52016PC0237

COMMISSION EUROPÉENNE

Bruxelles, le 29.4.2016

COM(2016) 237 final

2016/0126(NLE)

Proposition de

DÉCISION DU CONSEIL

concernant la conclusion, au nom de l’Union européenne, d’un accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière

EXPOSÉ DES MOTIFS

1.CONTEXTE DE LA PROPOSITION

•Justification et objectifs de la proposition

Un groupe de contact à haut niveau (ci-après le «HLCG»), composé de hauts fonctionnaires de la Commission, de représentants de la présidence du Conseil et des ministères de la justice, de la sécurité intérieure et des affaires étrangères des États-Unis, a été mis sur pied en novembre 2006 en vue d’étudier les moyens qui permettraient à l’UE et aux États-Unis de coopérer plus étroitement et plus efficacement dans le domaine de l’échange d’informations en matière répressive, tout en veillant à garantir la protection des données à caractère personnel et de la vie privée. La conclusion présentée en octobre 2009 par le HLCG dans son rapport final 1 était qu’un accord international engageant tant l’UE que les États-Unis à appliquer des principes communs reconnus en matière de protection des données pour les transferts de données transatlantiques dans le domaine répressif constituait la meilleure option: un tel accord aurait l’avantage d’établir les fondements d’une protection efficace de la vie privée et des données à caractère personnel régissant tout échange d’informations en matière répressive, et il offrirait le niveau de sécurité juridique le plus élevé.

Le 3 décembre 2010, le Conseil a adopté une décision autorisant la Commission à ouvrir des négociations en vue d’un accord entre l’Union européenne et les États-Unis d’Amérique relatif à la protection des données à caractère personnel lors de leur transfert et de leur traitement à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d’enquêtes et de poursuites en la matière, dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale (ci-après l’«accord-cadre») 2 .

La Commission a engagé les négociations le 28 mars 2011. Le 8 septembre 2015, les Parties ont paraphé le texte.

L’accord-cadre établit (pour la première fois) un cadre complet de principes et de garanties en matière de protection des données lors du transfert d’informations à caractère personnel 3 à des fins d’application du droit pénal entre les États-Unis, d’une part, et l’Union européenne ou ses États membres, d’autre part. Son double objectif est de garantir un niveau élevé de protection des données et, partant, d’améliorer la coopération entre les Parties. Bien qu’il ne constitue pas en soi la base juridique de transferts d’informations à caractère personnel vers les États-Unis, l’accord-cadre complète, en tant que de besoin, les garanties en matière de protection des données figurant dans les accords existants et futurs relatifs au transfert de données ou les dispositions nationales autorisant ce type de transfert.

Il s’agit d’une amélioration substantielle par rapport à la situation actuelle, dans laquelle des informations à caractère personnel sont transférées de l’autre côté de l’Atlantique sur la base d’instruments juridiques (accords internationaux ou législations nationales) dont les dispositions en matière de protection des données sont généralement limitées, voire inexistantes.

• Cohérence avec les dispositions existantes dans le domaine d’action

L’accord-cadre renforcera la protection reconnue pour toutes les données à caractère personnel des personnes concernées de l’Union lors de leur échange avec les États-Unis à des fins d’application du droit pénal. En établissant un cadre complet de garanties en matière de protection des données, l’accord complétera les accords existants (aussi bien les accords bilatéraux entre les États membres et les États-Unis que les accords UE-États-Unis) sur la base desquels des données à caractère personnel sont transférées aux États-Unis à des fins répressives lorsque, et dans la mesure où, lesdits accords n’offrent pas le niveau exigé de protection et de garanties.

L’accord fournira en outre un «filet de sécurité» pour les futurs accords UE/États membres-États-Unis, correspondant au niveau minimal de protection exigé. Il s’agit là d’une garantie importante pour l’avenir et d’une évolution majeure par rapport à la situation actuelle, où garanties, protections et droits doivent être négociés à nouveau pour chaque nouvel accord.

Dans l’ensemble, l’accord-cadre apportera une valeur ajoutée importante par l’augmentation du niveau de protection dont jouiront les personnes concernées de l’Union, dans le respect des exigences du droit primaire et dérivé de l’Union. Il mettra en place pour la première fois un instrument de protection des données couvrant de manière exhaustive et cohérente tous les transferts de données dans un domaine déterminé (c’est-à-dire les échanges transatlantiques de données dans le domaine de la coopération policière et judiciaire en matière pénale). L’accord-cadre soutiendra en outre, dans le contexte transatlantique, les exigences générales relatives aux transferts internationaux de données figurant dans la future directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales, et à la libre circulation de ces données (ci-après la directive «police») 4 , adoptée le 14 avril 2016. Compte tenu de ce qui précède, l’accord-cadre crée aussi un précédent important pour d’éventuels accords comparables à passer avec d’autres partenaires internationaux.

•Cohérence avec les autres politiques de l’Union

L’accord-cadre devrait avoir des effets considérables en matière de coopération policière et répressive avec les États-Unis. En établissant un cadre commun et exhaustif de règles et garanties en matière de protection des données, il permettra à l’UE ou à ses États membres, d’une part, et aux services répressifs pénaux des États-Unis, d’autre part, d’instaurer entre eux une coopération plus efficace. En outre, il fera en sorte que les accords existants contiennent toutes les garanties nécessaires en termes de protection. Cette mesure assurera la continuité de la coopération en matière répressive, tout en renforçant la sécurité juridique en cas de transfert de données. Par ailleurs, l’accord-cadre facilitera la conclusion de futurs accords de transfert de données avec les États-Unis dans le domaine répressif, étant donné que les garanties relatives à la protection des données auront fait l’objet d’un accord et ne devront donc plus être renégociées à chaque fois. Enfin, l’instauration de normes communes dans ce domaine de coopération essentiel mais complexe est une réalisation importante susceptible de contribuer sensiblement à rétablir la confiance dans les flux transatlantiques de données.

2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ

•Base juridique

La base juridique de la présente proposition est l’article 16 du TFUE, en liaison avec l’article 218, paragraphe 6, point a), du TFUE.

••Subsidiarité

L’accord-cadre relève de la compétence exclusive de l’Union européenne, en vertu de l’article 3, paragraphe 2, du TFUE. Par conséquent, le principe de subsidiarité ne s’applique pas.

•Proportionnalité

L’accord-cadre prévoit les garanties en matière de protection des données requises en vertu des directives de négociation du Conseil. Elles sont considérées comme des éléments nécessaires pour garantir le niveau de protection requis, à la fois par la Charte des droits fondamentaux et compte tenu de l’évolution de l’acquis de l’UE, lorsque des données à caractère personnel sont transférées vers un pays tiers. Ni une liste nettement plus restreinte de garanties en la matière, ni un instrument d’une force obligatoire moindre ne peuvent être considérés comme suffisants pour assurer un tel niveau de protection. Par conséquent, la proposition ne va pas au-delà de ce qui est nécessaire pour atteindre l’objectif politique consistant à établir un cadre pour la protection des données à caractère personnel lors de leur transfert entre les États-Unis, d’une part, et l’Union européenne ou ses États membres, d’autre part, dans un contexte répressif.

•Choix de l’instrument

La mise en place d’un cadre contraignant pour la protection des données à caractère personnel, qui complétera les accords existants et constituera la base d’accords futurs, ne peut être assurée que par un accord international conclu entre l’Union européenne et les États-Unis.

En outre, comme cela a été souligné dans le rapport du HLCG d’octobre 2009, un accord international garantit le niveau de sécurité juridique le plus élevé.

3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D’IMPACT

•Évaluations ex post/bilans de qualité de la législation existante

Sans objet.

•Consultation des parties intéressées

La Commission a régulièrement rendu compte, tant oralement que par écrit, de l’avancement des négociations au comité spécial du Conseil désigné. Le Parlement européen a été tenu régulièrement informé, par l’intermédiaire de sa commission des libertés civiles, de la justice et des affaires intérieures (LIBE), à la fois oralement et par écrit.

•Obtention et utilisation d’expertise

L’initiative met en œuvre les directives de négociation adoptées par le Conseil le 3 décembre 2010.

•Analyse d’impact

Aucune analyse d’impact n’a été nécessaire. L’accord proposé est conforme aux directives de négociation du Conseil.

•Réglementation affûtée et simplification

Sans objet.

•Droits fondamentaux

Les dispositions de l’accord-cadre visent à protéger le droit fondamental à la protection des données à caractère personnel ainsi que le droit à un recours effectif et à un procès équitable, consacrés respectivement par les articles 8 et 47 de la Charte des droits fondamentaux de l’Union européenne.

4.INCIDENCE BUDGÉTAIRE

L’accord proposé n’a pas d’incidence budgétaire.

5.AUTRES ÉLÉMENTS

•Plans de mise en œuvre et modalités de suivi, d’évaluation et d’information

Une mise en œuvre de la part des États membres sera nécessaire mais aucune modification majeure des législations n’est à attendre, étant donné que les dispositions de fond de l’accord-cadre correspondent dans une large mesure à des règles déjà applicables aux autorités européennes et nationales en vertu du droit de l’Union et/ou du droit national.

