This document is an excerpt from the EUR-Lex website
Document 52013DC0846
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Rebuilding Trust in EU-US Data Flows
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique
/* COM/2013/0846 final */
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique /* COM/2013/0846 final */
1. Introduction: les
transferts de données entre l'UE et les États-Unis dans un environnement en
mutation L'Union
européenne et les États-Unis d'Amérique sont des partenaires stratégiques, et
ce partenariat est essentiel pour promouvoir nos valeurs communes, notre
sécurité et notre leadership commun sur la scène internationale. Or la confiance
dans ce partenariat a été ébranlée et il convient de la rétablir. L'Union
européenne, ses États membres et ses citoyens ont exprimé une profonde
inquiétude à la suite des révélations sur les programmes américains de collecte
de renseignements à grande échelle, notamment en ce qui concerne la protection
des données à caractère personnel[1]. Une
surveillance généralisée des communications privées, que ce soit de citoyens,
d'entreprises ou de dirigeants politiques, est inacceptable. Les transferts de
données à caractère personnel constituent un volet important et nécessaire des
relations transatlantiques. Ils font partie intégrante des échanges commerciaux
transatlantiques,
notamment dans les nouveaux secteurs du numérique en
pleine croissance, comme les médias sociaux ou l'informatique en nuage, qui
supposent le transfert de grands volumes de données de l'Union européenne vers
les États-Unis. Ils sont également une composante fondamentale de la
coopération entre les services répressifs européens et américains et de la
coopération entre les États membres et les États-Unis dans le domaine de la
sécurité nationale. Afin de faciliter les flux de données, tout en garantissant
un niveau élevé de protection tel qu'exigé par le droit de l'UE, les États-Unis
et l'Union européenne ont mis en place toute une série d'accords et
d'arrangements. Les échanges
commerciaux font l'objet de la décision 2000/520/CE[2] (ci-après la
«décision relative à la sphère de sécurité»). Cette décision fournit une base
juridique aux fins du transfert de données à caractère personnel de l'Union
européenne vers des entreprises établies aux États-Unis qui adhèrent aux
principes de la sphère de sécurité. Les échanges de
données à caractère personnel entre l'Union européenne et les États-Unis à des
fins répressives, notamment la prévention du terrorisme et d'autres formes
graves de criminalité et la lutte contre ces phénomènes, sont régis par un
certain nombre d'accords à l'échelle de l'UE. Il s'agit de l’accord d’entraide
judiciaire[3], de l'accord
sur l'utilisation et le transfert des données des dossiers passagers (PNR)[4], de l’accord
sur le traitement et le transfert de données de messagerie financière aux fins
du programme de surveillance du financement du terrorisme (TFTP)[5] et de
l'accord entre Europol et les États-Unis. Ces accords visent à répondre à
d'importants défis sécuritaires et à satisfaire les intérêts communs de l’Union
et des États-Unis en matière de sécurité, tout en assurant un niveau élevé de
protection des données à caractère personnel. En outre, l'Union européenne et
les États-Unis négocient actuellement un accord-cadre sur la protection des
données dans le domaine de la coopération policière et judiciaire (ci-après
l'«accord-cadre»)[6]. L'objectif
est de garantir un niveau élevé de protection des données pour les citoyens
dont les données sont échangées et d'approfondir ainsi la coopération
transatlantique en matière de lutte contre la criminalité et le terrorisme sur
la base de valeurs communes et de garanties définies d'un commun accord. Ces instruments
s'appliquent dans un environnement où les flux de données à caractère personnel
acquièrent une importance croissante. D'une part, le
développement de l'économie numérique a entraîné une croissance exponentielle
de la quantité, de la qualité, de la diversité et de la nature des activités de
traitement de données. Les citoyens utilisent de plus en plus les services de
communication électronique dans leur vie quotidienne. Les données à caractère
personnel sont devenues un bien très précieux: la valeur estimée des données
des citoyens de l'UE était de 315 milliards d'EUR en 2011 et ce montant devrait
