Procédure : 2016/2727(RSP)
Cycle de vie en séance
Cycle relatif au document : B8-0644/2016

Textes déposés :

B8-0644/2016

Débats :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votes :

PV 26/05/2016 - 6.6
Explications de votes

Textes adoptés :

P8_TA(2016)0233

PROPOSITION DE RÉSOLUTION
PDF 279kWORD 76k
Voir aussi la proposition de résolution commune RC-B8-0623/2016
23.5.2016
PE582.665v01-00
 
B8-0644/2016

déposée à la suite de déclarations du Conseil et de la Commission

conformément à l'article 123, paragraphe 2, du règlement


sur les flux de données transatlantiques (2016/2727(RSP))


Sophia in ‘t Veld au nom du groupe ALDE

Résolution du Parlement européen sur les flux de données transatlantiques (2016/2727(RSP))  
B8-0644/2016

Le Parlement européen,

–  vu l'article 16 du traité sur le fonctionnement de l'Union européenne (traité FUE),

–  vu la charte des droits fondamentaux de l'Union européenne, et en particulier ses articles 7, 8, 47 et 52, et vu la convention européenne des droits de l'homme,

–  vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la "directive")(1), et notamment son article 25,

–  vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après le "règlement général sur la protection des données"), qui est entré en vigueur le 24 mai 2016 et s'appliquera deux ans après cette date,

–  vu l'arrêt rendu par la Cour européenne des droits de l'homme le 4 décembre 2015 dans l'affaire Roman Zakharov contre Russie,

–  vu l'arrêt rendu par la Cour européenne des droits de l'homme le 12 janvier 2016 dans l'affaire Zsabó and Vissy contre Hongrie,

–  vu l'arrêt rendu par la Cour de justice de l'Union européenne le 6 octobre 2015 dans l'affaire C-362/14 Maximillian Schremscontre Data Protection Commissioner,

–  vu le projet de décision d'exécution de la Commission du 29 février 2016 relative à la pertinence de la protection assurée par les principes du "bouclier vie privée" UE-États-Unis et ses annexes sous forme de lettres du gouvernement des États-Unis et de la commission américaine du commerce,

–  vu la communication de la Commission du 29 février 2016 sur le sujet (COM(2016)0117), la communication de la Commission du 27 novembre 2013 relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l'Union et des entreprises établies sur son territoire (COM(2013)0847) et la communication de la Commission du 27 novembre 2013 intitulée "Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique" (COM(2013)0846),

–  vu l'avis (WP 238) du groupe de travail institué en vertu de l'article 29 de la directive, adopté le 13 avril 2016, et les avis qu'il a délivrés précédemment sur le même sujet (WP 12, WP 27 et WP 32),

–  vu le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(2), et notamment son article 5 concernant la procédure d'examen,

–  vu sa résolution du 5 juillet 2000 sur le projet de décision de la Commission relative à la pertinence des niveaux de protection fournis par les principes de la sphère de sécurité et les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis(3),

–  vu sa résolution du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures(4), et sa résolution du 29 octobre 2015 sur le suivi de la résolution du Parlement européen du 12 mars 2014 sur la surveillance électronique de masse des citoyens de l'Union européenne(5),

–  vu l'accord paraphé entre les États-Unis d'Amérique et l'Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, que le Conseil, selon la proposition de la Commission, devrait signer,

–  vu l'avis juridique de son service juridique sur l'accord UE-États-Unis concernant la protection des données à caractère personnel et la coopération entre les services répressifs dans l'Union européenne et aux États-Unis,

–  vu l'avis préliminaire du Contrôleur européen de la protection des données sur l'accord entre les États-Unis d'Amérique et l'Union européenne concernant la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière

–  vu les questions que la commission des libertés civiles, de la justice et des affaires intérieures a posées le 9 mars 2016 à la Commission concernant l'accord-cadre, et vu les réponses que la Commission y a apportées,

–  vu l'article 123, paragraphe 2, de son règlement,

A.  considérant que la Cour de justice a invalidé la décision de la Commission relative à la pertinence des niveaux de protection fournis par les principes de la "sphère de sécurité" et les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis, dans son arrêt du 6 octobre 2015, en soulignant en particulier que la législation des États-Unis relative à la sécurité nationale et à la répression ne se limitait pas au strict nécessaire dès lors qu'elle autorise de manière généralisée la conservation et le traitement de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis;