Explication détaillée des différentes dispositions de la proposition

L’accord-cadre contient cinq catégories de dispositions, comme le prévoyaient les directives de négociation du Conseil: i) dispositions horizontales; ii) principes et garanties en matière de protection de données; iii) droits individuels; iv) aspects relatifs à l’application de l’accord et au contrôle; v) dispositions finales.

i) Dispositions horizontales

i) Objet de l’accord (article 1)

Pour atteindre l’objectif de l’accord, à savoir assurer un niveau élevé de protection des informations à caractère personnel et renforcer la coopération dans le domaine répressif, l’accord-cadre établit un cadre pour la protection des informations à caractère personnel lors de leur transfert entre les États-Unis, d’une part, et l’UE ou ses États membres, d’autre part, à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d’enquêtes et de poursuites en la matière. La référence aux notions de «prévention, détection, enquêtes et poursuites en matière d’infractions pénales» (ci-après désignées collectivement par les expressions «application du droit (pénal)» ou «domaine répressif/matière répressive») garantit que le présent accord sera compatible avec l’architecture de l’acquis de l’UE actuel et futur en matière de protection des données [notamment la distinction, quant à leur couverture respective, entre le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données («règlement général sur la protection des données» 5 ) et la directive «police»].

En indiquant que l’accord-cadre ne saurait, en soi, constituer la base juridique d’éventuels transferts d’informations à caractère personnel et qu’une base juridique (distincte) est toujours requise, l’article 1 précise également que l’accord-cadre est un accord portant véritablement sur les droits fondamentaux et établissant un ensemble de protections et de garanties applicables à ces transferts.

ii) Définitions (article 2)

Les termes clés de l’accord-cadre sont définis à l’article 2. Les définitions des notions «informations à caractère personnel», «traitement des informations à caractère personnel», «Parties», «État membre» et «autorité compétente» correspondent, sur le fond, à celles données à ces concepts dans d’autres accords UE-États-Unis et/ou dans l’acquis de l’UE en matière de protection des données.

iii) Champ d’application de l’accord (article 3)

L’article 3 de l’accord-cadre en définit le champ d’application. Il garantira que les protections et garanties prévues par l’accord-cadre s’appliquent à tous les échanges de données ayant lieu dans le cadre de la coopération transatlantique des services répressifs en matière pénale. Il s’agit des transferts s’effectuant sur la base de lois nationales, d’accords UE-États-Unis (tels que le traité d’entraide judiciaire entre l’UE et les États-Unis), d’accords entre les États membres et les États-Unis (tels que les traités d’entraide judiciaire, les accords sur le renforcement de la coopération en matière de prévention et de répression des formes graves de criminalité, les accords ou arrangements sur les données de détection du terrorisme), ainsi que sur la base d’accords spécifiques prévoyant le transfert de données à caractère personnel par des entités privées à des fins répressives [par exemple au titre de l’accord UE-États-Unis sur les dossiers passagers 6 («PNR») et de l’accord sur le programme de surveillance du financement du terrorisme 7 (accord «TFTP»)]. Le champ d’application est défini sur la base du transfert de données, c’est-à-dire qu’il couvre en principe tous les transferts de données à des fins d’application du droit pénal entre l’UE et les États-Unis, indépendamment de la nationalité ou du lieu de résidence de la personne concernée.

L’accord-cadre ne couvrira pas les transferts de données à caractère personnel (ou d’autres formes de coopération) entre les autorités des États-Unis et les autorités des États membres chargées d’assurer la sécurité nationale.

iv) Non-discrimination (article 4)

L’article 4 prévoit que chaque Partie met en œuvre l’accord-cadre sans discrimination arbitraire ou injustifiée entre ses propres ressortissants et ceux de l’autre Partie.

Cet article complète et renforce d’autres dispositions de l’accord (notamment les articles offrant des garanties aux personnes en matière d’accès, de rectification et de recours administratif – voir ci-dessous). Il garantit en effet que les citoyens européens bénéficieront en principe d’une égalité de traitement avec les citoyens des États-Unis dans le cadre de l’application pratique de ces dispositions par les autorités des États-Unis.

v) Effet de l’accord (article 5)

En ce qui concerne les accords déjà conclus entre l’Union/les États membres et les États-Unis, l’accord-cadre les complétera en tant que de besoin, c’est-à-dire si, et dans la mesure où, ils n’offrent pas les garanties indispensables en matière de protection des données 8 .

La mise en œuvre effective de l’accord-cadre (et notamment de ses articles relatifs aux droits individuels) entraîne une présomption de compatibilité avec les règles applicables en matière de transfert international de données. Cette présomption n’est ni automatique ni générale et, comme toutes les présomptions, elle peut être renversée. Il ne s’agit pas d’une présomption automatique parce que son application dépend expressément de la mise en œuvre effective de l’accord-cadre par les États-Unis et, plus particulièrement – ainsi que l’explicite l’article 5, paragraphe 2 – de la mise en œuvre effective des articles portant sur les droits des personnes (notamment en matière d’accès, de rectification, de recours administratif et juridictionnel). Il ne s’agit pas non plus d’une présomption générale: étant donné que l’accord-cadre ne constitue pas un instrument «autonome» pour la réalisation de transferts, une telle présomption s’applique nécessairement au cas par cas, c’est-à-dire en évaluant si la combinaison de l’accord-cadre et de la base juridique spécifique du transfert offre un niveau de protection conforme aux règles de protection des données de l’UE. Autrement dit, contrairement à une décision constatant le caractère adéquat du niveau de protection, cette clause ne prévoit pas la reconnaissance «en bloc» du niveau de protection offert aux États-Unis en tant que tel, ni une autorisation générale des transferts.

ii) Principes et garanties en matière de protection des données

Les articles décrits ci-après couvrent d’importants principes régissant le traitement des données à caractère personnel, ainsi que des garanties et restrictions essentielles.

i) Limitation des finalités et de l’utilisation (article 6)

Dans le respect de la Charte des droits fondamentaux de l’UE et de l’acquis de l’UE, l’article 6 applique le principe de la limitation des finalités à tous les transferts de données à caractère personnel couverts par l’accord-cadre, tant dans le cas de transferts liés à des affaires spécifiques que lors de la conclusion, entre les États-Unis et l’UE ou ses États membres, d’un accord autorisant des transferts en masse de données à caractère personnel. Le traitement (qui inclut le transfert) peut uniquement avoir lieu pour des finalités explicites et légitimes relevant du champ d’application de l’accord-cadre, à savoir à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d’enquêtes et de poursuites en la matière.

En outre, le traitement ultérieur d’informations à caractère personnel par d’autres autorités (services répressifs, autorités réglementaires ou administratives) que la première autorité destinataire d’une Partie est autorisé à condition qu’il ne soit pas incompatible avec les finalités pour lesquelles les données ont été initialement transférées, et que lesdites autres autorités respectent toutes les autres dispositions de l’accord-cadre.

L’autorité compétente émettrice peut aussi imposer des conditions supplémentaires (par exemple sur l’utilisation des données) dans des affaires spécifiques.

Enfin, le traitement d’informations à caractère personnel ne peut intervenir que s’il est directement pertinent et n’est pas excessif ou trop général au regard de ses finalités.

L’article 6 est une disposition clé de l’accord: il assure l’application des garanties au «cycle de vie» complet d’un ensemble de données considéré, depuis son transfert initial au départ de l’UE jusqu’à son traitement par une autorité compétente des États-Unis et vice-versa, y compris son éventuel transfert ultérieur à une autre autorité des États-Unis ou son traitement par une telle autorité, ou, dans le cas d’un transfert de données au départ des États-Unis vers une autorité compétente de l’Union ou de (l’un de) ses États membres, son transfert ultérieur éventuel à une autre autorité de l’UE ou d’un État membre ou son traitement par une telle autorité.

ii) Transfert ultérieur (article 7)

Les restrictions relatives au transfert ultérieur énoncées à l’article 7 impliquent que si une autorité américaine a l’intention de transférer à son tour des données qu’elle a reçues de l’UE ou de l’un de ses États membres à un pays tiers/une organisation internationale non liés par l’accord, elle doit au préalable obtenir l’autorisation de l’autorité répressive de l’UE ayant transféré initialement les données vers les États-Unis. Cette règle s’applique également dans le cas où une autorité de l’UE ou de l’un de ses États membres a l’intention de transférer des données qu’elle a reçues des États-Unis à un pays tiers/une organisation internationale.

Lorsqu’elle statue sur une demande d’autorisation, l’autorité émettrice initiale devra tenir dûment compte de tous les facteurs pertinents, notamment la finalité pour laquelle les données ont été transférées initialement, et le fait que le pays tiers ou l’organisation internationale destinataire offre un niveau approprié de protection des informations à caractère personnel. Elle peut aussi subordonner le transfert à certaines conditions.

Par ailleurs, à l’instar des articles relatifs à la limitation des finalités (voir article 6 ci-dessus), à la durée de conservation des données (voir article 12 ci-dessous) et aux données sensibles (voir article 13 ci-dessous), l’article 7 prend expressément en compte le caractère particulièrement sensible du transfert en masse des données de personnes non soupçonnées (par exemple les données PNR de tous les passagers prenant un vol, indépendamment de tout soupçon concret à leur égard), en ce qu’il dispose que tout transfert ultérieur d’informations à caractère personnel autres que des informations se rapportant à des affaires précises est subordonné au respect de certaines conditions définies dans l’accord justifiant dûment ledit transfert.

