Procédure : 2016/2727(RSP)
Cycle de vie en séance
Cycle relatif au document : B8-0639/2016

Textes déposés :

B8-0639/2016

Débats :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votes :

PV 26/05/2016 - 6.6
Explications de votes

Textes adoptés :

P8_TA(2016)0233

PROPOSITION DE RÉSOLUTION
PDF 182kWORD 74k
Voir aussi la proposition de résolution commune RC-B8-0623/2016
23.5.2016
PE582.660v01-00
 
B8-0639/2016

déposée à la suite de déclarations du Conseil et de la Commission

conformément à l'article 123, paragraphe 2, du règlement


sur les flux de données transatlantiques (2016/2727(RSP))


Claude Moraes, Birgit Sippel, Emilian Pavel, Ana Gomes au nom du groupe S&D

Résolution du Parlement européen sur les flux de données transatlantiques  (2016/2727(RSP))  
B8-0639/2016

Le Parlement européen,

–  vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la "directive sur la protection des données")(1), et notamment son article 25,

–  vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE(2) (ci-après le "règlement général sur la protection des données"), qui est entré en vigueur le 24 mai 2016 et s'appliquera deux ans après cette date,

–  vu la charte des droits fondamentaux de l'Union européenne (ci-après la "charte") et la convention européenne des droits de l'homme (CEDH),

–  vu l'arrêt rendu par la Cour européenne des droits de l'homme le 4 décembre 2015 dans l'affaire Roman Zakharov contre Russie,

–  vu l'arrêt rendu par la Cour européenne des droits de l'homme le 12 janvier 2016 dans l'affaire Zsabó and Vissy contre Hongrie,

–  vu l'arrêt rendu par la Cour de justice de l'Union européenne le 6 octobre 2015 dans l'affaire C-362/14, Maximillian Schrems contre Data Protection Commissioner,

–  vu le projet de décision d'exécution de la Commission du 29 février 2016 constatant le caractère adéquat de la protection assurée par le "bouclier vie privée" UE-États-Unis et ses annexes sous forme de lettres du gouvernement des États-Unis et de la commission américaine du commerce,

–  vu la communication de la Commission du 29 février 2016 sur le sujet (COM(2016)0117), la communication de la Commission du 27 novembre 2013 relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l'Union et des entreprises établies sur son territoire (COM(2013)0847) et la communication de la Commission du 27 novembre 2013 intitulée "Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique" (COM(2013)0846),

–  vu l'avis (WP 238) du groupe de travail institué en vertu de l'article 29 de la directive, adopté le 13 avril 2016, et les avis qu'il a délivrés précédemment sur le même sujet (WP 12, WP 27 et WP 32),

–  vu le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(3), et notamment son article 5 concernant la procédure d'examen,

–  vu sa résolution du 5 juillet 2000 sur le projet de décision de la Commission relative à la pertinence des niveaux de protection fournis par les principes de la sphère de sécurité et les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis(4),

–  vu sa résolution du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures(5), et sa résolution du 29 octobre 2015 sur le suivi de la résolution du Parlement européen du 12 mars 2014 sur la surveillance électronique de masse des citoyens de l'Union européenne(6),

–  vu la lettre conjointe du 16 mars 2016 d'organisations américaines et européennes de défense des libertés civiles à la présidente du groupe de travail "article 29", au président de la commission des libertés civiles, de la justice et des affaires intérieures et à l'ambassadeur et représentant permanent des Pays-Bas auprès de l'Union européenne,

–  vu l'article 123, paragraphe 2, de son règlement,

A.  considérant que la protection des données à caractère personnel signifie la protection des personnes auxquelles appartiennent les informations faisant l'objet d'un traitement, et que cette protection est l'un des droits fondamentaux reconnus par l'Union (article 8 de la charte des droits fondamentaux et article 16 du traité sur le fonctionnement de l'Union européenne);

B.  considérant que la directive sur la protection des données, qui sera remplacée par le règlement général sur la protection des données en 2018, fixe des droits pour la personne concernée par les données et des obligations correspondantes pour les entités qui sont responsables du traitement de données à caractère personnel ou qui contrôlent ce traitement;

C.  considérant que la Commission est tenue de veiller, au nom des citoyens de l'Union et de ses États membres, à ce que les données à caractère personnel ne puissent être transférées que vers des pays extérieurs à l'Union européenne et à l'Espace économique européen (EEE) où un niveau de protection adéquat est garanti;