B.  considérant que la protection des données à caractère personnel signifie la protection des personnes auxquelles appartiennent les informations faisant l'objet d'un traitement, et que cette protection est l'un des droits fondamentaux reconnus par l'Union (article 8 de la charte des droits fondamentaux et article 16 du traité FUE);

C.  considérant que la directive 95/46/CE, qui sera remplacée par le règlement général sur la protection des données en 2018, fixe des droits pour la personne concernée par les données et des obligations correspondantes pour les entités qui sont responsables du traitement des données à caractère personnel ou qui contrôlent ce traitement;

D.  considérant que la Commission doit veiller, au nom des citoyens de l'Union et de ses États membres, à ce que les données à caractère personnel ne puissent être transférées que vers des pays extérieurs à l'UE et à l'EEE où un niveau de protection adéquat est garanti;

E.  considérant que l’expression "niveau de protection adéquat" doit être comprise comme exigeant que le pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46/CE, lue à la lumière de la Charte;

F.  considérant que, lors de l’examen du niveau de protection offert par un pays tiers, la Commission est tenue d’apprécier le contenu des règles applicables dans ce pays résultant de la législation interne ou des engagements internationaux de celui-ci, ainsi que la pratique visant à assurer le respect de ces règles, dès lors qu'elle doit, conformément à l’article 25, paragraphe 2, de la directive 95/46, prendre en compte toutes les circonstances relatives à un transfert de données à caractère personnel vers un pays tiers; que cet examen ne doit pas seulement se rapporter à la législation et aux pratiques relatives à la protection des données à caractère personnel à des fins commerciales et privées mais doit également couvrir tous les aspects du cadre applicable à ce pays ou secteur, en particulier, mais pas seulement, la répression, la sécurité nationale et le respect des droits fondamentaux;

G.  considérant que le groupe de travail "article 29" a évalué les conséquences de l'arrêt Schrems sur l'ensemble des transferts de données à destination des États-Unis, au moyen d'un inventaire et d'une analyse de la jurisprudence de la Cour de justice de l'Union européenne relative aux articles 7, 8 et 47 de la Charte des droits fondamentaux (ci-après: la Charte) et de la jurisprudence de la Cour européenne des droits de l'homme (ci-après: CrEDH) relative à l'article 8 de la convention européenne des droits de l'homme (ci-après: CEDH) portant sur les questions de surveillance dans les États parties à la convention; qu'à l'issue de cet exercice, le groupe de travail "article 29" a recensé quatre "garanties essentielles européennes", à savoir: le traitement doit être basé sur des règles claires, précises et accessibles; la nécessité et la proportionnalité doivent être démontrées à l'égard des objectifs légitimes poursuivis; un mécanisme indépendant de surveillance doit exister; et des recours effectifs doivent être disponibles pour le particulier;

H.  considérant que les flux de données transnationaux entre les États-Unis et l'Europe sont les plus denses au monde – 50% de plus que les flux de données entre les États-Unis et l'Asie et près de deux fois les flux de données entre les États-Unis et l'Amérique latine – et que le transfert et l'échange de données à caractère personnel constituent une composante essentielle sous-tendant les liens étroits entre l'Union européenne et les États-Unis dans le secteur commercial et dans celui des services répressifs;

I.  considérant qu'une dimension importante de la relation transatlantique est la capacité de l'Union européenne, des États membres et des États-Unis à répondre efficacement aux menaces et défis communs en matière de sécurité d'une manière concertée et coordonnée, en s'appuyant notamment sur la capacité à échanger des données à caractère personnel dans le cadre d'une coopération policière et judiciaire en matière pénale, ce qui nécessite un cadre global et juridiquement conforme afin de garantir la légalité de ces transferts;

J.  considérant qu'à l'été 2015, l'Union européenne et les États-Unis ont achevé leurs négociations sur un accord international de protection des données dans le domaine répressif, l'"Accord-cadre" UE – États-Unis sur la protection des données, paraphé le 8 septembre 2015 à Luxembourg, et considérant que le "Judicial Redress Act" (loi sur le recours juridictionnel) américain, qui prévoit le traitement égal des citoyens de l'Union européenne et des citoyens américains au titre du Privacy Act ("loi sur la protection de la vie privée") américain de 1974, a été approuvé par le Congrès le 10 février 2016 et promulgué le 24 février 2016;