La situation spécifique des transferts ultérieurs vers un autre État membre à l’intérieur de l’UE (par exemple, le partage, par la police française, d’informations reçues du FBI américain avec la police allemande) est également traitée dans cet article (au paragraphe 4). Il est prévu que si, en vertu des règles applicables, de tels transferts sont subordonnés à une autorisation préalable, l’autorité qui a transmis initialement les informations (par ex. le FBI américain) ne pourra refuser son autorisation ou imposer des conditions en invoquant la protection des données (étant donné que toutes les autorités concernées sont liées par l’accord-cadre).

iii) Préservation de la qualité et de l’intégrité des informations (article 8)

Les Parties prendront des mesures raisonnables pour que les données à caractère personnel transférées soient conservées avec l’exactitude, la pertinence, l’actualité et l’exhaustivité nécessaires et appropriées à un traitement licite des informations. Lorsque l’autorité destinataire ou émettrice a connaissance de doutes sérieux quant à la pertinence, l’actualité, l’exhaustivité ou l’exactitude de données à caractère personnel reçues ou transférées, elle doit en aviser dans la mesure du possible l’autorité émettrice/destinataire.

iv) Sécurité des informations (article 9) et notification d’un incident relatif à la sécurité des informations (article 10)

Ces articles contribuent à assurer un niveau élevé de sécurité des données à caractère personnel échangées par les Parties à l’accord-cadre.

Premièrement, en vertu de l’article 9, les Parties mettront en place des dispositifs techniques, organisationnels et de sécurité appropriés pour protéger les informations à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle et la divulgation, la modification, l’accès ou tout autre traitement non autorisé. Ces dispositifs prévoiront aussi que seul le personnel habilité se verra accorder l’accès aux données à caractère personnel.

Deuxièmement, en vertu de l’article 10, en cas d’incident de sécurité présentant un risque important de préjudice, des mesures appropriées doivent être prises rapidement pour atténuer le préjudice, notamment la notification de l’incident à l’autorité émettrice et, le cas échéant en fonction des circonstances de l’incident, à la personne concernée. Les exceptions à l’obligation de notification sont énumérées de manière exhaustive dans la disposition en question et correspondent à des limitations raisonnables (par exemple la sécurité nationale).

v) Tenue de dossiers (article 11)

Les Parties mettent en place des méthodes efficaces (tels que des journaux) pour démontrer la licéité du traitement et de l’utilisation des informations à caractère personnel.

Cette exigence constitue une garantie appréciable pour les personnes car elle impose aux autorités répressives la charge de démontrer qu’une opération de traitement de données a été effectuée en conformité avec la loi. L’obligation de documenter les opérations de traitement de données implique, en particulier, qu’un traitement illicite laissera une «trace», ce qui devrait faciliter le traitement des plaintes et l’introduction de réclamations concernant la licéité des traitements.

vi) Durée de conservation (article 12)

Le traitement de données sera subordonné à la fixation de durées de conservation précises, pour garantir que les données ne seront pas conservées plus longtemps que ce qui est nécessaire et approprié. Différents éléments devront être pris en considération pour fixer ces durées de conservation, notamment la finalité du traitement ou de l’utilisation, la nature des données et l’incidence sur les droits et intérêts des personnes touchées.

Il est également indiqué que, lorsque les Parties concluent un accord sur le transfert de «données en masse», ledit accord doit contenir une disposition spécifique sur la durée de conservation applicable. Grâce à cette disposition, les Parties acceptent le principe selon lequel de tels accords de transfert en masse doivent être assortis d’une durée de conservation spécifique, principe qui ne devra donc pas être négocié à nouveau.

Les durées de conservation seront réexaminées périodiquement, afin de déterminer si des circonstances nouvelles imposent une modification de la durée de conservation applicable.

Dans un souci de transparence, les durées de conservation devront être publiées ou portées à la connaissance du grand public par d’autres moyens.

vii) Catégories particulières de données (article 13)

Le traitement de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou autres, l’appartenance à un syndicat, ou le traitement d’informations à caractère personnel relatives à la santé ou à la vie sexuelle, ne peut avoir lieu que lorsque des garanties appropriées sont établies conformément à la législation (par exemple en masquant les informations une fois atteinte la finalité pour laquelle le traitement a eu lieu ou en exigeant que l’accès à ces informations soit subordonné à l’autorisation d’une autorité de contrôle).

Les accords permettant le «transfert en masse» de données à caractère personnel devront préciser les normes et conditions selon lesquelles des catégories particulières de données pourront être traitées.

Les dispositions relatives aux catégories particulières de données sont compatibles avec l’exigence selon laquelle le traitement doit être directement pertinent et non excessif, en vertu de l’article 6 sur la limitation des finalités et de l’utilisation.

viii) Prise de décision automatisée (article 15)

Un traitement de données susceptible d’aboutir à des décisions ayant des effets négatifs pour une personne (par exemple dans le cadre du profilage) ne peut pas être fondé exclusivement sur le traitement automatisé d’informations à caractère personnel, sauf si le droit interne l’autorise, et à condition qu’il existe des garanties appropriées, notamment la possibilité d’obtenir une intervention humaine.

ix) Transparence (article 20)

Les personnes sont habilitées à recevoir des informations (au moyen de notifications générales ou individuelles, et sous réserve de «restrictions raisonnables») sur la finalité du traitement et l’éventuelle utilisation ultérieure qui peut être faite des données à caractère personnel les concernant, les dispositions législatives ou réglementaires régissant ce traitement, l’identité des tiers auxquels leurs informations à caractère personnel peuvent être divulguées, ainsi que les mécanismes d’accès, de rectification et de recours disponibles.

Le fait de mieux informer les personnes sur les raisons pour lesquelles les données les concernant sont traitées, et sur l’identité des organismes qui effectuent ces traitements, contribue à leur permettre d’exercer leurs droits d’accès, de rectification ou de recours (voir articles 16-19 ci-dessous).

iii) Droits individuels

Ces droits revêtent une importance particulière pour la protection des personnes concernées. Celles-ci seront en mesure, pour la première fois, de se prévaloir de droits de portée générale au regard de tout transfert transatlantique de données à caractère personnel dans le domaine répressif.

i) Accès et rectification (articles 16 et 17)

Le droit d’accès permet à toute personne de demander et d’obtenir l’accès aux données à caractère personnel la concernant. Les motifs d’une restriction d’accès sont énoncés de manière exhaustive et correspondent à des restrictions raisonnables (par exemple garantir la sécurité nationale, éviter de nuire à une enquête ou aux poursuites relatives à des infractions pénales, protéger les droits et libertés d’autres personnes). L’accès à ses propres données ne peut être subordonné à des dépenses excessives.

Le droit de rectification permet à toute personne de demander la correction ou la rectification des données à caractère personnel la concernant si ces dernières sont inexactes ou ont été traitées de manière abusive. La rectification peut notamment consister à compléter, effacer ou verrouiller des données, ou en d’autres mesures ou méthodes destinées à remédier aux inexactitudes ou au traitement abusif.

Lorsque l’autorité compétente du pays destinataire conclut, à la suite d’une demande présentée par une personne, d’une notification émanant du fournisseur des informations à caractère personnel, ou à la suite de sa propre enquête, que les informations sont inexactes ou ont fait l’objet d’un traitement abusif, elle prend des mesures pour les compléter, les effacer, les verrouiller, ou d’autres mesures de correction ou de rectification.

Lorsque le droit national l’autorise, toute personne est en droit de mandater une autorité de contrôle (c’est-à-dire, pour une personne concernée de l’UE, une autorité nationale chargée de la protection des données) pour demander en son nom l’accès ou la rectification. Cette possibilité d’exercer leurs droits de manière indirecte par l’intermédiaire d’une autorité et dans le cadre d’un système juridique qui leur est familier devrait, concrètement, aider les personnes concernées lorsqu’elles cherchent à faire respecter leurs droits.

Si une demande d’accès ou de rectification est refusée ou restreinte, l’autorité saisie doit fournir à la personne (ou à son représentant dûment mandaté) une réponse exposant les raisons de ce refus ou de cette restriction. L’obligation de fournir à l’intéressé une réponse motivée vise à permettre et faciliter l’exercice de son droit de recours administratif et juridictionnel en cas de refus ou de restriction de l’accès/la rectification de la part de l’autorité répressive concernée.

ii) Recours administratif (article 18)

Si une personne n’accepte pas le résultat de sa demande d’accès/de rectification portant sur des données à caractère personnel la concernant, elle a le droit d’introduire un recours administratif. À l’instar de ce qui est prévu en matière d’accès et de rectification, la personne concernée peut, pour faciliter l’exercice effectif de ce droit, mandater une autorité de contrôle (c’est-à-dire une autorité nationale chargée de la protection des données, dans le cas d’une personne concernée de l’UE) ou un autre représentant, lorsque le droit interne applicable le permet.

L’autorité à laquelle il est demandé réparation adressera à la personne concernée une réponse écrite indiquant, le cas échéant, les améliorations ou corrections apportées.

iii) Recours juridictionnel (article 19)

Les citoyens de chaque Partie doivent avoir la possibilité de former un recours juridictionnel contre i) le refus d’accès, ii) le refus de rectification ou iii) la divulgation illicite par les autorités de l’autre Partie.

Du côté américain, ce droit est concrétisé par le «Judicial Redress Act», signé par le président Obama le 24 février 2016. Cet acte étendra aux citoyens des «pays couverts» 9 ces trois motifs de recours juridictionnel prévus par le «Privacy Act» américain de 1974, mais dont ne pouvaient se prévaloir jusqu’ici que les citoyens ou résidents permanents des États-Unis. Le quatrième considérant du préambule de l’accord-cadre précise que cette extension couvrira aussi les données échangées au titre d’accords tels que les accords PNR et TFTP. En combinaison avec l’adoption du «Judicial Redress Act», l’article 19 améliorera donc sensiblement la protection judiciaire dont bénéficient les citoyens de l’UE.

