Le prolongement et le durcissement proposé de la loi FISA remettent-ils en cause la signature du DPF par la Commission?

19.1.2024

Question avec demande de réponse écrite  E-000166/2024
à la Commission
Article 138 du règlement intérieur
Mathilde Androuët (ID)

Le 28 février dernier, le comité européen à la protection des données (EDPB) s’interrogeait sur la capacité des États-Unis à protéger les données personnelles des Européens[1]. Or, le 22 décembre 2023, la section 702 de la loi FISA[2], qui permet aux agences de renseignement américain d’accéder aux courriels et aux conversations téléphoniques des Européens[3], a été prolongée jusqu’à fin avril 2024. En outre, la section 504 d’un des projets de réforme du texte[4], le FRRA[5], propose une extension du champ d’application de cette loi[6]. Celle-ci prévoit d’augmenter la liste des sociétés devant répondre aux exigences des agences américaines et d’y inclure le «cross connect». Les centres de données (de droit américain) seraient aussi contraints d’installer des modules d’interception.

Tous ces éléments sont en contradiction avec le EUCS[7], en cours de négociation[8], alors que la Commission souhaite que les fournisseurs de services d’informatique en nuage soient tenus de démontrer leur immunité juridique vis-à-vis des juridictions étrangères.

La Commission avait signé le DPF[9], accord sur les données entre les États-Unis et l’Europe[10], en expliquant que la loi FISA allait être modérée.

• 1.Comment la Commission juge-t-elle cette évolution?
• 2.Estime-t-elle qu’il serait souhaitable de réexaminer urgemment le DPF?

Dépôt:19.1.2024

• [1] «Avis 5/2023 relatif au projet de décision d’exécution de la Commission européenne constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE–États-Unis», site de l’EDPB, 28 février 2023.
• [2] Foreign Intelligence Surveillance Act.
• [3] «The Spy Law That Big Tech Wants to Limit», Bloomberg, 22 mars 2023.
• [4] «H.R.6611 - FISA Reform and Reauthorization Act of 2023», site internet du Congrès américain.
• [5] FISA Reform and Reauthorization Act.
• [6] «The FISA Reform and Reauthorization Act: A Wolf in Sheep’s Clothing», TechPolicy.press, 12 décembre 2023.
• [7] European Cybersecurity Certification Scheme for Cloud Services.
• [8] «EU cloud scheme slightly tones down sovereignty requirements», Euractiv, 22 novembre 2023.
• [9] Data Privacy Framework.
• [10] «Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows», site internet de la Commission, 10 juillet 2023.