1.  se félicite des efforts déployés par la Commission et l'administration américaine afin d'apporter des améliorations substantielles au "bouclier vie privé" par rapport à la décision relative à la sphère de sécurité, avec en particulier l'insertion de définitions clés telles que "données à caractère personnel", "traitement" et "responsable du traitement", la mise en place d'un mécanisme pour assurer la surveillance de la liste d'organisations adhérant au "bouclier vie privé" et l'examen de conformité externe ou interne désormais obligatoire;

2.  reconnaît les efforts déployés par l'administration américaine afin d'apporter des éclaircissements sur le cadre juridique concernant l'ingérence dans les données à caractère personnel transférées au titre du "bouclier vie privée" Union européenne – États-Unis à des fins répressives, y compris les restrictions et sauvegardes applicables;

3.  observe avec satisfaction que l'article 3 du projet de décision d'exécution de la Commission prévoit que les autorités européennes de contrôle de la protection des données peuvent toujours suspendre le transfert de données à caractère personnel aux responsables du traitement des données qui participent au dispositif du "bouclier vie privée"; fait observer que cette disposition est conforme à l'article 4 de la décision 2001/497/CE de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers;

4.  est conscient et se félicite des progrès réalisés vers un plus grand accès aux recours juridictionnels pour les citoyens de l'Union européenne aux États-Unis, avec l'adoption par le Congrès du "Judicial Redress Act" (loi sur le recours juridictionnel), promulgué le 24 février 2016;

Garantir un instrument légal et viable pour les flux de données transatlantiques

5.  insiste sur le fait que la sécurité juridique du transfert de données à caractère personnel entre l'Union européenne et les États-Unis est un élément essentiel de la confiance des consommateurs, du développement des relations commerciales transatlantiques et de la coopération dans le domaine répressif, ce qui signifie qu'il est impératif, pour des raisons d'efficacité et de mise en œuvre à long terme, que les instruments permettant de tels transferts soient conformes à la fois au droit primaire et au droit dérivé de l'Union européenne;

6.  insiste sur le fait que le dispositif du "bouclier vie privé" doit être conforme au droit primaire et au droit dérivé de l'Union européenne ainsi qu'aux arrêts concernés de la Cour de justice et de la Cour européenne des droits de l'homme; invite la Commission à adapter le dispositif et son projet de décision en conséquence;

7.  presse la Commission de demander des éclaircissements complets sur le statut juridique des "assurances écrites" fournies par les États-Unis;

Considérations relatives au secteur privé

8.  insiste sur le fait que les principes du "bouclier vie privée" (annexe II) constituent un ensemble de principes substantiellement équivalents, comprenant le principe de minimisation des données et n'autorisant le traitement des données à caractère personnel qu'à des fins compatibles avec le but initial de la collecte des données; s'inquiéterait si certains traitements de données à caractère personnel étaient autorisés sans qu'il soit nécessaire d'obtenir le consentement de la personne concernée et en l'absence de droit d'opposition;

9.  rappelle que l'adoption d'une décision constatant le caractère pertinent de la protection donne aux responsables du traitement des données du pays tiers concerné un accès privilégié au marché de l'Union; s'inquiète du fait que, si les exigences des principes du "bouclier vie privée" se révèlent inférieures à celles que prévoit le droit de l'Union sur la protection des données, les responsables du traitement des données et les sous-traitants établis aux États-Unis pourraient avoir un avantage concurrentiel sur ceux établis dans l'Union;

Surveillance par les pouvoirs publics, accès à des fins répressives et exception de la sécurité nationale

10.  rappelle qu'il importe peu, pour établir l’existence d’une ingérence dans le droit fondamental au respect de la vie privée, que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence (arrêt Digital Rights Ireland e.a., C-293/12 et C-594/12, EU:C:2014:238, point 33).

11.  souligne, à cet égard, qu'il ressort de l'annexe VI (lettre de Robert S. Litt, ODNI) qu'en vertu de la directive présidentielle n° 28, la collecte de masse de données et communications à caractère personnel relatives à des ressortissants non américains reste autorisée dans six cas; souligne que la directive présidentielle nº 28, si elle impose de nouvelles règles restreignant l'utilisation et la diffusion de données et de communications à caractère personnel relatives à des ressortissants non américains, n'en limite pas la collecte de masse; relève que la "collecte de masse", au sens où l'entend l'administration des États-Unis, ne comprend pas la surveillance de masse et l'accès aux données ou communications à caractère personnel, mais uniquement le stockage de masse de telles données ou communications, ce qui est susceptible de contredire l'arrêt Schrems de la Cour de justice de l'Union européenne, selon lequel une réglementation permettant "d'accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée";