Bien que le «Judicial Redress Act» comporte certaines restrictions (en particulier, il s’appliquera uniquement aux données des citoyens des «pays couverts» dont les données ont été transférées par des autorités répressives de l’UE, c’est-à-dire notamment, mais pas uniquement, les citoyens de l’UE), l’article 19 de l’accord-cadre répond à une exigence de longue date de l’UE.

Cette disposition correspond aux orientations politiques du président Juncker, selon lesquelles «Les États-Unis doivent […] garantir que tous les citoyens de l’UE, qu’ils résident ou non aux États-Unis, ont le droit de faire valoir leurs droits à la protection des données devant les tribunaux américains. Ce point sera essentiel pour rétablir la confiance dans les relations transatlantiques.» Elle fait également suite à la résolution du Parlement européen du 12 mars 2014 sur le programme de surveillance de la NSA américaine, dans laquelle le Parlement a demandé «une reprise immédiate des négociations avec les États-Unis sur l’accord-cadre, en vue de placer les droits des citoyens de l’Union européenne sur un pied d’égalité avec ceux des ressortissants des États-Unis […]» et qu’il soit permis «à tous les citoyens de l’Union d’introduire des recours […] judiciaires efficaces et exécutoires aux États-Unis sans aucune discrimination» 10 .

Le paragraphe 3 de l’article 19 précise que l’extension des trois motifs de recours juridictionnel susmentionnés est sans préjudice des autres voies de recours juridictionnel disponibles à d’autres titres en ce qui concerne le traitement des données (par exemple au titre de l’Administrative Procedure Act, de l’Electronics Communication Privacy Act ou du Freedom of Information Act). Ces autres bases juridiques d’un recours juridictionnel sont ouvertes à toutes les personnes concernées de l’UE dont les données sont transférées à des fins répressives, indépendamment de leur nationalité ou de leur lieu de résidence.

iv) Aspects liés à l’application de l’accord-cadre et contrôle

i) Obligation de rendre compte (article 14)

Des mesures doivent être mises en place afin de promouvoir l’obligation de rendre compte des autorités qui traitent des données à caractère personnel couvertes par l’accord-cadre. En particulier, lorsque l’autorité destinataire transfère des données à caractère personnel à d’autres autorités, ces dernières devraient être averties des garanties qui s’appliquent au titre de l’accord-cadre, ainsi que des éventuelles conditions (restrictives) supplémentaires dont le transfert est assorti en application de l’article 6, paragraphe 3 (sur la limitation des finalités et de l’utilisation). Les fautes graves doivent être l’objet de sanctions pénales, civiles ou administratives appropriées et dissuasives.

Les mesures visant à promouvoir l’obligation de rendre compte comprennent également, le cas échéant, l’arrêt des transferts ultérieurs de données à caractère personnel à des entités des Parties non couvertes par l’accord-cadre si elles n’assurent pas une protection efficace des informations à caractère personnel, compte tenu de l’objet de l’accord (et notamment des dispositions relatives à la limitation des finalités et aux transferts ultérieurs). Cette disposition concerne la situation où des données à caractère personnel sont transmises par une autorité de l’UE à une autorité fédérale des États-Unis (autrement dit, une autorité couverte par l’accord-cadre) puis transférées à une autorité répressive au niveau d’un État fédéré. Les règles constitutionnelles des États-Unis limitent la capacité de l’État fédéral à engager les États fédérés au niveau international 11 . Cependant, pour assurer la continuité de la protection des données transférées à des agences fédérales des États-Unis puis partagées avec des agences répressives au niveau des États fédérés, l’article 14: i) inclut, dans son champ d’application, les «autres autorités» des Parties (c’est-à-dire les autorités non couvertes par l’accord, telles que celles des États fédérés des États-Unis); ii) précise que les garanties prévues au titre de l’accord-cadre doivent leur être notifiées; et iii) prévoit que, le cas échéant, les transferts à ces autorités doivent être interrompus si celles-ci ne protègent pas efficacement les données à caractère personnel, compte tenu de l’objet de l’accord-cadre et notamment de ses articles relatifs à la limitation des finalités et aux transferts ultérieurs.

En visant à faire en sorte que les autorités répressives compétentes soient tenues pour responsables du respect de l’accord-cadre, cet article est un élément important pour l’efficacité du système d’application et de contrôle mis en place au titre de l’accord. Il facilitera également l’introduction de réclamations en cas de faute (et, partant, de responsabilité d’autorités publiques).

Enfin, les autorités de l’UE seront à même de soulever des préoccupations auprès de leurs homologues américaines, et d’en recevoir des informations pertinentes, sur la manière dont elles s’acquittent de leurs obligations au titre de l’article 14 (y compris sur les mesures prises à cet égard). Par ailleurs, dans le cadre des réexamens conjoints (voir article 23 ci-dessous), une attention particulière sera accordée à la mise en œuvre effective de cet article.

ii) Contrôle effectif (article 21)

Les Parties mettent en place une ou plusieurs autorités publiques qui exercent en toute indépendance des fonctions et des pouvoirs de contrôle, y compris de réexamen, d’enquête et d’intervention. Ces autorités sont compétentes pour connaître des plaintes des particuliers à l’égard des mesures d’application de l’accord-cadre et y faire droit, ainsi que pour signaler les infractions à la législation liée au présent accord aux fins d’une action pénale ou disciplinaire. Compte tenu des particularités du système américain, un ensemble d’autorités de contrôle [directeurs généraux chargés de la protection de la vie privée (Chief Privacy Officers), inspecteurs généraux (Inspector Generals), commission de surveillance du respect de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board), etc.] exerceront de manière cumulative les fonctions de contrôle assumées dans l’UE par les autorités chargées de la protection des données.

Cet article complète les garanties qu’offrent les dispositions en matière d’accès, de rectification et de recours administratif. Il permet notamment aux personnes de déposer plainte auprès d’autorités indépendantes sur la manière dont l’autre Partie a mis en œuvre l’accord-cadre.

iii) Coopération entre les autorités de contrôle (article 22)

Les autorités de contrôle coopéreront en vue d’assurer la mise en œuvre effective de l’accord, notamment en ce qui concerne le système d’exercice indirect des droits individuels en matière d’accès, de rectification et de recours administratif (voir articles 16 à 18 ci-dessus).

En outre, des points de contact nationaux sont établis pour aider à déterminer l’autorité de contrôle à laquelle s’adresser dans une affaire donnée. Compte tenu notamment de l’existence de différentes autorités de contrôle aux États-Unis, la création d’un «point d’entrée» central pour les demandes d’assistance et de coopération vise à faciliter un traitement efficace de ces demandes.

iv) Réexamen conjoint (article 23)

Les Parties procéderont à des réexamens périodiques conjoints de la mise en œuvre et de l’efficacité de l’accord-cadre, en accordant une importance particulière à la mise en œuvre effective des articles relatifs aux droits individuels (accès, rectification, recours administratif et juridictionnel) ainsi qu’à la question des transferts aux entités territoriales non couvertes par l’accord (c.-à-d. les États fédérés des États-Unis). Le premier réexamen conjoint sera réalisé au plus tard trois ans après l’entrée en vigueur de l’accord et, ensuite, à intervalles réguliers.

Les délégations des Parties comprendront des représentants des autorités chargées de la protection des données et des autorités répressives/judiciaires; les conclusions des réexamens conjoints seront rendues publiques.

v) Dispositions finales

L’accord-cadre contient une série de clauses finales concernant:

la notification à l’autre Partie de tout instrument législatif ou réglementaire affectant substantiellement la mise en œuvre de l’accord. Les États-Unis informeront notamment l’UE de toute mesure relative à l’application des dispositions du Judicial Redress Act (article 24);

les consultations à mener si un litige survient à propos de l’interprétation ou de l’application de l’accord (article 25);

la possibilité, pour une Partie, de suspendre l’accord en cas de violation substantielle de l’accord par l’autre Partie (article 26);

l’application territoriale de l’accord, afin de tenir compte de la situation particulière du Royaume-Uni, de l’Irlande et du Danemark (article 27);

la durée illimitée de l’accord (justifiée d’une part par la nature de l’accord, qui est un cadre offrant protection et garanties, et d’autre part par la possibilité de suspendre et de dénoncer l’accord (article 28);

la possibilité pour chacune des Parties de dénoncer l’accord par notification à l’autre Partie, bien qu’il soit précisé que les informations à caractère personnel transférées avant la dénonciation continueront d’être traitées conformément aux règles de l’accord-cadre (article 29, paragraphes 2 et 3);

l’entrée en vigueur de l’accord, le premier jour du mois suivant la date à laquelle les Parties ont échangé les notifications indiquant qu’elles ont parachevé leurs procédures d’approbation internes (article 29, paragraphe 1);

la clause linguistique (qui précède immédiatement la ligne de signature), prévoyant: i) la signature de l’accord en anglais et l’établissement par l’UE de ses versions dans les 23 autres langues officielles de l’Union; ii) la possibilité, après la signature, d’authentifier la version de l’accord dans chacune de ces autres langues officielles de l’UE par échange de notes diplomatiques avec les États-Unis; iii) en cas de divergence entre différentes versions linguistiques faisant foi de l’accord, la primauté de la version anglaise.

