Résolution sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis

Le Parlement européen a adopté par 303 voix pour, 223 contre et 29 abstentions, une résolution déposée par la commission des libertés civiles, de la justice et des affaires intérieures sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis.

Prenant note des améliorations apportées par le bouclier de protection des données par rapport à la décision relative à la sphère de sécurité, le Parlement a cependant insisté sur les faiblesses persistantes du bouclier de protection des données en ce qui concerne le respect des droits fondamentaux des personnes concernées. Le Parlement est d’avis que l’actuel bouclier de protection des données n’offre pas le niveau de protection adéquat requis par le droit de l’Union en matière de protection des données et par la charte des droits fondamentaux de l’Union européenne, telle qu’interprétée par la Cour de justice de l’Union européenne. Il a souligné le risque croissant que la Cour de justice de l’Union européenne puisse invalider la décision d’exécution (UE) 2016/1250 de la Commission sur le bouclier de protection des données.

Dès lors, le Parlement a considéré que, à moins que les États-Unis ne se conforment pleinement à leurs obligations d’ici au 1^er septembre 2018, la Commission devra suspendre le bouclier de protection des données jusqu’à ce que les autorités américaines se conforment aux dispositions de l’accord.

Dans sa résolution, le Parlement a soulevé les points suivants :

Aspects institutionnels : les députés ont souligné que les récentes révélations concernant les pratiques de Facebook et de Cambridge Analytica mettent en exergue la nécessité d’une surveillance en amont ainsi que de mesures d’exécution qui ne se fondent pas exclusivement sur des plaintes et qui prévoient des contrôles systématiques de la conformité pratique des politiques de protection de la vie privée avec les principes du bouclier de protection des données tout au long de la durée de vie de la certification. Facebook, signataire du bouclier de protection des données, a confirmé que les données de 2,7 millions de citoyens de l’UE figuraient parmi les données utilisées de manière abusive par le consultant politique Cambridge Analytica.

Les députés ont ajouté que le mécanisme du médiateur mis en place par le département d’État américain n’est pas suffisamment indépendant et n’est pas doté de pouvoirs effectifs suffisants pour mener à bien ses missions et offrir aux ressortissants de l’Union des voies de recours efficaces.

Aspects commerciaux : le Parlement a considéré qu’il n’existe pas de contrôle efficace permettant de savoir si les entreprises certifiées respectent effectivement les obligations prévues par le bouclier de protection des données. Il a invité le ministère du commerce à entreprendre de manière proactive et régulière des examens automatiques de conformité afin de vérifier le respect effectif des règles et des exigences du bouclier de protection des données par les entreprises. Il a ajouté que, eu égard aux récentes révélations d’utilisation abusive de données à caractère personnel par des entreprises certifiées participant au bouclier de protection des données, notamment Facebook et Cambridge Analytica, les autorités américaines chargées de faire respecter le bouclier de protection des données devaient réagir à ces révélations sans délai et dans le plein respect des assurances et engagements donnés pour maintenir dans sa forme actuelle le bouclier de protection des données et, le cas échéant, devaient retirer ces entreprises de la liste du bouclier de protection des données. Les autorités de l’Union européenne en charge de la protection des données ont également été invitées à enquêter sur ces révélations et, le cas échéant, à suspendre ou à interdire les transferts de données au titre du bouclier de protection des données.

Le Parlement a également soulevé des inquiétudes concernant :

• l’absence de règles et de garanties spécifiques, dans le bouclier de protection des données, concernant les décisions fondées sur le traitement automatisé ou le profilage, qui produisent des effets juridiques ou affectent de manière significative l’individu ;
• le fait que les principes du bouclier de protection des données ne sont pas conformes au modèle européen de traitement fondé sur le consentement dans la mesure où ils ne permettent un droit d’opposition (clause d’exemption) que dans des situations bien précises ;
• le rejet par le Congrès, en mars 2017, du texte proposé par la commission fédérale des communications relatif à la «protection de la vie privée des clients des services à haut débit et autres services de télécommunications», ce qui en pratique supprime, dans le domaine du haut débit, les règles de protection de la vie privée qui auraient obligé les fournisseurs de services Internet à obtenir le consentement explicite des consommateurs avant de vendre ou de partager des données de navigation Web et d’autres informations privées avec les annonceurs et diverses autres entreprises.

Application de la loi et sécurité nationale : les députés ont demandé une définition claire de la « sécurité nationale », estimant que la définition de l’expression «sécurité nationale» dans le mécanisme du bouclier de protection des données n’est pas suffisamment circonscrite pour s’assurer que les violations de la protection des données peuvent être effectivement examinées par les tribunaux sur la base d’un contrôle strict de ce qui est nécessaire et proportionné. De plus, le Parlement a souligné les points suivants :

• loi CLOUD : les députés ont exprimé leurs vives préoccupations concernant l’adoption récente de la loi CLOUD [Clarifying Lawful Overseas Use of Data Act], qui étend les compétences des services répressifs américains et étrangers en leur permettant de cibler et d’accéder aux données des personnes au-delà des frontières internationales. Ils ont considéré que la Loi pouvait avoir de graves conséquences pour l’UE car elle a une grande portée et est source de conflit potentiel avec la législation de l’UE sur la protection des données. Une solution plus appropriée aurait été de renforcer le système international existant de traités d’entraide judiciaire (MLAT) en vue d’encourager la coopération internationale et judiciaire.
• décret présidentiel 12333 : les députés ont réitéré leurs préoccupations concernant le décret présidentiel 12333, qui permet à la NSA de partager de vastes quantités de données privées, recueillies sans mandat, ordonnance de justice ou autorisation du Congrès, avec 16 autres organismes, dont le FBI, l’agence de lutte contre la drogue et le ministère de la sécurité intérieure. Ils ont regretté l’absence de tout contrôle juridictionnel des activités de surveillance fondées sur le décret présidentiel 12333.
• section 702 de la FISA (US Foreign Intelligence Surveillance Act) : le Parlement a demandé des preuves et des engagements juridiquement contraignants garantissant que la collecte de données fondée sur la section 702 de la FISA ne se fasse pas sans discernement et que l’accès ne soit pas généralisé (collecte en vrac), sous peine de méconnaître la charte des droits fondamentaux de l’UE. Il a déploré que les citoyens de l’UE soient exclus de la protection supplémentaire que permet la réactivation de la section 702 de la FISA.
• Décret présidentiel 13768 : le Parlement a considéré que le décret présidentiel 13768 reflète l’intention de l’exécutif américain d’annuler les garanties de protection des données précédemment accordées aux citoyens de l’UE et de s’affranchir des engagements pris à l’égard de l’UE pendant la présidence Obama.

Les Parlement a invité la Commission à prendre toutes les mesures nécessaires pour garantir que le bouclier de protection des données sera entièrement conforme au règlement (UE) 2016/679, applicable à partir du 25 mai 2018, et à la charte des droits fondamentaux de l’UE pour éviter ainsi que les critères d’adéquation ne se traduisent par des lacunes ou par un avantage concurrentiel pour les entreprises américaines.