PROPOSITION DE RÉSOLUTION sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis
3.4.2017 - (2016/3018(RSP))
conformément à l’article 123, paragraphe 2, du règlement
Axel Voss, Anna Maria Corazza Bildt, Barbara Kudrycka au nom du groupe PPE
Helga Stevens au nom du groupe ECR
B8-0244/2017
Résolution du Parlement européen sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis
Le Parlement européen,
– vu le traité sur l’Union européenne (traité UE), le traité sur le fonctionnement de l’Union européenne (traité FUE) et la charte des droits fondamentaux de l’Union,
– vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données («directive sur la protection des données»)[1],
– vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)[2] et la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision–cadre 2008/977/JAI du Conseil[3],
– vu l’arrêt rendu par la Cour de justice de l’Union européenne le 6 octobre 2015 dans l’affaire C–362/14, Maximillian Schrems/Data Protection Commissioner[4],
– vu la communication de la Commission au Parlement européen et au Conseil du 6 novembre 2015 concernant le transfert transatlantique de données à caractère personnel conformément à la directive 95/46/CE faisant suite à l’arrêt de la Cour de justice dans l’affaire C–362/14 (Schrems) (COM(2015)0566),
– vu la décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis[5],
– vu l’avis 4/2016 du Contrôleur européen de la protection des données (CEPD) sur le projet de décision d’adéquation relative au bouclier de protection des données UE–États-Unis[6],
– vu l’avis du groupe de travail «article 29» sur la protection des données du 13 avril 2016 sur le bouclier de protection des données UE–États-Unis[7] et sa déclaration du 26 juillet 2016[8],
– vu sa résolution du 26 mai 2016 sur les flux de données transatlantiques[9],
– vu l’article 123, paragraphe 2, de son règlement,
A. considérant que la Cour de justice de l’Union européenne (CJUE) a invalidé en 2015 la décision relative à la sphère de sécurité entre l’UE et les États-Unis sur l’échange de données à caractère personnel pour les citoyens de l’Union au motif qu’elle ne protégeait pas suffisamment les droits des citoyens de l’Union relatifs à la protection des données; que, par conséquent, la Commission a négocié un nouvel accord en 2016, à savoir le bouclier de protection des données UE–États-Unis;
B. considérant que le Parlement européen n’a pas été directement impliqué dans les négociations, mais qu’il a adopté, en mai 2016, une résolution sur les flux de données transatlantiques, qui saluait les «améliorations importantes» apportées par le bouclier de protection des données par rapport à la décision concernant la sphère de sécurité, tout en appelant à d’autres améliorations;
C. considérant que la Commission réalisera prochainement sa première évaluation annuelle du bouclier sur la protection des données et qu’elle en publiera les résultats;
1. salue la conclusion des négociations entre l’Union européenne et les États-Unis sur le bouclier de protection des données UE–États-Unis, après plus de deux ans de négociations entre la Commission européenne et le ministère américain du commerce, et l’adoption de la décision concernant le bouclier de protection des données UE–États-Unis le 12 juillet 2016;
2. constate que les entreprises peuvent adhérer au bouclier de protection des données UE–États-Unis auprès du ministère américain du commerce, qui vérifiera que leurs politiques sur la protection des données répondent aux conditions rigoureuses en la matière contenues dans le bouclier;
3. prend note du fait que, à ce jour, 1 937 entreprises se sont associées au bouclier de protection des données UE–États-Unis;
4. se félicite de l’adoption du Judicial Redress Act par le Congrès des États-Unis et rappelle la demande de longue date du Parlement en faveur de l’adoption d’un tel acte, condition préalable à la conclusion de l’accord-cadre UE–États-Unis ainsi que des négociations sur le bouclier vie privée;
5. reconnaît que le bouclier de protection des données UE–États-Unis diffère sensiblement du cadre relatif à la sphère de sécurité, en ce qu’il repose sur des documents beaucoup plus détaillés, qui imposent des obligations plus spécifiques aux entreprises désireuses d’adhérer au cadre et incluent de nouveaux garde–fous qui garantissent que les droits des ressortissants européens sont respectés lorsque les données les concernant sont traitées aux États-Unis;