2016/0126 (NLE)

Proposition de

DÉCISION DU CONSEIL

LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16 en liaison avec l’article 218, paragraphe 6, point a),

vu la proposition de la Commission européenne,

vu l’approbation du Parlement européen 12 ,

après consultation du Contrôleur européen de la protection des données,

considérant ce qui suit:

(1)Conformément à la décision [...] du Conseil du [...] 13 , l’accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière (ci-après l’«accord») a été signé le XX XXXX 2016, sous réserve de sa conclusion à une date ultérieure.

(2)L’accord vise à établir un cadre complet de principes et de garanties en matière de protection des données lors du transfert d’informations à caractère personnel à des fins d’application du droit pénal entre les États-Unis, d’une part, et l’Union européenne ou ses États membres, d’autre part. Son objectif est de garantir un niveau élevé de protection des données et, partant, d’améliorer la coopération entre les Parties. Bien qu’il ne constitue pas en soi la base juridique de transferts d’informations à caractère personnel vers les États-Unis, l’accord-cadre complète, en tant que de besoin, les garanties en matière de protection des données figurant dans les accords existants et futurs relatifs au transfert de données ou les dispositions nationales autorisant ce type de transfert.

(3)Les compétences de l’Union couvrent toutes les dispositions de l’accord. L’Union a notamment adopté la directive 2016/XXX/UE 14 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

(4)L’Union européenne dispose d’une compétence exclusive dans la mesure où l’accord est susceptible d’affecter des règles communes de l’Union ou d’en altérer la portée.

(5)Conformément à l’article 6 bis du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au TUE et au TFUE, le Royaume-Uni et l’Irlande ne sont pas liés par les règles fixées dans l’accord portant sur le traitement de données à caractère personnel dans l’exercice d’activités qui relèvent du champ d’application du chapitre 4 (Coopération judiciaire en matière pénale) ou du chapitre 5 (Coopération policière) du titre V de la troisième partie du TFUE, lorsque le Royaume-Uni et l’Irlande ne sont pas liés par les règles qui imposent le respect de l’accord.

(6)Conformément aux articles 1er et 2 du protocole n° 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption de la présente décision et n’est donc pas lié par l’accord ni soumis à son application.

(7)Il convient de signer l’accord, sous réserve de sa conclusion à une date ultérieure,

(8)Il y a lieu d’approuver l’accord au nom de l’Union,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

L’accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière est approuvé au nom de l’Union européenne.

Le texte de l’accord est joint à la présente décision.

Article 2

Le président du Conseil désigne la personne habilitée à procéder, au nom de l’Union, à la notification prévue à l’article 29, paragraphe 1, de l’accord, à l’effet d’exprimer le consentement de l’Union européenne à être liée par l’accord.

Article 3

La présente décision entre en vigueur le jour de sa publication au Journal officiel de l’Union européenne 15 .

Fait à Bruxelles, le

Par le Conseil

Le président

(1) Reports by the High Level Contact Group (HLCG) on information sharing and privacy and personal data protection [Rapports du groupe de contact à haut niveau (HLCG) sur le partage d’informations et la protection de la vie privée et la protection des données à caractère personnel], Bruxelles, 23 novembre 2009, 15851/09, JAI 822 DATAPROTECT 74 USA 102.

(2) Parallèlement à l’adoption de la réforme de la réglementation européenne en matière de protection des données et du nouveau «bouclier de protection des données UE-États-Unis» concernant les transferts de données dans le domaine commercial, la conclusion d’un accord-cadre pertinent et exhaustif constitue un élément capital de la stratégie exposée dans la communication de la Commission intitulée «Rétablir la confiance dans les flux de données entre l’Union européenne et les États-Unis», COM(2013) 846 final du 27 novembre 2013, disponible à l’adresse http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52013DC0846&qid=1460547233920&from=FR . Cela a d’ailleurs été réaffirmé dans les orientations politiques du président Juncker et dans la communication de la Commission au Parlement européen et au Conseil intitulée «Flux de données transatlantiques: rétablir la confiance grâce à des garanties solides», COM(2016) 117 final du 29 février 2016, disponible à l’adresse http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52016DC0117&rid=1

(3) La notion d’«informations à caractère personnel» utilisée dans l’accord-cadre est synonyme de celle de «données à caractère personnel» figurant dans le droit de l’UE.

(4) Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, COM(2012) 10 final – 2012/0010 (COD), disponible à l’adresse http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52012PC0010&from=fr

(5) Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012) 11 final — 2012/0011 (COD), disponible à l’adresse: http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52012PC0011&qid=1460734213424&from=FR

(6) Accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation des données des dossiers passagers (données PNR) et leur transfert au ministère américain de la sécurité intérieure, JO L 215 du 11.8.2012, p. 5.

(7) Accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme, JO L 195 du 27.7.2010, p. 5.

(8) Le quatrième considérant du préambule précise que l’accord-cadre ne modifie pas et ne subordonne pas à certaines conditions les accords établissant qu’ils offrent un niveau suffisant de protection des données, et qu’il ne déroge pas à de tels accords. Fait exception la disposition relative au recours juridictionnel figurant à l’article 19, qui s’applique aussi à ces accords. Cela concerne les accords PNR et TFTP.

(9) Un «pays couvert», dans le cadre du «Judicial Redress Act» américain, est un pays: i) qui a conclu avec les États-Unis un accord prévoyant des mesures de protection appropriées de la vie privée en ce qui concerne les informations échangées à des fins répressives (ou qui a effectivement échangé des informations à des fins répressives et s’est doté de mesures de protection appropriées de la vie privée en ce qui concerne de tels échanges d’informations); ii) qui autorise le transfert de données à caractère personnel à des fins commerciales, par un accord avec les États-Unis ou un autre mécanisme; iii) dont les politiques concernant le transfert de données à caractère personnel à des fins commerciales ne nuisent pas gravement aux intérêts de la sécurité nationale des États-Unis. C’est le ministre de la justice des États-Unis (Attorney General) qui déclare un pays «pays couvert».

(10) Voir le point 57 et le considérant BJ de la résolution du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d’affaires intérieures [2013/2188(INI)], disponible à l’adresse suivante: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0230+0+DOC+XML+V0//FR

(11) Les États-Unis étant une république fédérale, il existe un partage des compétences entre le gouvernement fédéral et les gouvernements des États fédérés (voir aussi, à cet égard, l’article 5, paragraphe 2, de l’accord-cadre).

(12) Approbation du [date], JO C […] du […], p. [...].

(13) JO ...

(14) Directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

(15) La date d’entrée en vigueur de l’accord sera publiée au Journal officiel de l’Union européenne par le secrétariat général du Conseil.

Top

COMMISSION EUROPÉENNE

Bruxelles, le 29.4.2016

COM(2016) 237 final

ANNEXE

ACCORD ENTRE LES ÉTATS-UNIS D’AMÉRIQUE ET L’UNION EUROPÉENNE SUR LA PROTECTION DES INFORMATIONS À CARACTÈRE PERSONNEL TRAITÉES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE

accompagnant

la proposition de décision du Conseil

ACCORD ENTRE LES ÉTATS-UNIS D’AMÉRIQUE ET

L’UNION EUROPÉENNE SUR LA PROTECTION DES INFORMATIONS À CARACTÈRE PERSONNEL TRAITÉES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE

TABLE DES MATIÈRES

Préambule

Article 1: Objet de l’accord

Article 2: Définitions

Article 3: Champ d’application

Article 4: Non-discrimination

Article 5: Effet de l’accord

Article 6: Limitation des finalités et de l’utilisation

Article 7: Transfert ultérieur

Article 8: Préservation de la qualité et de l’intégrité des informations

Article 9: Sécurité des informations:

Article 10: Notification d’un incident relatif à la sécurité des informations

Article 11: Tenue de dossiers

Article 12: Durée de conservation

Article 13: Catégories particulières d’informations à caractère personnel

Article 14: Obligation de rendre compte

Article 15: Décisions automatisées

Article 16: Accès

Article 17: Rectification

Article 18: Recours administratif

Article 19: Recours juridictionnel

Article 20: Transparence

Article 21: Contrôle effectif

Article 22: Coopération entre les autorités de contrôle

Article 23: Réexamen conjoint

Article 24: Notification

Article 25: Consultation

Article 26: Suspension

Article 27: Application territoriale

Article 28: Durée

Article 29: Entrée en vigueur et dénonciation

Conscients que les États-Unis et l’Union européenne sont déterminés à garantir un niveau élevé de protection des informations à caractère personnel échangées à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d’enquêtes et de poursuites en la matière;

entendant établir un cadre juridique durable pour faciliter l’échange d’informations, ce qui est essentiel pour prévenir et détecter les infractions pénales, dont le terrorisme, enquêter et engager des poursuites en la matière, afin de protéger leurs sociétés démocratiques respectives et les valeurs qui leur sont communes;

entendant, en particulier, établir des normes de protection pour les échanges d’informations à caractère personnel sur la base des accords tant existants que futurs, entre les États-Unis et l’Union européenne et ses États membres, dans le domaine de la prévention et de la détection des infractions pénales, dont le terrorisme, des enquêtes et des poursuites en la matière;

reconnaissant que certains accords existants entre les Parties en ce qui concerne le traitement des informations à caractère personnel établissent que ces accords offrent un niveau suffisant de protection des données dans leur champ d’application, les Parties affirment que le présent accord ne doit pas être interprété comme modifiant ces accords, les subordonnant à certaines conditions ou y dérogeant; notant toutefois que les obligations établies à l’article 19 du présent accord sur le recours juridictionnel s’appliqueraient à l’égard de tous les transferts relevant du champ d’application du présent accord, et ce sans préjudice de toute future révision ou modification desdits accords existants en vertu de leurs dispositions;

reconnaissant les longues traditions de respect de la vie privée des personnes qui caractérisent les deux Parties, notamment telles qu’elles ressortent des principes de respect de la vie privée et de protection des données à caractère personnel traitées à des fins répressives qui ont été définis par le groupe de contact à haut niveau UE/États-Unis sur l’échange d’informations, le respect de la vie privée et la protection des données à caractère personnel, de la Charte des droits fondamentaux de l’Union européenne et de la législation applicable de l’Union européenne, de la constitution des États-Unis et de la législation applicable des États-Unis, et des principes de déontologie de l’information de l’Organisation de coopération et de développement économiques; et

reconnaissant les principes de proportionnalité et de nécessité, et de pertinence et du caractère raisonnable, tels qu’ils sont mis en œuvre par les Parties dans leurs cadres juridiques respectifs;

les États-Unis d’Amérique et l’Union européenne SONT CONVENUS DE CE QUI SUIT:

