Procédure : 2016/2727(RSP)
Cycle de vie en séance
Cycle relatif au document : B8-0622/2016

Textes déposés :

B8-0622/2016

Débats :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Votes :

PV 26/05/2016 - 6.6
Explications de votes

Textes adoptés :


PROPOSITION DE RÉSOLUTION
PDF 191kWORD 81k
17.5.2016
PE582.642v01-00
 
B8-0622/2016

déposée à la suite de déclarations du Conseil et de la Commission

conformément à l'article 123, paragraphe 2, du règlement


sur les flux de données transatlantiques (2016/2727(RSP))


Jan Philipp Albrecht, Judith Sargentini au nom du groupe Verts/ALE

Résolution du Parlement européen sur les flux de données transatlantiques (2016/2727(RSP))  
B8-0622/2016

Le Parlement européen,

–  vu la directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1) (ci-après la "directive"), et notamment son article 25,

–  vu le règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE(2) (ci après le "règlement général sur la protection des données"), qui est entré en vigueur le 24 mai 2016 et s'applique à compter du 25 mai 2018,

–  vu la charte des droits fondamentaux de l'Union européenne (ci-après la "charte") et la convention européenne des droits de l'homme (CEDH),

–  vu l'arrêt rendu par la Cour de justice de l'Union européenne le 6 octobre 2015 dans l'affaire C-362/14, Maximillian Schrems/Data Protection Commissioner,

–  vu le projet de décision d'exécution de la Commission du 29 février 2016 relative à la pertinence de la protection assurée par les principes du "bouclier vie privée" UE‑États‑Unis et ses annexes sous forme de lettres du gouvernement des États-Unis et de la commission américaine du commerce,

–  vu la communication de la Commission du 29 février 2016 intitulée "Flux de données transatlantiques: rétablir la confiance grâce à des garanties solides" (COM(2016)0117), la communication de la Commission du 27 novembre 2013 relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l'Union et des entreprises établies sur son territoire (COM(2013)0847) et la communication de la Commission du 27 novembre 2013 intitulée "Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique" (COM(2013)0846),

–  vu l'avis sur la question (WP 238) du groupe de travail institué en vertu de l'article 29 de la directive, adopté le 13 avril 2016, et les avis qu'il a délivrés précédemment sur le même sujet (WP 12, WP 27 et WP 32),

–  vu le règlement (UE) n° 182/2011 du Parlement européen et du Conseil établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(3), et notamment son article 5 concernant la procédure d'examen,

–  vu sa résolution du 5 juillet 2000 sur le projet de décision de la Commission relative à la pertinence des niveaux de protection fournis par les principes de la sphère de sécurité et les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis(4),

–  vu sa résolution du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures(5), et sa résolution du 29 octobre 2015 sur le suivi de la résolution du Parlement européen du 12 mars 2014 sur la surveillance électronique de masse des citoyens de l'Union européenne(6),

–  vu l'article 123, paragraphe 2, de son règlement,

A.  considérant que le développement de la société de l'information et du commerce électronique, ainsi que le développement des capacités d'interception des agences de renseignement ont conduit, au niveau mondial, à une augmentation exponentielle du flux de données et des communications électroniques, mais aussi des risques pour ce qui est de l'utilisation abusive de ces données et de l'interception de ces communications;

B.  considérant qu'une telle utilisation abusive constitue non seulement un frein pour le développement du commerce électronique, dès lors qu'elle sape la confiance des consommateurs, mais souvent aussi un manquement aux droits et libertés des personnes et, notamment, une atteinte à la vie privée;

C.  considérant que la protection des données signifie la protection des personnes auxquelles appartiennent les informations faisant l'objet d'un traitement, et que cette protection est l'un des droits fondamentaux reconnus par l'Union (article 8 de la charte des droits fondamentaux et article 16 du traité sur le fonctionnement de l'Union européenne);

D.  considérant que la directive, qui sera remplacée par le règlement général sur la protection des données en 2018, fixe des droits pour la personne concernée par les données et des obligations correspondantes pour les entités qui sont responsables du traitement de ces données ou qui contrôlent ce traitement;

E.  considérant qu'une telle protection serait inutile si elle était confinée au territoire de l'Union et ne s'exerçait pas aussi de manière adéquate dans les pays tiers où les données sont transférées, comme le prévoit la directive;

F.  considérant que le caractère adéquat de la protection des données à caractère personnel dans un pays tiers doit être évaluée à l'aune du droit national ou des engagements internationaux du pays en question, et que ces moyens doivent être effectifs;

