Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Résolution sur l’arrêt rendu par la Cour de justice de l’Union européenne le 16 juillet 2020 dans l’affaire C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems

2020/2789(RSP)

Le Parlement européen a adopté par 541 voix pour, 1 voix contre et 151 abstentions, une résolution sur l’arrêt rendu par la Cour de justice de l’Union européenne le 16 juillet 2020 dans l’affaire C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems («arrêt Schrems II»).

Pour rappel, depuis 2016, le bouclier de protection des données UE-États-Unis visait à faciliter les transferts de données entre l'UE et les États-Unis en établissant des garanties et des protections en matière de confidentialité des données pour les personnes concernées de l'UE.

La Cour de justice de l’Union européenne (CJUE), dans l’arrêt Schrems II du 16 juillet 2020, a invalidé le bouclier de protection des données UE-États-Unis, au motif que les lois de surveillance américaines n'offrent pas aux données de l'UE des niveaux de protection adéquats en vertu de la Charte des droits fondamentaux de l'Union européenne et du Règlement général sur la protection des données (RGPD).

Dans le même arrêt, la Cour a confirmé la validité de la décision 2010/87/UE relative aux clauses contractuelles types (CCT), qui constituent le mécanisme le plus largement utilisé pour les transferts internationaux de données.

Par conséquent, la Cour a invalidé la décision (UE) 2016/1250 de la Commission sur le caractère adéquat de la protection offerte par le bouclier de protection de la vie privée UE-États-Unis.

Conséquences de l’arrêt de la Cour

Le Parlement a pris acte du fait que la Cour a estimé que les clauses contractuelles types (CCT) constituaient un mécanisme efficace pour garantir le respect du niveau de protection assuré dans l’Union. Il a toutefois exigé qu’un responsable du traitement/sous-traitant établi dans l’Union européenne et le destinataire de données à caractère personnel soient tenus de vérifier, avant tout transfert, que le niveau de protection requis par le droit de l’Union est bien respecté dans le pays tiers concerné.

Les députés ont estimé que l'arrêt de la CJUE avait également des implications pour les décisions relatives à l’adéquation de la protection des données dans d’autres pays tiers, Royaume-Uni inclus. Ils ont réaffirmé le besoin de clarté et de sécurité juridiques, étant donné que la capacité à transférer des données à caractère personnel par-delà les frontières en toute sécurité ne cesse de gagner en importance pour les particuliers en ce qui concerne la protection de leurs données à caractère personnel et leurs droits. Ils ont toutefois souligné que jusqu’à leur révocation, leur remplacement ou leur invalidation par la Cour, les décisions d’adéquation existantes resteraient en vigueur.

Le Parlement s’est dit préoccupé par le fait que le commissaire irlandais à la protection des données n’ait pas encore tranché sur plusieurs réclamations concernant des infractions au RGPD déposées le 25 mai 2018, date de l’entrée en vigueur du RGPD, pas plus que sur d’autres plaintes émanant de groupes de consommateurs et autres alors qu’il est l’autorité compétente au premier chef pour ces affaires.

Clauses contractuelles type

Le Parlement a pris acte du projet de décision d’exécution de la Commission et du projet de clauses contractuelles types et a salué le fait que la Commission consulte en ce moment les parties prenantes dans le cadre d’une consultation publique sur ce projet. Il estime que la proposition de la Commission relative à un modèle de clauses contractuelles types devrait prendre dûment en compte l’ensemble des recommandations pertinentes du comité européen de la protection des données.

Bouclier de protection des données

La résolution rappelle que la CJUE a estimé que le bouclier de protection des données UE-États-Unis n'offrait pas de garanties suffisantes, notamment en raison de l’accès massif des pouvoirs publics des États-Unis aux données à caractère personnel transférées, qui ne respecte pas les principes de nécessité et de proportionnalité, ainsi qu’en raison de l’absence, pour les personnes de l’Union dont les données sont traitées, de droits opposables aux autorités américaines devant les tribunaux des États-Unis.

Le Parlement s’attend à ce que l’administration américaine actuelle s’applique davantage à respecter ses obligations dans le cadre d’éventuels futurs mécanismes de transfert que les administrations précédentes.

Les députés ont regretté que, malgré les nombreux appels du Parlement, la Commission n’ait pas agi pour s’assurer que le bouclier de protection des données respecte pleinement le RGPD et la charte. Ils ont également déploré que la Commission ait ignoré la demande du Parlement l’invitant à suspendre le bouclier de protection des données jusqu’à ce que les autorités américaines respectent les dispositions de ce cadre, faisant ainsi passer les relations avec les États-Unis avant les intérêts des citoyens de l’Union et laissant le soin à des citoyens individuels de défendre le droit de l’Union.

La surveillance de masse et le cadre juridique

Le Parlement a encouragé la Commission à suivre de manière proactive l’utilisation de technologies de surveillance de masse aux États-Unis et dans d’autres pays tiers qui feraient l’objet d’un constat d’adéquation, comme le Royaume-Uni. La Commission ne devrait adopter aucune décision constatant l’adéquation de la protection des données pour les pays où les lois et les programmes relatifs à la surveillance de masse ne satisfont pas aux critères de la Cour.

Au regard des lacunes caractérisées en matière de protection des données de citoyens européens transférées aux États-Unis, les députés ont demandé de soutenir l’investissement dans des outils européens de conservation des données (ex. service cloud) pour réduire la dépendance de l’Union en capacités de stockage vis-à-vis des pays tiers et pour renforcer l’autonomie stratégique de l’Union en matière de gestion et de protection des données.

Décisions d'adéquation

Le Parlement a demandé à la Commission de prendre toutes les mesures qui s’imposent pour faire en sorte que toute nouvelle décision relative à l’adéquation de la protection des données aux États-Unis soit pleinement conforme au règlement (UE) 2016/679, à la charte et à tous les aspects des arrêts de la Cour. Il a appelé la Commission à faire passer le message selon lequel, en l’absence de modification des lois et pratiques de surveillance des États-Unis, la seule option envisageable pour faciliter une décision d’adéquation à l’avenir consisterait à conclure des accords de «non-espionnage» avec les États membres.

La Commission devrait accorder davantage de poids à l’avis du Parlement au sujet de toute nouvelle décision relative à l’adéquation de la protection des données en lien avec les États-Unis avant d’adopter une telle décision.