Article 1: Objet de l’accord

1. Le présent accord a pour objet de garantir un niveau élevé de protection des informations à caractère personnel et de renforcer la coopération entre les États-Unis et l’Union européenne et ses États membres en ce qui concerne la prévention et la détection des infractions pénales, dont le terrorisme, les enquêtes et les poursuites en la matière.

2. À cette fin, le présent accord établit le cadre de la protection des informations à caractère personnel lors de leur transfert entre les États-Unis, d’une part, et l’Union européenne ou ses États membres, d’autre part.

3. Le présent accord ne saurait, en soi, constituer la base juridique d’éventuels transferts d’informations à caractère personnel. Une base juridique est toujours requise pour de tels transferts.

Article 2: Définitions

Aux fins du présent accord, on entend par:

1.«informations à caractère personnel», toute information concernant une personne physique identifiée ou identifiable. Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

2.«traitement d’informations à caractère personnel», toute opération ou ensemble d’opérations impliquant la collecte, la conservation, l’utilisation, la modification, l’organisation ou la structuration, la divulgation ou la diffusion, ou la mise à disposition;

3.«Parties», l’Union européenne et les États-Unis d’Amérique;

4.«État membre», un État membre de l’Union européenne;

5.«autorité compétente», pour les États-Unis, une autorité répressive nationale chargée de la prévention et de la détection des infractions pénales, dont le terrorisme, des enquêtes et des poursuites en la matière et, pour l’Union européenne, une autorité de l’Union européenne, et une autorité d’un État membre, chargées de la prévention et de la détection des infractions pénales, dont le terrorisme, des enquêtes et des poursuites en la matière.

Article 3: Champ d’application

1. Le présent accord s’applique aux informations à caractère personnel transférées entre les autorités compétentes d’une Partie et les autorités compétentes de l’autre Partie, ou transférées autrement conformément à un accord conclu entre les États-Unis et l’Union européenne ou ses États membres à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d’enquêtes et de poursuites en la matière.

2. Le présent accord ne porte ni atteinte ni préjudice aux transferts ou aux autres formes de coopération entre les autorités des États membres et celles des États-Unis, autres que celles visées à l’article 2, paragraphe 5, chargées d’assurer la sécurité nationale.

Article 4: Non-discrimination

Chaque Partie se conforme aux obligations qui lui incombent au titre du présent accord aux fins de protéger les informations à caractère personnel de ses propres ressortissants et des ressortissants de l’autre Partie, indépendamment de leur nationalité, et sans discrimination arbitraire et injustifiée.

Article 5: Effet de l’accord

1. Le présent accord complète, le cas échéant, mais ne remplace pas, les dispositions relatives à la protection des informations à caractère personnel dans les accords internationaux entre les Parties, ou entre les États-Unis et les États membres, qui portent sur des questions relevant de son champ d’application.

2. Les Parties prennent toutes les mesures nécessaires pour mettre en œuvre le présent accord, et notamment leurs obligations respectives qui en découlent en matière d’accès, de rectification et de recours administratif et juridictionnel pour les personnes physiques. Les personnes physiques et les personnes morales bénéficient des mesures de protection et des voies de droit prévues dans le présent accord selon les modalités de mise en œuvre adoptées dans la législation nationale applicable de chaque Partie. En ce qui concerne les États-Unis, leurs obligations s’appliquent dans le respect des principes fondamentaux du fédéralisme américain.

3. En application du paragraphe 2, le traitement des informations à caractère personnel par les États-Unis, ou par l’Union européenne et ses États membres, dans les matières relevant du champ d’application du présent accord, est réputé conforme à leur législation respective sur la protection des données limitant les transferts internationaux d’informations à caractère personnel ou les subordonnant à certaines conditions, et aucune autre autorisation n’est exigée en vertu de cette législation.

Article 6: Limitation des finalités et de l’utilisation

1. Le transfert d’informations à caractère personnel est effectué à des fins précises autorisées par la base juridique du transfert visée à l’article 1.

2. Le traitement ultérieur d’informations à caractère personnel par une Partie ne peut être incompatible avec les finalités pour lesquelles ces informations ont été transférées. Par «traitement compatible», on entend un traitement conforme aux accords internationaux et aux cadres internationaux écrits en vigueur dans le domaine de la prévention et de la détection de la grande criminalité, des enquêtes et des poursuites en la matière. Tout traitement d’informations à caractère personnel de ce type par d’autres autorités répressives, réglementaires ou administratives nationales respecte les autres dispositions du présent accord.

3. Le présent article ne porte pas atteinte à la possibilité, pour l’autorité compétente qui transfère les informations (autorité compétente émettrice), d’imposer des conditions supplémentaires dans une affaire précise, dans la mesure où le cadre juridique applicable au transfert l’y autorise. Ces conditions ne peuvent consister en des conditions générales de protection des données, à savoir en des conditions imposées qui seraient sans rapport avec les faits de l’espèce. Si le transfert des informations est subordonné à certaines conditions, l’autorité compétente qui reçoit les informations (autorité compétente destinataire) se conforme auxdites conditions. L’autorité compétente qui fournit les informations peut également demander au destinataire de l’informer sur l’utilisation qui a été faite des informations transférées.

4. Lorsque les États-Unis, d’une part, et l’Union européenne ou un État membre, d’autre part, concluent un accord concernant le transfert d’informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, les finalités spécifiées pour lesquelles les informations sont transférées et traitées sont précisées dans ledit accord.

5. Les parties s’assurent, en application de leur législation respective, que les informations à caractère personnel sont traitées d’une manière directement pertinente et non excessive ou trop générale au regard des finalités du traitement.

Article 7: Transfert ultérieur

1. Lorsqu’une autorité compétente d’une Partie a transféré à une autorité compétente de l’autre Partie des informations à caractère personnel relatives à une affaire précise, ces informations ne peuvent être transférées à un État ou à un organisme international non lié par le présent accord que sous réserve de l’accord préalable de l’autorité compétente ayant initialement envoyé lesdites informations.

2. Lorsqu’elle consent à un transfert au sens du paragraphe 1, l’autorité compétente ayant initialement transféré les informations tient dûment compte de tous les éléments pertinents, notamment la gravité de l’infraction, la finalité pour laquelle les données ont été initialement transférées et le fait que l’État ou l’organisme international en question garantit un niveau approprié de protection des informations à caractère personnel. Elle peut aussi subordonner le transfert au respect de certaines conditions.

3. Lorsque les États-Unis, d’une part, et l’Union européenne ou un État membre, d’autre part, concluent un accord concernant le transfert d’informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, le transfert ultérieur d’informations à caractère personnel est subordonné au respect de certaines conditions énoncées dans l’accord justifiant dûment ledit transfert. L’accord prévoit également des mécanismes d’information appropriés entre les autorités compétentes.

4. Aucune disposition du présent article ne peut être interprétée comme portant atteinte à une quelconque exigence, obligation ou pratique en vertu de laquelle l’accord préalable de l’autorité compétente ayant initialement transféré les informations doit être obtenu avant leur transfert ultérieur à un État ou à un organisme lié par le présent accord, pour autant que le niveau de protection des données dans ledit État ou organisme ne puisse justifier une opposition à de tels transferts ou leur subordination au respect de certaines conditions.

Article 8: Préservation de la qualité et de l’intégrité des informations

Les Parties prennent des mesures raisonnables pour garantir que les informations à caractère personnel sont conservées avec l’exactitude, la pertinence, l’actualité et l’exhaustivité nécessaires et appropriées à un traitement licite des informations. À cette fin, les autorités compétentes mettent en place des procédures visant à garantir la qualité et l’intégrité des informations à caractère personnel, notamment les suivantes:

a) les mesures visées à l’article 17;

b) lorsque l’autorité compétente émettrice a connaissance de doutes sérieux quant à la pertinence, l’actualité, l’exhaustivité ou l’exactitude de ces informations à caractère personnel ou d’une évaluation qu’elle a transférée, elle en informe, dans la mesure du possible, l’autorité compétente destinataire;

c) lorsque l’autorité compétente destinataire a connaissance de doutes sérieux quant à la pertinence, l’actualité, l’exhaustivité ou l’exactitude d’informations à caractère personnel reçues d’une autorité publique, ou d’une évaluation, faite par l’autorité compétente émettrice, de l’exactitude d’informations ou de la fiabilité d’une source, elle en informe, dans la mesure du possible, ladite autorité compétente émettrice.