G.  considérant que la Commission doit veiller, au nom des citoyens de l'Union et de ses États membres, à ce qu'un degré adéquat de protection soit garanti dans les pays tiers concernés;

H.  considérant que, dans son arrêt du 6 octobre 2015, la Cour de justice de l'Union européenne a invalidé la décision de la Commission relative à la pertinence des niveaux de protection fournis par les principes de la sphère de sécurité et les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis,

I.  considérant que la Cour de justice a précisé dans son arrêt qu'un niveau de protection adéquat dans un pays tiers s'entend comme "substantiellement équivalent" à la protection offerte dans l'Union;

Introduction

1.  salue les efforts déployés par la Commission et le gouvernement des États-Unis pour apporter des améliorations substantielles dans le "bouclier vie privée" par rapport à la décision relative à la sphère de sécurité;

2.  souligne qu'il importe de préserver les droits fondamentaux, dont le droit à la protection des données et à la vie privée;

3.  met l'accent sur l'importance des échanges et de la coopération transatlantique;

4.  fait valoir l'importance de la sécurité juridique pour les personnes concernées par les données et les responsables de leur traitement;

5.  s'inquiète de ce que le dispositif du "bouclier vie privée" puisse ne pas entièrement satisfaire aux obligations de la charte, de la directive, du règlement général sur la protection des données et des arrêts rendus en la matière par la Cour de justice de l'Union européenne et la Cour européenne des droits de l'homme;

Secteur privé

6.  fait remarquer que les principes du "bouclier vie privée" (annexe II) ne constituent pas un ensemble de principes substantiellement équivalents, dès lors qu'ils ne requièrent pas le consentement de la personne concernée par les données, ne comprennent pas le principe de minimisation des données et autorisent le traitement des données à caractère personnel à des fins incompatibles avec le but initial de la collecte des données;

7.  souligne que les principes du "bouclier vie privée" autorisent par défaut tous les types de traitement des données à caractère personnel sans qu'il soit nécessaire d'obtenir le consentement de la personne concernée et en l'absence de droit d'opposition; s'inquiète de ce que même les possibilités de refus ("notification et choix") n'existent qu'en cas de modification matérielle de l'objet ou de divulgation à une tierce partie; se dit préoccupé par le fait que, même dans le cas des données sensibles, le consentement de la personne concernée ne soit requis que dans ces deux circonstances;

8.  fait valoir que le principe supplémentaire 2, paragraphe a, est incompatible avec l'arrêt Google Spain/Costeja rendu par la Cour de justice le 13 mai 2014 (C-131/12) et le droit à l'effacement des données ("droit à l'oubli") en vertu de la législation européenne en matière de protection des données;

9.  s'inquiète de ce que l'application des principes du "bouclier vie privée" serait extrêmement lourde, puisque la personne concernée par les données devrait suivre cinq étapes consécutives (plainte au responsable du traitement, règlement extrajudiciaire du litige, plainte auprès du ministère américain du commerce ou de la commission américaine du commerce par l'intermédiaire d'une autorité européenne de contrôle de la protection des données, "Privacy Shield Panel", tribunal américain); rappelle que, conformément à la directive 93/13/CEE du Conseil du 5 avril 1993, le règlement extrajudiciaire des litiges est interdit pour les contrats conclus avec les consommateurs;

10.  fait remarquer que la seule sanction pour un responsable du traitement des données agissant en violation des principes du "bouclier vie privée" est la radiation de la liste des entités du bouclier; ne voit pas en quoi cela constitue une sanction substantiellement équivalente aux sanctions administratives et autres prévues par la législation européenne en matière de protection des données, notamment le règlement général sur la protection des données;

11.  souligne que ni la commission américaine du commerce, ni le ministère du commerce des États-Unis, ni les organes de règlement extrajudiciaire des litiges ne disposent de pouvoirs d'enquête analogues à ceux des autorités de contrôle européennes; rappelle que la Cour de justice de l'Union européenne a déclaré que des pouvoirs de contrôle effectifs étaient essentiels pour contrôler la protection des données dans le droit primaire de l'Union;

12.  rappelle qu'une décision constatant le caractère adéquat de la protection donne aux responsables du traitement des données du pays tiers concerné un accès privilégié au marché de l'Union; est préoccupé par le fait que les exigences prévues par les principes du "bouclier vie privée" UE-États-Unis, moins strictes que celles définies par la législation de l'Union en matière de protection des données, ne donnent un avantage concurrentiel aux responsables du traitement des données et aux sous-traitants établis aux États-Unis par rapport à ceux établis dans l'Union;

13.  déplore que, malgré les efforts constatés ces dernières années, les États-Unis n'ait toujours pas adopté de loi générale sur la protection des données des consommateurs;