approcher le billion d'EUR par an d'ici à 2020[7]. Le marché de
l’analyse de grands ensembles de données enregistre une croissance mondiale
annuelle de 40 %[8].De même, les
développements technologiques, par exemple relatifs à l'informatique en nuage,
mettent en perspective la notion de transfert international de données puisque
les flux de données transfrontières sont devenus une réalité quotidienne.[9] L'utilisation
croissante des services de traitement de données et de communications
électroniques, notamment l'informatique en nuage, a également considérablement étendu
le champ d'application et accru l'importance des transferts transatlantiques de
données. Certains éléments, tels que la position centrale qu'occupent les
entreprises américaines dans l'économie numérique[10], la transmission
transatlantique d'une grande partie des communications électroniques et le
volume des flux de données électroniques entre l'Union européenne et les
États-Unis, sont devenus encore plus importants. D'autre part, les
méthodes modernes de traitement des données à caractère personnel soulèvent de
nouvelles questions fondamentales. Ces questions concernent à la fois les
nouveaux moyens de traitement de données à grande échelle dont disposent les
entreprises privées pour traiter les données des consommateurs à des fins
commerciales et la capacité accrue de surveillance à grande échelle des données
de communications que possèdent les agences de renseignement. Les programmes
américains de collecte de renseignements à grande échelle, comme PRISM, ont une
incidence sur les droits fondamentaux des Européens et, en particulier, sur
leur droit à la vie privée et à la protection des données à caractère personnel
les concernant. Ces programmes laissent également penser qu'il pourrait exister
un lien entre la surveillance exercée par les autorités publiques et le
traitement de données par des entreprises privées, notamment des entreprises
américaines du secteur de l'internet, auquel cas ces programmes seraient
susceptibles d'avoir des répercussions économiques. Si les citoyens sont
inquiets au sujet du traitement à grande échelle de leurs données à caractère
personnel par des entreprises privées ou de la surveillance de leurs données
par les agences de renseignements lorsqu'ils utilisent des services internet,
leur confiance dans l'économie numérique peut en être ébranlée, ce qui peut
avoir des conséquences négatives sur la croissance. Ces évolutions
exposent ainsi les flux transatlantiques de données à de nouveaux défis. La
présente communication aborde ces défis. Elle explore des pistes pour l'avenir en
se basant sur les conclusions figurant dans le rapport des co-présidents de
l'UE du groupe de travail ad hoc UE-USA et sur la communication relative à la
sphère de sécurité. Elle vise à tracer une voie qui permette de rétablir la confiance et
d'approfondir la coopération transatlantique dans ces domaines et de renforcer
les relations transatlantiques en général. La présente communication part du principe que les normes de protection
des données à caractère personnel doivent être examinées dans leur contexte
propre, sans que cela n'affecte d'autres dimensions des relations entre l'Union
et les États-Unis, notamment les négociations en cours pour un partenariat
transatlantique en matière de commerce et d'investissements. C'est pourquoi les
normes de protection des données à caractère personnel ne seront pas négociées
dans le cadre de ce partenariat, qui respectera pleinement les règles de
protection des données. Il est important de noter qu'alors que l'UE peut prendre des mesures
dans des domaines qui relèvent de sa compétence, notamment pour garantir
l'application du droit de l'UE[11], la sécurité
nationale reste une compétence exclusive de chaque État membre[12]. 2. Les incidences sur les instruments de
transfert de données Tout d'abord, en ce
qui concerne les données transférées à des fins commerciales, la sphère de
sécurité a démontré qu'elle était un vecteur majeur pour les transferts de
données entre l'Union européenne et les États-Unis. Sa dimension commerciale
s'est renforcée à mesure que les flux de données gagnaient de l'importance dans
les relations commerciales transatlantiques. Au cours des treize dernières
années, la sphère de sécurité s'est développée et elle compte aujourd'hui plus