Article 9: Sécurité des informations

Les Parties veillent à mettre en place des dispositifs techniques, organisationnels et de sécurité afin de protéger les informations à caractère personnel contre tous les risques suivants:

a) la destruction accidentelle ou illicite;

b) la perte accidentelle; et

c) la divulgation, la modification, l’accès ou tout autre traitement non autorisé.

Ces dispositifs incluent des garanties appropriées en ce qui concerne l’autorisation requise pour accéder à des informations à caractère personnel.

Article 10: Notification d’un incident relatif à la sécurité des informations

1. Lors de la découverte d’un incident impliquant la perte ou la destruction accidentelle d’informations à caractère personnel, l’accès non autorisé à de telles informations ou leur divulgation ou leur modification non autorisée, et présentant un risque important de préjudice, l’autorité compétente destinataire évalue rapidement la probabilité et l’ampleur du préjudice qui pourrait être causé aux personnes concernées et à l’intégrité du programme de l’autorité compétente émettrice, et prend rapidement les mesures appropriées pour l’atténuer.

2. Les mesures destinées à atténuer le préjudice incluent la notification de l’incident à l’autorité compétente émettrice. Toutefois, la notification peut:

a) prévoir des restrictions appropriées quant à sa transmission ultérieure;

b) être retardée ou omise lorsqu’elle risque de compromettre la sécurité nationale;

c) être retardée lorsqu’elle risque de compromettre des opérations d’ordre public.

3. Les mesures destinées à atténuer le préjudice incluent également la notification de l’incident à la personne concernée lorsque les circonstances de l’incident le justifient, à moins que cette notification ne risque de compromettre:

a) l’ordre public ou la sécurité nationale;

b) des recherches, des enquêtes ou des procédures officielles;

c) la prévention et la détection d’infractions pénales, des enquêtes ou des poursuites en la matière;

d) les droits et libertés de tiers, notamment la protection des victimes et des témoins.

4. Les autorités compétentes impliquées dans le transfert des informations à caractère personnel peuvent procéder à des consultations au sujet de l’incident et des réponses à y apporter.

Article 11: Tenue de dossiers

1. Les Parties mettent en place des méthodes efficaces pour démontrer la licéité du traitement des données à caractère personnel, qui peuvent inclure l’utilisation de journaux, ainsi que d’autres formes de dossiers.

2. Les autorités compétentes peuvent utiliser ces journaux ou dossiers pour assurer la bonne tenue des bases de données ou des fichiers concernés, garantir l’intégrité et la sécurité des données et, au besoin, suivre des procédures de sauvegarde.

Article 12: Durée de conservation

1. Les Parties prévoient dans leur cadre juridique applicable des durées de conservation spécifiques pour les dossiers contenant des informations à caractère personnel, afin de garantir que ces informations ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié. Ces durées tiennent compte de la finalité du traitement, de la nature des données et de l’autorité qui les traite, de l’incidence sur les droits et intérêts des personnes touchées, ainsi que d’autres considérations juridiques applicables.

2. Lorsque les États-Unis, d’une part, et l’Union européenne ou un État membre, d’autre part, concluent un accord concernant le transfert d’informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, cet accord doit comporter une disposition spécifique et convenue d’un commun accord sur les durées de conservation.

3. Les Parties prévoient des procédures de réexamen périodique de la durée de conservation en vue de déterminer si des circonstances nouvelles imposent de modifier la durée applicable.

4. Les parties publient ces durées de conservation ou les portent à la connaissance du grand public par d’autres moyens.

Article 13: Catégories particulières d’informations à caractère personnel

1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou autres, ou l’appartenance à un syndicat, ou relatives à la santé ou à la vie sexuelle n’a lieu que sous réserve des garanties appropriées conformément à la législation. Ces garanties peuvent consister à: limiter les finalités pour lesquelles ces informations peuvent être traitées, par exemple n’autoriser le traitement qu’au cas par cas; masquer, supprimer ou verrouiller ces informations une fois que la finalité pour laquelle elles ont été traitées est atteinte; restreindre le personnel autorisé à accéder à ces informations; exiger une formation spécialisée du personnel ayant accès à ces informations; subordonner l’accès à ces informations à l’autorisation d’une autorité de contrôle; ou en d’autres mesures de protection. Ces garanties tiennent dûment compte de la nature des informations, de leur caractère particulièrement sensible et de la finalité pour laquelle elles sont traitées.

2. Lorsque les États-Unis, d’une part, et l’Union européenne ou un État membre, d’autre part, concluent un accord concernant le transfert d’informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, cet accord précisera les normes et les conditions applicables au traitement de ces informations, en tenant dûment compte de leur nature et de la finalité pour laquelle elles sont utilisées.

Article 14: Obligation de rendre compte

1. Les Parties mettent en place des mesures visant à promouvoir l’obligation de rendre compte du traitement des informations à caractère personnel effectué dans le cadre du présent accord par leurs autorités compétentes et par leurs autres autorités auxquelles ces informations ont été transférées. Ces mesures incluent la notification des garanties applicables aux transferts d’informations à caractère personnel effectués en application du présent accord, et des conditions pouvant avoir été imposées par l’autorité compétente émettrice en vertu de l’article 6, paragraphe 3. Les fautes graves font l’objet de sanctions pénales, civiles ou administratives appropriées et dissuasives.

2. Les mesures énoncées au paragraphe 1 incluent, le cas échéant, l’arrêt des transferts d’informations à caractère personnel aux autorités des entités territoriales constitutives des Parties non couvertes par le présent accord qui n’ont pas protégé efficacement ces informations, compte tenu de l’objet du présent accord, et notamment des dispositions de l’accord relatives à la limitation des finalités et de l’utilisation et au transfert ultérieur.

3. En cas d’allégations d’application abusive du présent article, une Partie peut demander à l’autre de lui fournir des informations à cet égard, notamment, le cas échéant, concernant les mesures prises au titre du présent article.

Article 15: Décisions automatisées

Les décisions produisant des effets préjudiciables significatifs pour les intérêts pertinents de la personne concernée ne peuvent être fondées uniquement sur le traitement automatisé d’informations à caractère personnel sans intervention humaine, sauf si le droit interne l’autorise, et moyennant des garanties appropriées, telles que la possibilité d’obtenir une intervention humaine.

Article 16: Accès

1. Les Parties veillent à ce que toute personne puisse demander l’accès aux informations à caractère personnel la concernant et, sous réserve des restrictions prévues au paragraphe 2, puisse l’obtenir. Cet accès est demandé et obtenu auprès d’une autorité compétente conformément au cadre juridique applicable dans l’État où il est demandé réparation.

2. L’obtention de ces informations dans une affaire précise peut faire l’objet de restrictions raisonnables prévues par le droit interne, compte tenu des intérêts légitimes de la personne concernée, de manière à:

a) protéger les droits et libertés de tiers, notamment leur vie privée;

b) garantir l’ordre public et la sécurité nationale;

c) protéger les informations sensibles du point de vue des autorités répressives;

d) éviter de gêner des recherches, des enquêtes ou des procédures officielles ou judiciaires;

e) éviter de nuire à la prévention et à la détection d’infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l’exécution de sanctions pénales;

f) protéger autrement des intérêts prévus dans la législation en matière de liberté d’information et d’accès public aux documents.

3. L’accès d’une personne à ses informations à caractère personnel n’est pas subordonné à des dépenses excessives.

4. Lorsque le droit interne applicable le permet, une personne physique peut mandater une autorité de contrôle ou un autre représentant pour demander l’accès en son nom.

5. Si l’accès est refusé ou restreint, l’autorité compétente requise communique sans retard indu à la personne concernée ou à son représentant dûment mandaté au sens du paragraphe 4 les motifs du refus ou de la restriction d’accès.

Article 17: Rectification

1. Les parties veillent à ce que toute personne puisse demander la correction ou la rectification d’informations à caractère personnel la concernant qu’elle considère soit comme inexactes, soit comme ayant fait l’objet d’un traitement abusif. La correction ou la rectification peuvent consister à compléter, effacer ou verrouiller des informations, ou en d’autres mesures ou méthodes destinées à remédier aux inexactitudes ou au traitement abusif. Une telle correction ou rectification est demandée et obtenue auprès d’une autorité compétente conformément au cadre juridique applicable dans l’État où il est demandé réparation.

2. Lorsque l’autorité compétente destinataire conclut, à la suite:

a) d’une demande au sens du paragraphe 1;

b) d’une notification de l’entité ayant fourni les informations; ou

c) de ses propres enquêtes ou recherches;

que les informations qu’elle a reçues au titre du présent accord sont inexactes ou ont fait l’objet d’un traitement abusif, elle prend des mesures visant à les compléter, effacer ou verrouiller, ou applique d’autres méthodes de correction ou de rectification, selon le cas.

3. Lorsque le droit interne applicable le permet, une personne physique peut mandater une autorité de contrôle ou un autre représentant pour demander en son nom la correction ou la rectification d’informations.

4. Si une telle correction ou rectification est refusée ou restreinte, l’autorité compétente requise communique sans retard indu à la personne concernée ou à son représentant dûment mandaté au sens du paragraphe 3 les motifs du refus ou de la restriction de correction ou de rectification.