Surveillance par les pouvoirs publics

14.  relève qu'il ressort de l'annexe VI (lettre de Robert S. Litt, Office of the Director of National Intelligence) qu'en vertu de la directive présidentielle n° 28, l'utilisation des données et communications à caractère personnel relatives à des ressortissants non américains recueillies dans le cadre d'une collecte de masse reste autorisée dans six cas; souligne qu'une telle collecte de masse doit uniquement être "aussi ciblée que possible" et "raisonnable", des exigences qui ne satisfont pas aux critères plus stricts de nécessité et de proportionnalité définis par la charte; précise que l'an dernier, la Cour européenne des droits de l'homme a jugé que, pour garantir l'application en bonne et due forme des critères de nécessité et de proportionnalité, un "mandat d'interception doit désigner clairement la personne précise à placer sous surveillance ou l'unique ensemble de locaux (lieux) visé par l'interception autorisée par le mandat", et que "[c]ette désignation peut être faite au moyen des noms, adresses, numéros de téléphone ou d'autres informations pertinentes" (Zakharov contre Russie (2015), paragraphe 264); souligne que, en 2015 également, cette même Cour a jugé que le critère de nécessité exigeait que l'intervention soit "strictement nécessaire, en tant que telle, pour obtenir des renseignements d'une importance vitale dans le cadre d'une opération spécifique" (Szabó et Vissy contre Hongrie (2015), paragraphe 73);

15.  relève que l'annexe VI explique également que les données et communications personnelles peuvent être conservées pendant cinq ans, voire plus, dès lors que cette mesure est réputée être "dans l'intérêt de la sécurité nationale des États-Unis"; craint que cette disposition ne soit contraire à l'arrêt de la Cour de justice de l'Union européenne de 2014 sur la conservation de données (affaires jointes C-293/12 et C-594/12);

16.  constate que la directive présidentielle nº 28 impose de nouvelles règles restreignant l'utilisation et la diffusion de données et de communications à caractère personnel relatives à des ressortissants non américains, mais qu'elle n'en limite pas la collecte de masse; relève que la note de bas de page nº 5 de ladite directive précise que la "collecte de masse", au sens où l'entend le gouvernement américain, n'englobe pas la surveillance de masse des données et communications à caractère personnel ni l'accès à celles-ci, mais uniquement le stockage de masse de telles données et communications; est préoccupé par le fait que cette disposition constitue une infraction à l'arrêt Schrems de la Cour de justice de l'Union européenne, selon lequel une réglementation permettant "d'accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée";

17.  relève que la directive présidentielle nº 28 n'a pas valeur de loi et qu'elle peut être unilatéralement abrogée par tout futur président des États-Unis; met en garde contre l'incertitude juridique qui en découle pour les citoyens de l'Union qui se prévalent du "bouclier vie privée", car toutes les données communiquées aux États-Unis pourraient, à l'avenir, ne plus bénéficier de sa protection, sans voie de recours possible ni processus législatif ou avertissement préalable;

18.  constate que l'exception générale liée à la sécurité nationale visée à l'annexe II, point 5, des principes du "bouclier vie privée" est reprise telle quelle des principes de la sphère de sécurité, sans autre restriction;

19.  prend acte de la nomination d'un médiateur au sein du Département d'État américain en tant que point de contact pour les autorités de contrôle de l'Union au regard de la surveillance exercée par les pouvoirs publics; souligne toutefois que l'article 47 de la charte exige également que la personne concernée par les données dispose de voies de recours; relève qu'il ressort de l'annexe III (lettre du secrétaire d'État John F. Kerry) que le médiateur "ne confirmera ni n'infirmera que la personne concernée a fait l'objet d'une surveillance" et qu'il ne "confirmera pas l'existence d'une voie de recours spécifique" (paragraphe 4, point e)); souligne également que le médiateur ne dispose pas de l'indépendance requise vis-à-vis du pouvoir exécutif, vu qu'il est placé sous la tutelle du Secrétaire d'État;

20.  constate que depuis l'invalidation de la décision relative à la sphère de sécurité, les États-Unis n'ont pris aucune mesure pour limiter les programmes de surveillance visés par la Cour de justice de l'Union, mais qu'ils ont, au contraire, adopté une loi sur le partage d'informations relatives à la cybersécurité (Cybersecurity Information Sharing Act) en 2015 et sont en passe de modifier la règle 41 du code fédéral de procédure pénale, compromettant ainsi davantage encore la vie privée des ressortissants non américains;