de 3 000 entreprises, dont plus de la moitié ont adhéré à ses principes
ces cinq dernières années. Toutefois, le niveau de protection des données à
caractère personnel des citoyens de l'UE qui sont transférées vers les
États-Unis dans le cadre de la sphère de sécurité suscite de plus en plus
d'inquiétude. Le caractère volontaire et déclaratoire de la sphère de sécurité
a attiré une attention accrue sur sa transparence et sa mise en oeuvre. Alors
qu'une majorité d'entreprises américaines appliquent ses principes, certaines
entreprises autocertifiées ne les observent pas. Or le non-respect des
principes de la sphère de sécurité confère à ces dernières un avantage
concurrentiel par rapport aux entreprises européennes actives sur les mêmes
marchés. En outre, alors que
dans le cadre de la sphère de sécurité, des dérogations aux règles de
protection des données sont prévues pour des motifs de sécurité nationale[13], la question
se pose de savoir si la collecte et le traitement à grande échelle
d'informations à caractère personnel au titre de programmes américains de
surveillance sont nécessaires et proportionnés pour répondre aux intérêts de la
sécurité nationale. Les conclusions du groupe de travail ad hoc UE-USA
indiquent aussi clairement que, dans le cadre de ces programmes, les citoyens
de l'UE ne jouissent pas des mêmes droits ni des mêmes garanties procédurales
que les Américains. La portée de ces
programmes de surveillance, associée au traitement inégal des citoyens de l'UE,
remet en question le niveau de protection offert par la sphère de sécurité. Les
données à caractère personnel des citoyens de l'UE transférées aux États-Unis
dans le cadre de la sphère de sécurité peuvent, en effet, être consultées et
traitées par les autorités américaines d'une manière incompatible avec les
motifs pour lesquels elles avaient été initialement collectées dans l'UE et
avec les finalités de leur transfert vers les États-Unis. La majorité des
entreprises américaines du secteur de l'internet, qui semblent être plus
directement concernées par ces programmes, sont certifiées dans le cadre de la sphère
de sécurité. Par ailleurs, en ce
qui concerne les échanges de données à des fins répressives, les accords
existants (PNR et TFTP) se sont révélés être des instruments très précieux pour
faire face aux menaces communes pour la sécurité qui sont liées à des formes
graves de criminalité transnationale et au terrorisme, tout en établissant des
garanties qui assurent un niveau élevé de protection des données[14]. Ces
garanties s'appliquent également aux citoyens de l'UE, et les accords prévoient
des mécanismes permettant de réexaminer leur mise en œuvre et de remédier aux
éventuels problèmes que celle-ci peut poser. De même, l'accord TFTP prévoit un
système de contrôle dans lequel des contrôleurs européens indépendants
examinent la manière dont les États-Unis effectuent des recherches sur les
données couvertes par l'accord. Face aux
inquiétudes suscitées dans l'UE par les programmes de surveillance américains,
la Commission européenne a eu recours à ces mécanismes pour contrôler
l'application des accords. Pour ce qui est de l'accord PNR, un réexamen
conjoint de sa mise en œuvre a été réalisé en association avec des experts
européens et américains en protection des données[15]. Ce réexamen
n'a, en aucune façon, montré que les programmes américains de surveillance s'étendent
aux données des dossiers passagers couvertes par l'accord PNR ni qu'ils ont une
incidence sur celles-ci. Dans le cas de l'accord TFTP, la Commission a ouvert
des consultations officielles à la suite d'allégations selon lesquelles les
agences américaines de renseignement accédaient directement à des données à
caractère personnel dans l'UE, contrairement aux dispositions de l'accord. S'il
n'est ressorti de ces consultations aucun élément prouvant l'existence d'une
violation de l'accord TFTP, elles ont amené les États-Unis à donner l'assurance
écrite qu'aucune collecte directe de données n'avait lieu en violation des
dispositions de l'accord. La collecte et le
traitement à grande échelle d'informations à caractère personnel dans le cadre
de programmes américains de surveillance nécessitent toutefois de poursuivre à
l'avenir un contrôle très étroit de la mise en œuvre des accords PNR et TFTP.