Article 18: Recours administratif

1. Les Parties veillent à ce que toute personne puisse former un recours administratif lorsqu’elle estime que sa demande d’accès au sens de l’article 16 ou de rectification d’informations inexactes ou ayant fait l’objet d’un traitement abusif au sens de l’article 17 a été indûment refusée. Un tel recours est formé auprès d’une autorité compétente conformément au cadre juridique applicable dans l’État où il est demandé réparation.

2. Lorsque le droit interne applicable le permet, une personne physique peut mandater une autorité de contrôle ou un autre représentant pour former ce recours en son nom.

3. L’autorité compétente saisie procède aux recherches et vérifications appropriées et, sans retard indu, communique par écrit, notamment par voie électronique, ses conclusions, y compris toute amélioration ou correction apportée le cas échéant. La notification des autres voies de recours administratif est conforme aux dispositions de l’article 20.

Article 19: Recours juridictionnel

1. Les Parties prévoient dans leur cadre juridique applicable que, sous réserve de toute obligation d’avoir d’abord épuisé les voies de recours administratif, tout citoyen d’une Partie peut former un recours juridictionnel en cas de:

a) refus d’une autorité compétente de lui donner accès au dossier contenant ses informations à caractère personnel;

b) refus d’une autorité compétente de modifier un dossier contenant ses informations à caractère personnel; et

c) divulgation illicite de telles informations, de propos délibéré, avec la possibilité de demander des dommages-intérêts compensatoires.

2. Un tel recours juridictionnel est formé auprès d’une autorité compétente conformément au cadre juridique applicable dans l’État où il est demandé réparation.

3. Les paragraphes 1 et 2 sont sans préjudice de toute autre voie de recours juridictionnel concernant le traitement d’informations à caractère personnel prévue par la législation de l’État où il est demandé réparation.

4. En cas de suspension ou de dénonciation de l’accord, l’article 26, paragraphe 2, ou l’article 29, paragraphe 3, ne créent pas de base pour former un recours juridictionnel qui n’est plus disponible en vertu du droit de la Partie concernée.

Article 20: Transparence

1. Les Parties notifient à la personne concernée, éventuellement par l’intermédiaire des autorités compétentes, par voie de publication de notifications générales ou d’une notification individuelle, sous une forme et dans le délai prévus par le droit applicable à l’autorité notifiante, les éléments suivants:

a) les finalités du traitement, par cette autorité, de ses informations à caractère personnel;

b) les finalités pour lesquelles ses informations à caractère personnel peuvent être partagées avec d’autres autorités;

c) les dispositions législatives ou réglementaires régissant le traitement de ses informations à caractère personnel;

d) les tiers auxquels ses informations à caractère personnel sont divulguées; et

e) ses droits en matière d’accès, de correction ou de rectification, et de recours.

2. Cette obligation de notification fait l’objet de restrictions raisonnables en droit interne sur la base des intérêts énoncés à l’article 16, paragraphe 2, points a) à f).

Article 21: Contrôle effectif

1. Les parties mettent en place une ou plusieurs autorités publiques de contrôle qui:

a) exercent en toute indépendance des fonctions et des pouvoirs de contrôle, y compris de réexamen, d’enquête et d’intervention, le cas échéant de leur propre initiative;

b) sont compétentes pour connaître des plaintes des particuliers à l’égard des mesures d’application du présent accord, et y faire droit; et

c) sont compétentes pour signaler des infractions à la législation liées au présent accord aux fins d’une action pénale ou disciplinaire, le cas échéant.

2. L’Union européenne prévoit un contrôle au sens du présent article par l’intermédiaire de ses autorités chargées de la protection des données et de celles des États membres.

3. Les États-Unis prévoient un contrôle au sens du présent article de manière cumulative par l’intermédiaire de plusieurs autorités, telles que les inspecteurs généraux (inspectors general), les directeurs généraux chargés de la protection de la vie privée (chief privacy officers), l’organisme d’audit du Congrès (Government Accountability Office), la commission de surveillance du respect de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board) et d’autres organes exécutifs ou législatifs de contrôle du respect de la vie privée ou des libertés civiles.

Article 22: Coopération entre les autorités de contrôle

1. Des consultations entre les autorités de contrôle visées à l’article 21 ont lieu, au besoin, en ce qui concerne l’exercice des fonctions relatives au présent accord, en vue de garantir une mise en œuvre effective des dispositions des articles 16, 17 et 18.

2. Les parties établissent des points de contact nationaux qui aideront à déterminer l’autorité de contrôle à laquelle s’adresser dans une affaire donnée.

Article 23: Réexamen conjoint

1. Les parties procèdent à des réexamens périodiques conjoints des politiques et des procédures mettant en œuvre le présent accord et de leur efficacité. Ces réexamens conjoints accordent une attention particulière à la mise en œuvre effective des garanties prévues à l’article 14 relatif à l’obligation de rendre compte, à l’article 16 relatif à l’accès, à l’article 17 relatif à la rectification, à l’article 18 relatif au recours administratif et à l’article 19 relatif au recours juridictionnel.

2. Le premier réexamen conjoint est réalisé au plus tard trois ans après la date d’entrée en vigueur du présent accord et, ensuite, à intervalles réguliers. Les parties conviennent à l’avance des modalités et des conditions de réexamen et se communiquent la composition de leurs délégations respectives, qui comprennent des représentants des autorités publiques de contrôle visées à l’article 21 relatif au contrôle effectif et des autorités répressives et judiciaires. Les conclusions du réexamen conjoint sont rendues publiques.

3. Lorsque les Parties ou les États-Unis et un État membre ont conclu un autre accord, dont l’objet relève également du champ d’application du présent accord, qui prévoit des réexamens conjoints, ces derniers ne sont pas reproduits inutilement et leurs conclusions, dans la mesure où elles sont pertinentes, sont intégrées au réexamen conjoint du présent accord.

Article 24: Notification

1. Les États-Unis notifient à l’Union européenne toute désignation effectuée par les autorités américaines en rapport avec l’article 19, ainsi que tout changement à cet égard.

2. Les Parties s’efforcent raisonnablement de se notifier mutuellement l’adoption de toutes dispositions législatives ou réglementaires affectant substantiellement la mise en œuvre du présent accord, si possible avant qu’elles ne deviennent effectives.

Article 25: Consultation

Tout litige découlant de l’interprétation ou de l’application du présent accord donne lieu à des consultations entre les Parties afin de trouver une solution mutuellement acceptable.

Article 26: Suspension

1. En cas de violation substantielle du présent accord, chacune des Parties peut suspendre le présent accord en tout ou en partie, par notification écrite à l’autre Partie par la voie diplomatique. Une telle notification écrite n’intervient qu’en cas d’échec des consultations menées, pendant une durée raisonnable, entre les Parties pour trouver une solution; la suspension prend effet le vingtième jour suivant la date de réception de la notification. Une telle suspension peut être levée par la Partie notifiante, moyennant une nouvelle notification écrite à l’autre Partie. La suspension est levée dès réception de cette nouvelle notification.

2. Nonobstant toute suspension éventuelle du présent accord, les données à caractère personnel relevant du champ d’application du présent accord et transférées avant sa suspension continuent à être traitées conformément à celui-ci.

Article 27: Application territoriale

1. Le présent accord ne s’applique au Danemark, au Royaume-Uni ou à l’Irlande que si la Commission européenne notifie par écrit aux États-Unis que le Danemark, le Royaume-Uni ou l’Irlande a décidé d’être lié(e) par son application.

2. Si la Commission européenne notifie aux États-Unis avant l’entrée en vigueur du présent accord que celui-ci s’appliquera au Danemark, au Royaume-Uni ou à l’Irlande, le présent accord s’applique à cet État dès la date de son entrée en vigueur.

3. Si la Commission européenne notifie aux États-Unis après l’entrée en vigueur du présent accord que celui-ci s’applique au Danemark, au Royaume-Uni ou à l’Irlande, le présent accord s’applique à cet État le premier jour du mois suivant la réception de cette notification par les États-Unis.

Article 28: Durée de l’accord

Le présent accord est conclu pour une durée illimitée.

Article 29: Entrée en vigueur et dénonciation

1. Le présent accord entre en vigueur le premier jour du mois suivant la date à laquelle les Parties ont échangé les notifications indiquant qu’elles ont parachevé leurs procédures internes à cet effet.

2. Chaque Partie peut dénoncer le présent accord en adressant une notification écrite à l’autre Partie par la voie diplomatique. La dénonciation prend effet le trentième jour suivant la date de réception de ladite notification par l’autre Partie.

3. Nonobstant toute dénonciation éventuelle du présent accord, les informations à caractère personnel relevant du champ d’application du présent accord et transférées avant sa dénonciation continuent à être traitées conformément à celui-ci.

EN FOI DE QUOI, les plénipotentiaires soussignés ont apposé leur signature au bas du présent accord.

Fait à _, le _ 201_, en double exemplaire en langue anglaise. Conformément au droit de l’Union, le présent accord est également établi par l’Union européenne en langues allemande, bulgare, croate, danoise, espagnole, estonienne, finnoise, française, grecque, hongroise, irlandaise, italienne, lettone, lituanienne, maltaise, néerlandaise, polonaise, portugaise, roumaine, slovaque, slovène, suédoise et tchèque. Ces autres versions linguistiques peuvent être authentifiées par un échange de notes diplomatiques entre les États-Unis et l’Union européenne. En cas de divergence entre des versions linguistiques faisant foi, la version en langue anglaise prévaut.

Top

Choose the experimental features you want to try