Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Résolution sur l’adéquation de la protection assurée par le cadre de protection des données UE–États-Unis

2023/2501(RSP)

Le Parlement européen a adopté par 306 voix pour, 27 voix contre et 231 abstentions, une résolution sur l’adéquation de la protection assurée par le cadre de protection des données UE–États-Unis.

Le 13 décembre 2022, la Commission a lancé le processus d'adoption d'une décision d'adéquation pour le cadre UE-États-Unis de protection des données. Cette résolution invite la Commission européenne à poursuivre les négociations avec ses homologues américains dans le but de créer un mécanisme qui garantirait l'équivalence et fournirait le niveau adéquat de protection requis par la législation de l'UE en matière de protection des données. 

Il n'existe pas de législation fédérale sur la protection de la vie privée et des données aux États-Unis. Toutefois, l'Executive Order 14086 on Enhancing Safeguards For United States Signals Intelligence Activities (EO 14086) introduit des définitions de concepts clés en matière de protection des données, tels que les principes de nécessité et de proportionnalité, ce qui constitue une avancée significative par rapport aux mécanismes de transfert précédents. Contrairement à tous les autres pays tiers qui ont reçu une décision d'adéquation au titre du règlement général sur la protection des données (RGPD), les États-Unis ne disposent toujours pas d'une loi fédérale sur la protection des données. L'application du décret 14086 n'est pas claire, précise ou prévisible, car il peut être modifié ou révoqué à tout moment par le président américain, qui est également habilité à émettre des décrets secrets.

Le Parlement a rappelé que la vie privée et familiale et la protection des données à caractère personnel sont des droits fondamentaux juridiquement contraignants inscrits dans les traités, la Charte et la Convention européenne des droits de l'homme, ainsi que dans les lois et la jurisprudence. Il a souligné que les décisions d'adéquation au titre du RGPD sont des décisions juridiques, et non des choix politiques, et que les droits à la vie privée et à la protection des données ne peuvent être mis en balance avec des intérêts commerciaux ou politiques, mais uniquement avec d'autres droits fondamentaux.

Les députés ont pris acte des efforts consentis dans le décret 14086 pour fixer des limites aux activités de renseignement d’origine électromagnétique menées par États-Unis en appliquant les principes de proportionnalité et de nécessité au cadre juridique des États-Unis relatif au renseignement d’origine électromagnétique et en dressant une liste des objectifs légitimes de ces activités. Ces principes seraient contraignants pour l’ensemble de la communauté du renseignement des États-Unis et pourraient être invoqués par les personnes concernées dans le cadre de la procédure prévue dans le décret 14086.

Le Parlement partage les préoccupations du CEPD concernant le manquement du décret 14086 à fournir des garanties suffisantes dans le cas de la collecte massive de données, à savoir l’absence d’autorisation préalable indépendante, l’absence de règles claires et strictes en matière de conservation des données, la collecte massive «temporaire» et l’absence de garanties plus strictes en ce qui concerne la diffusion des données collectées en masse. En l’absence de restrictions supplémentaires concernant la transmission des données aux autorités américaines, les autorités répressives pourraient accéder à des données qu’elles n’auraient autrement pas été autorisées à consulter.

Un nouveau mécanisme de recours a été créé pour permettre aux personnes concernées de l’Union d’introduire une réclamation. Le Parlement a souligné que les décisions de la Cour d'examen de la protection des données (DPRC) seraient classées et non rendues publiques ou mises à la disposition du plaignant, ce qui porterait atteinte à son droit d’accéder à ses données ou de les rectifier. En conséquence, une personne introduisant un recours n’aurait aucune chance d’être informée des résultats concrets de celui-ci et la décision serait définitive. La procédure de recours proposée ne prévoit pas de voie de recours devant une cour fédérale et, partant, ne prévoit pas, entre autres, la possibilité pour le plaignant de réclamer des dommages et intérêts. La Commission est invitée à poursuivre les négociations avec les États-Unis afin de parvenir aux changements nécessaires pour répondre à ces préoccupations.

De plus, si les États-Unis ont prévu un nouveau mécanisme de recours pour les questions liées à l'accès des autorités publiques aux données, des questions subsistent quant à l'efficacité des recours disponibles pour les questions commerciales, qui restent inchangés en vertu de la décision d'adéquation. Les mécanismes visant à résoudre ces questions sont largement laissés à la discrétion des entreprises, qui peuvent choisir d'autres voies de recours telles que les mécanismes de règlement des différends ou l'utilisation des programmes de protection de la vie privée des entreprises. Le Parlement a demandé à la Commission, si une décision d'adéquation est adoptée, d'analyser de près l'efficacité de ces mécanismes de recours.

Conclusions

Il est rappelé que, dans sa résolution du 20 mai 2021, le Parlement a demandé à la Commission de ne pas adopter une nouvelle décision d'adéquation concernant les États-Unis, à moins que des réformes significatives ne soient introduites, en particulier à des fins de sécurité nationale et de renseignement. Le Parlement estime que le décret 14086 n'est pas suffisamment significatif et réitère que la Commission ne devrait pas laisser la tâche de protéger les droits fondamentaux des citoyens de l'UE à la Cour de justice de l'Union européenne à la suite de plaintes de ces citoyens.

Le Parlement conclut que le cadre ne crée pas d'équivalence essentielle et invite la Commission à poursuivre ses négociations avec les États-Unis  et à ne pas adopter de décision d'adéquation tant que toutes les recommandations formulées dans la résolution et l'avis du Comité européen de la protection des données n'auront pas été pleinement mises en œuvre.

Il a également appelé la Commission à agir dans l'intérêt des entreprises et des citoyens de l'UE en veillant à ce que le cadre proposé fournisse une base juridique solide, suffisante et orientée vers l'avenir pour les transferts de données entre l'UE et les États-Unis.

Le Parlement s’attend à ce que toute décision d’adéquation qui serait adoptée soit contestée devant la CJUE. Il a souligné la responsabilité de la Commission dans le manquement à protéger les droits des citoyens de l’Union au cas où la décision d’adéquation serait de nouveau invalidée par la CJUE.