L'UE et les États-Unis ont dès lors convenu d'avancer le prochain réexamen
conjoint de l'accord TFTP, qui se tiendra au printemps 2014. Dans le cadre de
ce réexamen et des réexamens conjoints suivants, le fonctionnement du système
de contrôle et la protection qu'il offre aux données des citoyens de l'UE
feront l'objet d'une transparence accrue. En parallèle, des mesures seront
prises pour garantir que le traitement des données transférées vers les
États-Unis en application de l'accord, notamment l'échange de ces données entre
les autorités américaines, continue de faire l'objet d'une grande attention
dans le cadre du système de contrôle. Enfin, face à
l'augmentation des volumes de données à caractère personnel collectées et
traitées, les garanties juridiques et administratives applicables revêtent une
importance d'autant plus grande. L'un des objectifs du groupe de travail ad hoc
UE-USA consistait à définir les garanties à appliquer pour réduire au minimum
l'incidence du traitement des données à caractère personnel sur les droits
fondamentaux des citoyens de l'UE. Il convient également de disposer de
garanties pour protéger les entreprises. En vertu de certaines lois
américaines, comme le Patriot Act, les autorités américaines peuvent
directement s'adresser à des entreprises pour solliciter l'accès à des données
stockées dans l'UE. En conséquence, des entreprises européennes, et des
entreprises américaines établies dans l'UE, peuvent se voir contraintes de
transférer des données vers les États-Unis en violation du droit de l'UE et des
législations des États membres et se trouvent ainsi confrontées à un conflit
d'obligations juridiques. L'insécurité juridique découlant de cette situation
peut entraver le développement de nouveaux services numériques, comme
l'informatique en nuage, qui permettent d'offrir des solutions efficaces et
moins coûteuses aux citoyens et aux entreprises. 3. Garantir l'efficacité de la protection des
données Les transferts de
données à caractère personnel entre l'Union européenne et les États-Unis
constituent une composante essentielle des relations commerciales
transatlantiques. Les échanges d'informations font également partie intégrante
de la coopération transatlantique en matière de sécurité; ils sont cruciaux
pour poursuivre l'objectif commun de prévention des formes graves de
criminalité et du terrorisme et de lutte contre ces phénomènes. Toutefois, les
récentes révélations concernant les programmes américains de collecte de
renseignements ont mis à mal la confiance sur laquelle cette coopération est
fondée. En particulier, la confiance dans les méthodes de traitement de ces
données a été ébranlée. Il conviendrait dès lors de prendre les mesures
suivantes pour rétablir la confiance dans les transferts de données, dans
l'intérêt de l'économie numérique, de la sécurité à la fois dans l'UE et aux
États-Unis et des relations transatlantiques en général. 3.1. La réforme des règles de l'UE en matière de protection des
données La réforme de la
protection des données proposée en janvier 2012 par la Commission[16] apporte des
réponses essentielles en ce qui concerne la protection des données à caractère
personnel. Cinq éléments du train de mesures proposé sont particulièrement
importants. Premièrement, en ce
qui concerne le champ d'application territorial, la proposition de règlement
dispose clairement que les entreprises qui ne sont pas établies dans l'Union
sont tenues d'appliquer le droit de l'UE en matière de protection des données
lorsqu'elles offrent des biens ou des services aux consommateurs européens ou
lorsqu'elles observent leur comportement. Autrement dit, le droit fondamental à
la protection des données sera respecté, indépendamment du lieu d'établissement
de l'entreprise ou de son service de traitement des données[17]. Deuxièmement, en ce
qui concerne les transferts internationaux, la proposition de règlement fixe
les conditions auxquelles sont subordonnés les transferts de données vers des
pays tiers. Les transferts ne peuvent être autorisés que lorsque ces
conditions, qui garantissent un niveau élevé de protection des droits des
personnes, sont remplies[18]. Troisièmement, en
ce qui concerne le contrôle de l'application des règles, les dispositions
proposées prévoient des sanctions proportionnées et dissuasives (jusqu'à
concurrence de 2 % du chiffre d’affaires annuel mondial de l'entreprise)
afin de garantir que les entreprises respectent le droit de l'UE[19]. L'existence
de sanctions crédibles incitera davantage les entreprises à se conformer au
droit de l'UE. Quatrièmement, la
proposition de règlement contient des règles claires concernant les obligations
et les responsabilités des sous-traitants, tels que les fournisseurs de
services informatiques en nuage, notamment en matière de sécurité[20]. Comme l'ont
montré les révélations sur les programmes américains de collecte de
renseignements, il s'agit d'un point crucial car ces programmes concernent les données
stockées dans le nuage. En outre, les entreprises qui fournissent de l'espace
de stockage dans le nuage et auxquelles des autorités étrangères demandent des
données à caractère personnel ne seront pas en mesure d'échapper à leurs
responsabilités en invoquant leur qualité de simple «sous-traitant» et non de
«responsable du traitement de données». Cinquièmement, le
train de mesures proposé permettra d'établir un ensemble complet de règles pour
protéger les données à caractère personnel traitées à des fins répressives. Ce train de mesures
devrait être adopté en temps voulu au cours de l'année 2014[21]. 3.2. Rendre la «sphère de sécurité»
plus sûre La sphère de sécurité constitue une composante importante des relations
commerciales entre l’Union européenne et les États-Unis, sur laquelle comptent
les entreprises des deux côtés de l’Atlantique. Le rapport de la
Commission sur le fonctionnement de la sphère de sécurité met en évidence un
certain nombre d'insuffisances. En raison d’un manque de transparence et de
contrôle de sa mise en œuvre, certains membres de la sphère de sécurité ayant
déclaré leur adhésion à ses principes ne les respectent pas dans la pratique.