6. se félicite que le groupe de travail «article 29» ait reconnu les améliorations importantes apportées par le bouclier de protection des données UE–États-Unis par rapport à la décision relative à la sphère de sécurité;
7. prend acte des préoccupations soulevées par le groupe de travail «article 29» et de sa démarche constructive, et souligne en outre que le principe de limitation de la durée de conservation des données, tel qu’il est évoqué dans l’avis, devrait d’abord être clarifié au sein de l’Union, où la situation et les normes demeurent incertaines à la suite de l’arrêt de la Cour de justice de l’Union européenne de 2014;
8. prend note de la déclaration du président du groupe de travail «article 29» selon laquelle les garanties essentielles répertoriées par ce groupe de travail devraient également être valables pour les États membres de l’Union;
9. regrette que la procédure d’adoption de la décision d’adéquation ne prévoie pas de consultation formelle des acteurs concernés, tels que les entreprises, et en particulier les organisations représentatives des PME;
10. relève que si le cadre relatif à la sphère de sécurité ne prévoyait aucune restriction particulière à l’égard de l’accès du gouvernement des États-Unis aux données qui y sont transférées, les documents afférents au bouclier de protection des données UE–États-Unis incluent désormais des engagements contraignants du gouvernement américain sous la forme de lettres du directeur des services nationaux de renseignement, du secrétaire d’État et du ministère de la justice;
11. souligne que depuis 2013, le Congrès et le gouvernement des États-Unis ont adopté plus d’une vingtaine d’actes visant à réformer la législation et les programmes relatifs à la surveillance, notamment le USA Freedom Act, qui interdit la collecte de masse des données, la directive présidentielle nº 28, qui fait de la protection du droit à la vie privée et des libertés civiles des ressortissants non américains une composante à part entière de la politique de surveillance des États-Unis, la modification du Foreign Intelligence Act ainsi que le Judicial Redress Act, qui étend les mesures de protection des données aux citoyens de l’Union; estime que ces réformes sont cruciales pour évaluer l’effet d’interférence avec les droits fondamentaux en matière de vie privée et de protection des données, comme indiqué aux articles 7 et 8 de la charte des droits fondamentaux de l’Union;
12. reconnaît et salue les initiatives prises par le gouvernement et le Congrès des États-Unis, telles que l’adoption à l’unanimité par la Chambre des représentants, en avril 2016, de la loi sur la confidentialité des courriels (Email Privacy Bill), qui modifie la loi sur la confidentialité des communications électroniques de 1986 (ECPA), et l’adoption par la Chambre, en janvier 2016, puis par le Sénat, en mars 2016, de la loi sur l’amélioration de la liberté de l’information (FOIA), et approuve sans réserve la promulgation de ce projet de loi, qui démontre les efforts politiques importants consentis par les États-Unis pour renforcer la protection de la vie privée pour tous;
13. se félicite de la mise en place, au sein du département d’État, d’un médiateur qui est indépendant des services de sécurité intérieure et qui contribuera à faciliter les recours et à assurer une surveillance indépendante; demande de désigner rapidement le premier médiateur;
14. constate que, bien que la législation des États-Unis offre des protections spécifiques contre les décisions défavorables dans les domaines où les entreprises ont vraisemblablement recours à un traitement automatique des données (par exemple l’emploi et l’octroi de crédits), le bouclier de protection des données UE–États-Unis ne prévoit aucune règle spécifique en matière de prise de décision automatisée; invite dès lors la Commission à contrôler la situation, y compris par l’intermédiaire des révisions annuelles conjointes;