12.  regrette que l'exception générale liée à la sécurité nationale visée à l'annexe II, point 5, des principes du "bouclier vie privée" soit reprise telle quelle des principes de la sphère de sécurité, sans autre restriction;

13.  constate que la Commission n'a pas évalué les droits et la protection des citoyens de l'Union lorsque des données à caractère personnel les concernant sont communiquées par un responsable américain du traitement des données relevant du "bouclier vie privée" à une autorité répressive américaine; relève que l'annexe VII (lettre de Bruce C. Swartz, Department of Justice) concernant l'accès des services répressifs aux données ne mentionne que l'accès aux données stockées par les entreprises et n'aborde pas la question de la personne concernée par ces données ni des voies de recours juridictionnel dont dispose la personne dont les données sont communiquées;

Voies de recours

14.  s'inquiète de la complexité et de l'opacité de l'architecture globale de la procédure permettant aux citoyens européens d'exercer leurs droits de recours, qui pourraient se répercuter défavorablement sur son application effective;

15.  se félicite de la mise en place d'un médiateur par les autorités américaines, en tant que nouvelle voie de recours, mais considère que cette nouvelle institution n'est pas suffisamment indépendante, quelle n'est pas dotée de compétences suffisantes pour exercer efficacement et faire respecter sa fonction et que, dès lors, elle ne garantit pas un recours satisfaisant en cas de désaccord; regrette qu'aucun recours juridictionnel ne soit accordé au personnes concernées, ressortissantes de l'Union européenne, contre une décision du médiateur, contrairement aux exigences de la CrEDH;

Recommandations

16.  invite la Commission à accorder l'attention requise et à répondre aux points abordés dans la présente résolution ainsi que dans l'avis 01/2016 du groupe de travail "article 29" sur le projet de décision sur le caractère pertinent du "bouclier de protection des données UE-États-Unis" avant d'adopter sa propre décision concernant le caractère pertinent de ce bouclier, en tenant particulièrement compte des quatre garanties essentielles suivantes: le traitement doit être basé sur des règles claires, précises et accessibles; la nécessité et la proportionnalité doivent être démontrées à l'égard des objectifs légitimes poursuivis; un mécanisme indépendant de surveillance doit exister; et des recours effectifs doivent être disponibles pour le particulier;

17.  demande instamment, en particulier, que la Commission réponde aux inquiétudes exprimées par le groupe de travail "article 29" dans son avis, à savoir que les termes utilisés dans le projet de décision sur la pertinence du bouclier n'obligent pas les organisations à supprimer les données si elles ne sont plus nécessaires, que l'administration américaine n'exclut pas entièrement la poursuite de la collecte massive et aveugle de données mêmes si cette collecte constitue une atteinte injustifiée aux droits fondamentaux des personnes, et que les compétences et la position du médiateur doivent être clarifiées de manière à démontrer que son rôle est réellement indépendant et peut offrir un recours effectif contre le traitement de données non conforme;

18.  invite la Commission à n'appliquer la décision sur la pertinence du bouclier qu'à titre temporaire, dans l'attente des résultats de nouvelles négociations avec les États-Unis sur un cadre amélioré fondé sur le règlement général sur la protection des données;

19.  invite la Commission à veiller à ce que les personnes concernées, ressortissantes de l'Union européenne, disposent de recours administratifs et juridictionnels effectifs lorsque les autorités répressives américaines accèdent à leurs données à caractère personnel transférées dans le cadre du "bouclier vie privé" et les traitent à des fins répressives, afin d'assurer le respect de la Charte;

20.  invite instamment la Commission à répondre aux préoccupations exprimées, faute de quoi elle pourrait outrepasser ses compétences d'exécution en décidant que le dispositif du "bouclier vie privée" assure un niveau adéquat de protection aux États-Unis sans réaliser d'analyse approfondie du système américain;

21.  charge son Président de transmettre la présente résolution au Conseil, à la Commission, aux gouvernements et aux parlements des États membres, ainsi qu'au gouvernement et au Congrès américains.

(1)

JO L 281 du 23.11.1995, p. 31.

(2)

JO L 55 du 28.2.2011, p. 13.

(3)

JO C 121 du 24.4.2001, p. 152.

(4)

Textes adoptés de cette date, P7_TA(2014)0230.

(5)

Textes adoptés de cette date, P8_TA(2015)0388.

Avis juridique