Cette situation a une incidence négative sur les droits fondamentaux des
citoyens de l’UE. Elle désavantage aussi les entreprises européennes par
rapport à leurs concurrents américains qui exercent leur activité dans le cadre
de la sphère de sécurité mais qui, dans la pratique, n'observent pas ses
principes. Ce déséquilibre affecte également la majorité des entreprises
américaines qui appliquent correctement lesdits principes. La sphère de
sécurité sert également d'interface pour le transfert de données à caractère
personnel de citoyens européens, de l’Union européenne vers les États-Unis, par
les entreprises qui sont tenues de remettre des données aux agences américaines
de renseignement dans le cadre de programmes américains de collecte de
renseignements. À moins d'y remédier, ces insuffisances entraînent donc un
désavantage concurrentiel pour les entreprises de l’UE et ont une incidence
négative sur le droit fondamental à la protection des données des citoyens de
l’Union. Les lacunes de la
sphère de sécurité ont été soulignées par la réaction des autorités européennes
chargées de la protection des données aux récentes révélations sur les
programmes américains de surveillance. L’article 3 de la décision relative à la
sphère de sécurité autorise ces autorités à suspendre, sous certaines
conditions, les flux de données vers des entreprises adhérant aux principes de
la sphère de sécurité.[22] Des
commissaires allemands à la protection des données ont décidé de ne plus
délivrer d'autorisations de transfert de données vers des pays tiers (par
exemple, pour l’utilisation de certains services en nuage). Ils examineront
également s'il convient de suspendre les transferts de données dans le cadre de
la sphère de sécurité.[23] Le risque
est que de telles mesures, prises au niveau national, créent des disparités
dans l'application de la sphère de sécurité et, partant, que cette dernière
cesse d’être un mécanisme commun de transfert de données à caractère personnel
entre l’Union européenne et les États-Unis. La Commission a, en
vertu de la directive 95/46/CE, compétence pour suspendre ou abroger la
décision relative à la sphère de sécurité si cette dernière ne permet plus
d'assurer un niveau de protection adéquat. En outre, l’article 3 de la
décision relative à la sphère de sécurité prévoit que la Commission peut
abroger ou suspendre ladite décision ou en limiter la portée, tandis que
l’article 4 dispose qu'elle peut l'adapter à tout moment à la lumière de
l’expérience acquise durant sa mise en œuvre. Dans ce contexte,
plusieurs options peuvent être envisagées, notamment:
le maintien du
statu quo,
le
renforcement de la sphère de sécurité et la révision approfondie de son
fonctionnement;
la suspension
ou l'abrogation de la décision relative à la sphère de sécurité.
Compte tenu des
insuffisances recensées, la sphère de sécurité ne peut plus être mise en œuvre
telle qu'elle l'est actuellement. Toutefois, sa suppression porterait préjudice
aux intérêts des entreprises qui en sont membres dans l’Union européenne et aux
États-Unis. La Commission considère qu'il conviendrait plutôt de renforcer la
sphère de sécurité. Ces améliorations
devraient concerner à la fois les lacunes structurelles liées à la transparence
et au contrôle de la mise en œuvre, les principes matériels de la sphère de
sécurité et l'application de la dérogation pour motif de sécurité nationale. Concrètement, pour
que la sphère de sécurité fonctionne comme prévu, le contrôle et la
surveillance par les autorités américaines du respect des principes de la
sphère de sécurité par les entreprises qui ont déclaré y adhérer doit être plus
efficace et plus systématique. Il y a lieu d'améliorer la transparence des
politiques desdites entreprises en matière de protection de la vie privée.