15. relève avec satisfaction que, dans le cadre du bouclier de protection des données UE–États-Unis, les ressortissants de l’Union disposent de plusieurs moyens d’introduire des recours en justice aux États-Unis: d’abord, les plaintes peuvent être déposées directement auprès de l’entreprise ou par l’intermédiaire du ministère du commerce après consultation d’une autorité chargée de la protection des données (APD) ou d’un organisme indépendant de règlement des litiges; ensuite, pour ce qui est des atteintes aux droits fondamentaux pour des motifs de sécurité nationale, une action civile peut être intentée devant un tribunal des États-Unis et des plaintes similaires peuvent également être traitées par le médiateur indépendant nouvellement institué; enfin, les plaintes concernant des atteintes aux droits fondamentaux à des fins de maintien de l’ordre ou d’intérêt public peuvent faire l’objet de requêtes contestant une assignation à comparaître; encourage en outre la Commission et les autorités de protection des données à fournir davantage d’orientations afin de rendre ces recours juridiques plus facilement accessibles et disponibles;
16. constate que, bien que les individus puissent s’opposer, vis-à-vis du responsable européen de traitement des données, à tout transfert de leurs données personnelles vers les États-Unis ainsi qu’à tout traitement supplémentaire de ces données aux États-Unis, où l’entreprise ayant adhéré au bouclier de protection des données UE–États-Unis est chargée du traitement des données au nom du responsable européen, le bouclier de protection des données UE–États-Unis ne contient pas de règles spécifiques à propos d’un droit général de faire opposition à ce transfert vis-à-vis de l’entreprise américaine autocertifiée;
17. constate l’absence de principes explicites sur la manière dont les principes du bouclier de protection des données UE–États-Unis s’appliquent aux sous-traitants (agents), tout en reconnaissant que tous les principes s’appliquent au traitement des données à caractère personnel par toute entreprise américaine autocertifiée, sauf indication contraire, et que tout transfert à des fins de traitement exige l’établissement d’un contrat avec le responsable européen du traitement, qui déterminera les finalités et les moyens du traitement et décidera notamment si le sous–traitant est autorisé à poursuivre les transferts (par exemple pour la sous-traitance ultérieure);
18. relève que la Commission européenne a publié un guide à l’intention des citoyens, dans lequel elle leur explique la façon dont le bouclier de protection des données UE–États-Unis garantit leurs droits relatifs à la protection des données ainsi que les voies de recours disponibles lorsqu’ils estiment que leurs données ont été utilisées à mauvais escient ou que leurs droits relatifs à la protection des données n’ont pas été respectés; recommande de promouvoir ce guide afin que les citoyens soient conscients des avantages que le bouclier de protection des données a à offrir;
19. se félicite du rôle de premier plan qu’offre le cadre du bouclier de protection des données aux autorités de protection des données des États membres pour examiner et enquêter sur les plaintes relatives à la protection des droits à la vie privée et à la vie familiale en vertu de la charte des droits fondamentaux de l’Union et pour suspendre les transferts de données, ainsi que l’obligation pour le ministère américain du commerce de donner suite à ces plaintes;
20. rappelle que l’un des objectifs fondamentaux de l’Union en la matière devrait être la protection des données personnelles, car elles sont transmises à son principal partenaire commercial international, et que le bouclier de protection des données UE–États-Unis permettra d’assurer que les droits fondamentaux des ressortissants européens concernés sont protégés pendant le transfert des données;
21. salue le fait que les entreprises ne se trouvent plus face à une incertitude juridique et que le cadre du bouclier de protection des données UE–États-Unis fournit une base juridique pour le transfert des données;
22. rappelle également que la sécurité juridique, et en particulier des règles claires et uniformes, sont essentielles pour le développement et la croissance des entreprises, en particulier pour les PME, et met donc en garde contre toute tentative visant à mettre en péril le cadre de protection des données UE–États-Unis qui a été adopté, ce qui placerait des milliers d’entreprises de tous types et tailles – tant dans l’Union européenne qu’aux États-Unis – dans l’incertitude et aurait de lourdes conséquences sur leurs activités et leur capacité à réaliser des échanges commerciaux transatlantiques;
