communications publicitaires), elle ne peut le faire que dans le respect des principes «Notification» et «Choix» et doit respecter l'interdiction de traitement incompatible. une exigence aux termes de la section 4 de la PPD-28), les agences disposent de mécanismes de mise en conformité permettant d'analyser l'incident et d'y remédier. Toutefois, il ne s'agit pas pour autant d'une collecte «massive» ou «indifférenciée». Les parties sélectionneront les arbitres parmi la liste d'arbitres examinée ci-dessous.  (141). Tout comme dans le cas des informations tirées des registres publics, il n'est pas nécessaire d'accorder l'accès aux informations qui sont déjà à la disposition du public, pour autant que ces informations ne soient pas associées à d'autres données non publiques. qu'elle a indiqué quelles étaient les informations à caractère personnel couvertes par son autocertification. La loi USA FREEDOM prévoit par ailleurs des divulgations à grande échelle d'informations sur les activités de collecte au titre de la FISA et sur les demandes de lettres de sécurité nationale. § 552), toute personne a le droit d'obtenir l'accès aux documents des agences fédérales et, une fois épuisés tous les recours administratifs, de requérir l'application de ce droit devant un tribunal, sauf si ces documents échappent à la divulgation en vertu d'une dérogation ou d'exclusions spéciales de l'application de la loi (196). Nous interdirons notamment les déclarations trompeuses relatives au cadre et à d'autres programmes de protection de la vie privée lorsque ces déclarations sont à l'origine de l'action sous-jacente de la FTC. Le ministère protègera la confidentialité des informations qu'elle reçoit conformément à la législation américaine. La funzione degli esempi è unicamente quella di aiutarti a tradurre la parola o l'espressione cercata inserendola in un contesto. Le Congrès reçoit également des rapports établis par les inspecteurs généraux qui sont autorisés à évaluer dans quelle mesure les agences respectent les procédures de ciblage et de «minimisation» et les orientations du procureur général.  (25), les organisations participantes doivent prévoir des mécanismes solides destinés à garantir le respect des autres principes, ainsi que des possibilités de recours, y compris en vue d'obtenir une réparation effective, pour les personnes concernées de l'Union européenne dont les données à caractère personnel ont été traitées en violation des principes. Grâce à ces principes, l'exception relative à la collecte en vrac ne prendra pas le pas sur la règle générale. D'autres garanties s'appliquent, en particulier l'obligation, pour les organisations, de rendre publiques leurs politiques en matière de protection de la vie privée (qui tiennent compte des principes) et de fournir des liens dirigeant vers le site web du ministère du commerce (qui donne davantage de détails sur l'autocertification, les droits des personnes concernées et les mécanismes de recours disponibles), vers la liste du bouclier de protection des données mentionnée au considérant 30 et vers le site web d'un organe approprié de règlement extrajudiciaire des litiges. Voir 15 U.S.C. (3)  Voir la déclaration de politique de la FTC en matière de fraude, jointe au dossier Cliffdale Assocs., Inc., 103 FTC 110, 174 (1984), disponible à l'adresse: https://www.ftc.gov/public-statements/1983/10/ftc-policy-statement-deception. Son engagement signifie qu'elle continuera à appliquer les principes à ces données aussi longtemps qu'elle stockera, utilisera ou divulguera celles-ci, même si elle quitte ultérieurement le bouclier de protection des données pour quelque raison que ce soit. Conformément à la PPD-28, ces informations ne peuvent être diffusées qu'à la condition que cette diffusion présente un intérêt valable pour le renseignement étranger ou l'application de la loi; il ne suffit pas que l'une des parties à la communication ne soit pas un ressortissant américain (26). Si une organisation refuse de se conformer à une décision définitive d'un organisme d'autoréglementation en matière de protection de la vie privée, d'un organisme indépendant de règlement des litiges en matière de protection de la vie privée ou d'un organisme gouvernemental en matière de protection de la vie privée, quel qu'il soit, ou si un tel organisme constate fréquemment qu'une organisation ne respecte pas les principes, cela sera considéré comme une non-conformité persistante et, en conséquence, le ministère du commerce retira de la liste l'organisation qui s'est trouvée en situation de non-conformité, après lui avoir donné un préavis de 30 jours et la possibilité de présenter ses observations (42). P. 45. Par exemple, le rapport de transparence récemment publié par une grande société montre que les requêtes de sécurité nationale (au titre de la FISA ou de lettres de sécurité nationale) qui lui ont été adressées ont concerné moins de 20 000 comptes alors qu'elle possédait au moins 400 millions d'abonnés. Il s'agit notamment du Département d'État, du ministère de la justice (y compris du FBI), du ministère de la sécurité intérieure, du ministère de la défense, de la NSA, de la CIA et de l'ODNI. (111)  Voir les observations de l'ODNI (annexe VI), p. 7. Si une organisation ne respecte pas les principes de manière persistante, elle n'est plus en droit de bénéficier des avantages du bouclier de protection des données. L'ECPA s'applique à tous les individus, quelle que soit leur citoyenneté. En dehors de l'article 104 du FISA (80) qui porte sur la surveillance électronique classique des individus et de l'article 402 du FISA (81) relatif à l'installation de dispositifs d'écoute téléphonique et de suivi et d'enregistrement des communications, les deux principaux instruments sont l'article 501 du FISA [ex-article 215 du «PATRIOT ACT» américain (loi antiterroriste)] et l'article 702 du FISA (82). Des ordonnances par consentement sur vingt ans imposent à Google, Facebook et Myspace de mettre en œuvre des programmes complets de protection de la vie privée qui doivent être raisonnablement conçus pour lutter contre les risques pour la vie privée liés au développement et à la gestion de produits et services nouveaux et existants et pour protéger la vie privée et la confidentialité des informations à caractère personnel. Les données de la recherche sont toujours codées de manière unique à leur source par le chercheur principal, pour ne pas révéler l'identité des intéressés. En 2014, la Commission avait entamé des pourparlers avec les autorités américaines en vue de discuter du renforcement du régime de la sphère de sécurité sur la base des 13 recommandations formulées dans la communication COM(2013) 847 final. Il permet, notamment, à chaque personne de vérifier l'exactitude des informations la concernant. Les sociétés cotées en Bourse et les entreprises non cotées, parmi lesquelles des organisations adhérant au bouclier de protection des données, font régulièrement l'objet d'audits. Selon l'appréciation des autorités nationales chargées de la protection des données, les inspecteurs généraux «rempliront vraisemblablement le critère relatif à l'indépendance organisationnelle telle que définie par la CJUE et la Cour européenne des droits de l'homme (CEDH), au moins à partir du moment où le nouveau processus de nomination s'applique à tous». La PPD-28 prévoit en outre que les problèmes importants de conformité relatifs à des ressortissants non américains doivent être pris en charge par les plus hautes instances gouvernementales. Selon le cas, cette assistance pourrait inclure un échange d'informations et une aide aux enquêtes conformément à la loi US SAFE WEB, qui autorise la FTC à apporter une assistance aux agences étrangères de mise en application des lois lorsque l'agence étrangère concernée s'efforce de faire respecter des lois interdisant des pratiques essentiellement similaires aux pratiques interdites par les lois dont la FTC assure le respect (12).