D.  considérant que l'expression "niveau de protection adéquat" doit être comprise comme exigeant que le pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l'Union en vertu de la directive sur la protection des données, lue à la lumière de la charte;

E.  considérant que, lors de l'examen du niveau de protection offert par un pays tiers, la Commission est tenue d'apprécier le contenu des règles applicables dans ce pays résultant de la législation interne ou des engagements internationaux de celui-ci ainsi que la pratique visant à assurer le respect de ces règles, cette institution devant, conformément à l'article 25, paragraphe 2, de la directive sur la protection des données, prendre en compte toutes les circonstances relatives à un transfert de données à caractère personnel vers un pays tiers;

F.  considérant que les flux de données transfrontaliers entre les États-Unis et l'Europe sont les plus denses au monde, et que le transfert et l'échange de données à caractère personnel constituent une composante essentielle sous-tendant les liens étroits entre l'Union européenne et les États-Unis en matière d'activités commerciales et de services répressifs;

G.  considérant que, dans son arrêt du 6 octobre 2015, la Cour de justice de l'Union européenne a invalidé la décision de la Commission relative à la pertinence de la protection assurée par les principes de la sphère de sécurité et par les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis;

Introduction

1.  souligne la nécessité de préserver les droits fondamentaux, dont le droit à la protection des données et à la vie privée;

2.  met l'accent sur l'importance des échanges et de la coopération transatlantiques;

3.  fait valoir l'importance de la sécurité juridique pour les personnes concernées par les données et les responsables de leur traitement tant dans l'Union européenne qu'aux États-Unis;

4.  salue les efforts déployés par la Commission et le gouvernement des États-Unis pour apporter des améliorations substantielles dans le "bouclier vie privée" par rapport à la décision relative à la sphère de sécurité, qui a été invalidée;

5.  salue les domaines dans lesquels le niveau de protection a été amélioré dans le cadre du "bouclier vie privée", comme le mécanisme permettant d'assurer la surveillance du "bouclier vie privée" et les réexamens externes ou internes de la conformité désormais obligatoires;

6.  se félicite de la sauvegarde prévue par l'article 3 du projet de décision constatant le caractère adéquat de la protection permettant encore aux autorités européennes de contrôle de la protection des données de suspendre les transferts de données à caractère personnel aux responsables du traitement des données qui participent au mécanisme du "bouclier vie privée" en cas de violations dudit mécanisme;

7.  fait observer qu'une fois que le règlement sera appliqué, les responsables américains du traitement des données devront se conformer directement au règlement lorsqu'ils offriront des services sur le marché de l'Union ou contrôleront des personnes sur le territoire de l'Union;

8.  observe que, malgré certains efforts constatés ces dernières années, les États-Unis n'ont pas adopté de loi générale transsectorielle sur la protection des données des consommateurs;

Sujets de préoccupation

9.  s'inquiète de ce que le mécanisme de recours à disposition des individus dans le cadre du "bouclier vie privée" soit trop complexe et difficile à utiliser, ce qui le rend inefficace (plainte au responsable du traitement; règlement extrajudiciaire du litige; plainte auprès du ministère américain du commerce ou de la commission américaine du commerce par l'intermédiaire d'une autorité européenne de contrôle de la protection des données ("Privacy Shield Panel", tribunal américain)); rappelle que, conformément à la directive 93/13/CEE du Conseil du 5 avril 1993, le règlement extrajudiciaire des litiges est interdit pour les contrats conclus avec les consommateurs;

10.  souligne que la seule sanction applicable à un responsable du traitement coupable d'une violation des principes du "bouclier vie privée" est la suppression de la liste des entités du "bouclier vie privée", ce qui ne saurait être considéré comme une sanction foncièrement équivalente aux sanctions administratives et autres sanctions prévues par le droit de l'Union en matière de protection des données, en particulier le règlement général sur la protection des données;

11.  souligne que ni la commission américaine du commerce, ni le ministère américain du commerce pas plus que les organes de règlement extrajudiciaire des litiges ne disposent de pouvoirs d'enquête foncièrement équivalents à ceux des autorités européennes de contrôle de la protection des données, que la Cour de justice de l'Union européenne a déclarés nécessaires pour le contrôle de la protection des données dans le cadre du droit primaire de l'Union;

12.  relève qu'il ressort de l'annexe VI (lettre de Robert S. Litt, Office of the Director of National Intelligence) qu'en vertu de la directive présidentielle n° 28, la collecte de masse de données et communications à caractère personnel relatives à des ressortissants non américains reste autorisée dans six cas; souligne qu'une telle collecte de masse doit uniquement être "aussi ciblée que possible" et "raisonnable", des exigences qui ne satisfont pas aux critères plus stricts de nécessité et de proportionnalité définis par la charte;