23. insiste sur le fait que les PME représentent 60 % des entreprises qui reposent sur l’accord relatif à la sphère de sécurité et qu’elles seront les premières à bénéficier du nouveau bouclier de protection des données UE–États-Unis et invite la Commission, en coopération étroite avec les autorités chargées de la protection des données, à offrir davantage de clarté, de précision ainsi qu’une meilleure accessibilité dans l’application et le fonctionnement du bouclier de protection des données pour ces entreprises;
24. considère que le bouclier de protection des données UE–États-Unis est crucial pour combler l’écart entre les approches européennes et américaines de la vie privée, et qu’il est donc essentiel pour rétablir la confiance entre les deux partenaires; est convaincu que le bouclier de protection des données UE–États-Unis, qui s’imposera comme un cadre de référence pour la conformité, sera soumis à un contrôle strict des régulateurs et de la Commission à travers le mécanisme conjoint de révision annuelle, ce qui garantira sa robustesse et sa validité juridique;
25. invite la Commission à assumer pleinement ses responsabilités dans le cadre du bouclier de protection des données UE–États-Unis et à réexaminer régulièrement ses décisions d’adéquation et les justifications juridiques qui l’étayent, afin de garantir que les données personnelles sont suffisamment protégées et que le bouclier de protection fonctionne efficacement sans fragiliser inutilement d’autres droits fondamentaux tels que le droit à la vie privée et à la sécurité, le droit de recevoir et de diffuser des informations et le droit à la liberté d’entreprise, et à faire rapport annuellement au Parlement sur ses conclusions et les mesures correctives adoptées à ce sujet;
26. demande à la Commission de veiller à ce que le mécanisme conjoint de révision annuelle se concentre sur le nombre de plaintes de citoyens enregistrées, l’efficacité et l’accessibilité des mécanismes de recours, y compris du médiateur, pour les ressortissants européens concernés, la progression des réformes de la législation américaine relative à la surveillance, la coopération entre les APD européennes et le ministère américain du commerce/la commission fédérale américaine du commerce (Federal Trade Commission, FTA), le rôle joué par le ministère américain du commerce et la FTA dans l’application du bouclier de protection des données et des politiques de protection de la vie privée par les entreprises américaines, et le nombre d’entreprises à y avoir souscrit;
27. reconnaît que le bouclier de protection des données UE–États-Unis s’inscrit dans un dialogue plus large entre l’Union européenne et les pays tiers, y compris les États-Unis, en ce qui concerne la confidentialité des données, le commerce, la sécurité et les droits y afférents et les objectifs d’intérêt commun; invite donc toutes les parties à œuvrer de concert à la création et à l’amélioration soutenue de cadres internationaux viables et d’une législation nationale qui permettent d’atteindre ces objectifs;
28. déplore la programmation anticipée de ce débat et estime que la présentation de la première révision annuelle conjointe serait un moment plus approprié pour tirer les premières conclusions sur le fonctionnement du bouclier de protection des données;
29. charge son Président de transmettre la présente résolution à la Commission, au Conseil, aux parlements nationaux des États membres, ainsi qu’au Congrès et au gouvernement des États-Unis.
- [1] JO L 281 du 23.11.1995, p. 31.
- [2] JO L 119 du 4.5.2016, p. 1.
- [3] JO L 119 du 4.5.2016, p. 89.
- [4] ECLI:EU:C:2015:650.
- [5] JO L 207 du 1.8.2016, p. 1.
- [6] JO C 257 du 15.7.2016, p. 8.
- [7] http://ec.europa.eu/justice/data–protection/article–29/documentation/opinion–recommendation/files/2016/wp238_en.pdf
- [8] http://ec.europa.eu/justice/data–protection/article–29/press–material/press–release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
- [9] Textes adoptés de cette date, P8_TA(2016)0233.