21.  relève qu'en dépit de ces mesures, les États-Unis restent le seul pays qui ait pris des dispositions pour protéger les droits fondamentaux dans le sillage des révélations sur les opérations de surveillance de masse, avec l'adoption, en 2015, du USA Freedom Act, qui a limité la surveillance de masse par les services de renseignement américains sur le territoire des États-Unis; est cependant préoccupé par la situation juridique au regard du recours à la surveillance de masse par les services de renseignement américains en dehors des États-Unis et à l'égard des ressortissants non américains sur le territoire des États-Unis, telle que prévue par le US Code (titre 50, article 1881a – "section 702"), situation qui, elle, reste inchangée; estime que les États-Unis devraient prendre des mesures pour y remédier;

22.  souligne que plusieurs États membres, dont la France, le Royaume-Uni et les Pays-Bas, envisagent d'adopter ou ont adopté des mesures législatives qui renforcent considérablement les pouvoirs et les moyens en matière de surveillance mais qui ne sont pas conformes aux articles 7 et 8 de la charte des droits fondamentaux ni à la jurisprudence de la Cour de justice de l'Union et de la Cour européenne des droits de l'homme; demande à la Commission d'engager des procédures d'infraction contre ces États membres;

Autres aspects

23.  constate que la Commission n'a pas évalué les droits et la protection des citoyens de l'Union lorsque des données à caractère personnel les concernant sont communiquées par un responsable américain du traitement des données relevant du "bouclier vie privée" à une autorité répressive américaine; relève que l'annexe VII (lettre de Bruce C. Swartz, Department of Justice) concernant l'accès des services répressifs aux données ne mentionne que l'accès aux données stockées par les entreprises et n'aborde pas la question de la personne concernée par ces données ni des voies de recours judiciaire dont dispose la personne dont les données sont communiquées;

24.  se félicite que l'article 3 du projet de décision d'exécution de la Commission prévoit que les autorités européennes de contrôle de la protection des données peuvent néanmoins suspendre le transfert de données à caractère personnel aux responsables du traitement des données qui participent au mécanisme du "bouclier vie privée"; fait observer que cette disposition est conforme à l'article 4 de la décision 2001/497/CE de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers;

25.  insiste sur le principe du lieu d'implantation des activités introduit par le règlement général sur la protection des données; souligne que, une fois que le règlement sera appliqué, de nombreux responsables américains du traitement des données qui ont eu recours à l'accord sur la sphère de sécurité et qui pourraient se prévaloir du "bouclier vie privée" devront se conformer directement au règlement lorsqu'ils offriront des services sur le marché de l'Union ou contrôleront des personnes sur le territoire de l'Union;

Conclusions

26.  conclut que le "bouclier vie privée" et la situation aux États-Unis ne témoignent pas d'une amélioration sensible par rapport à l'accord sur la sphère de sécurité;

27.  souligne qu'il est très probable que, une fois adopté, le projet de décision constatant le caractère adéquat de la protection soit de nouveau contesté devant les tribunaux; insiste sur l'incertitude juridique qui en découle pour les entreprises et les particuliers; constate que des experts et des associations d'entreprises spécialisés dans la protection des données recommandent déjà aux entreprises d'utiliser d'autres moyens pour le transfert de données à caractère personnel vers les États-Unis;

28.  craint que la Commission n'outrepasse ses compétences d'exécution en décidant que le "bouclier vie privée" assure un niveau adéquat de protection des données aux États-Unis sans réaliser d'analyse approfondie du système américain ni tenir compte des aspects mis en lumière dans la présente résolution;

29.  demande à la Commission de poursuivre le dialogue avec les États-Unis en vue d'améliorer le dispositif du "bouclier vie privée" au regard de ses lacunes actuelles, afin de minimiser les risques d'annulation par un tribunal de la décision concernant le caractère adéquat de la protection;

30.  invite la Commission à prévoir, à tout le moins, une clause limitant à deux ans la validité de ladite décision, et à entamer de nouvelles négociations avec les États-Unis sur un cadre amélioré fondé sur le règlement général sur la protection des données;

31.  charge son Président de transmettre la présente résolution au Conseil, à la Commission, aux gouvernements et aux parlements des États membres, ainsi qu'au gouvernement et au Congrès des États-Unis.

 

(1)

JO L 281 du 23.11.1995, p. 31.

(2)

JO L 119 du 4.5.2016, p. 1.

(3)

JO L 55 du 28.2.2011, p. 13,

(4)

JO C 121 du 24.4.2001, p. 152.

(5)

Textes adoptés de cette date, P7_TA(2014)0230.

(6)

Texte adoptés de cette date, P8_TA(2015)0388.

Avis juridique - Politique de confidentialité