13.  se félicite de la nomination d'un médiateur au sein du département d'État américain en tant que point de contact pour les autorités de contrôle de l'Union au regard de la surveillance exercée par les pouvoirs publics; relève qu'il ressort de l'annexe III (lettre du secrétaire d'État John F. Kerry) que le médiateur "ne confirmera ni n'infirmera que la personne concernée a fait l'objet d'une surveillance" et qu'il ne "confirmera pas l'existence d'une voie de recours spécifique" (paragraphe 4, point e)); s'inquiète de ce que le médiateur ne dispose pas des pouvoirs adéquats ni de l'indépendance requise vis-à-vis du pouvoir exécutif, vu qu'il est placé sous la tutelle du Secrétaire d'État;

14.  salue l'adoption du USA Freedom Act de 2015, qui a limité la surveillance de masse par les services de renseignement américains sur le territoire des États-Unis; est cependant préoccupé par la situation juridique au regard du recours à la surveillance de masse par les services de renseignement américains en dehors des États-Unis et à l'égard des ressortissants non américains sur le territoire des États-Unis, telle que prévue par le US Code (titre 50, article 1881a – "section 702"), situation qui, elle, reste inchangée;

15.  souligne que le statut juridique des principes du "bouclier vie privée" exposés à l'annexe II et les assurances et engagements du gouvernement américain figurant aux annexes III à V restent peu clairs; s'inquiète de ce que ces engagements et assurances pourraient être retirés par un prochain gouvernement américain sans que cela ait de conséquences sur la validité de la décision constatant le caractère adéquat de la protection;

16.  souligne que la Commission n'a pas évalué les droits et la protection des citoyens de l'Union lorsque des données à caractère personnel les concernant sont communiquées par un responsable américain du traitement des données relevant du "bouclier vie privée" à une autorité répressive américaine;

17.  s'inquiète, à la lumière de ce qui précède et des avis rendus par les autorités de protection des données, les universitaires et les organisations de protection des données, de ce que le dispositif du "bouclier vie privée", tel qu'il se présente actuellement, puisse ne pas entièrement satisfaire aux obligations de la charte, de la directive sur la protection des données, du règlement général sur la protection des données et des arrêts rendus en la matière par la Cour de justice de l'Union européenne et la Cour européenne des droits de l'homme;

Conclusions

18.  s'inquiète de ce que le "bouclier vie privée" en l'état et la situation aux États-Unis ne témoignent pas d'une amélioration sensible par rapport à l'accord sur la sphère de sécurité et ne garantissent donc pas la légalité de la décision constatant le caractère adéquat de la protection;

19.  souligne qu'il est très probable que, une fois adopté, le projet de décision constatant le caractère adéquat de la protection soit de nouveau contesté devant les tribunaux; insiste sur l'incertitude juridique qui en découle pour les entreprises et les particuliers; constate que des experts et des associations d'entreprises spécialisés dans la protection des données recommandent déjà aux entreprises d'utiliser d'autres moyens pour le transfert de données à caractère personnel vers les États-Unis;

20.  invite la Commission à tenir dûment compte de l'avis du groupe de travail "article 29" sur la protection des données 01/2016 sur le projet de décision constatant le caractère adéquat de la protection du "bouclier vie privée" UE-États-Unis, et à intégrer intégralement ses recommandations dans le projet de texte;

21.  invite la Commission à prévoir une clause limitant à deux ans la validité de ladite décision, et à entamer de nouvelles négociations avec les États-Unis sur un cadre amélioré fondé sur le règlement général sur la protection des données, afin de garantir que le niveau plus élevé de protection dans l'Union soit pleinement intégré dans le nouvel instrument;

22.  charge son Président de transmettre la présente résolution au Conseil, à la Commission, aux gouvernements et aux parlements des États membres, ainsi qu'au gouvernement et au Congrès américains.

(1)

JO L 281 du 23.11.1995, p. 31.

(2)

JO L 119 du 4.5.2016, p. 1.

(3)

JO L 55 du 28.2.2011, p. 13.

(4)

JO C 121 du 24.4.2001, p. 152.

(5)

Textes adoptés de cette date, P7_TA(2014)0230.

(6)

Textes adoptés de cette date, P8_TA(2015)0388.

Avis juridique