L'existence et l’accessibilité de mécanismes de règlement des litiges doivent
également être garanties aux citoyens de l’UE. La Commission
entend entamer de toute urgence un dialogue avec les autorités américaines afin
d'examiner les lacunes mises en évidence. Il conviendrait de définir les
mesures à prendre pour combler ces lacunes d'ici à l'été 2014 et de les mettre
en œuvre le plus rapidement possible. Sur cette base, la Commission dressera un
bilan complet du fonctionnement de la sphère de sécurité. Ce processus plus
large de réexamen devrait impliquer une consultation ouverte et un débat au
sein du Parlement européen et du Conseil ainsi que des discussions avec les
autorités américaines. Il importe aussi
que la dérogation pour motif de sécurité nationale, prévue par la décision
relative à la sphère de sécurité, ne soit appliquée que dans la mesure où cela
est strictement nécessaire et proportionné. 3.3. Renforcer les garanties en
matière de protection des données dans le cadre de la coopération entre les
services répressifs L’Union européenne
et les États-Unis négocient actuellement un accord-cadre sur la protection des
données relatif au transfert et au traitement d'informations à caractère
personnel dans le cadre de la coopération policière et judiciaire en matière
pénale. La conclusion d’un tel accord assurant un niveau élevé de protection
des données à caractère personnel contribuerait grandement au renforcement de
la confiance de part et d’autre de l’Atlantique. Tout en améliorant la
protection des droits des citoyens de l’UE dans ce domaine, il aiderait à
renforcer la coopération transatlantique destinée à prévenir et à combattre la
criminalité et le terrorisme. Conformément à la
décision autorisant la Commission à négocier cet accord-cadre, l’objectif des
négociations devrait être d’assurer un niveau élevé de protection en conformité
avec l’acquis de l’UE sur la protection des données. Cela devrait se traduire
par l'adoption de règles et de garanties portant, entre autres, sur la
limitation des finalités, les conditions et la durée de conservation des
données. Dans le cadre des négociations, la Commission devrait également
obtenir des engagements sur les droits opposables, y compris les mécanismes de
recours juridictionnel ouverts aux citoyens de l’UE ne résidant pas aux
États-Unis[24]. L'étroite
coopération entre l’Union européenne et les États-Unis pour relever les défis
communs touchant à la sécurité devrait se refléter dans les efforts déployés
pour veiller à ce que les citoyens bénéficient des mêmes droits des deux côtés
de l’Atlantique, lorsque les mêmes données sont traitées aux mêmes fins. Il
importe également de définir d'une manière restrictive les dérogations fondées
sur des motifs de sécurité nationale. Des garanties et des limitations
devraient être convenues à cet égard. Ces négociations
offrent l’occasion de préciser que les données à caractère personnel détenues par
des entreprises privées situées dans l’Union ne seront pas directement
accessibles aux services répressifs américains ni ne leur seront transférées en
dehors des canaux officiels de coopération, tels que les accords d'entraide
judiciaire ou les accords sectoriels UE-USA autorisant ce type de transferts.
Tout accès par d’autres moyens doit être exclu, à moins qu'il ne s'agisse de
cas exceptionnels clairement définis et susceptibles de faire l'objet d'un
contrôle juridictionnel. Les États-Unis devraient prendre des engagements à cet
égard.[25]. Un accord-cadre
allant dans ce sens devrait fournir le cadre général nécessaire pour assurer un
niveau élevé de protection des données à caractère personnel, lorsque de telles
données sont transférées aux États-Unis aux fins de la prévention de la
criminalité et du terrorisme ou de la lutte contre ces phénomènes. Des accords
sectoriels devraient, s’il y a lieu en raison de la nature du transfert de
données concerné, établir des règles et des garanties supplémentaires, sur le
modèle des accords PNR et TFTP conclus entre l'Union européenne et les
États-Unis, qui fixent des conditions strictes pour le transfert de données et
prévoient des garanties pour les citoyens de l’UE. 3.4. Répondre aux préoccupations européennes dans le cadre de la
réforme en cours aux États-Unis Le président
américain Barack Obama a annoncé un réexamen des activités des autorités
américaines chargées de la sécurité nationale, y compris du cadre juridique
applicable. Ce processus constitue une occasion importante de répondre aux
préoccupations de l’Union européenne suscitées par les récentes révélations sur
les programmes américains de collecte de renseignements. Les modifications les
plus importantes consisteraient dans l'application aux citoyens de l’UE ne
résidant pas aux États-Unis des mêmes garanties que celles dont bénéficient les
ressortissants et résidents américains, l’amélioration de la transparence des
activités de renseignement et le renforcement des contrôles. Ces modifications
permettraient de rétablir la confiance dans les échanges de données entre
l’Union européenne et les États‑Unis, et de promouvoir l’utilisation des
services internet par les Européens. En ce qui concerne
l'extension aux citoyens de l’UE des garanties offertes aux ressortissants et
résidents américains, les normes juridiques relatives aux programmes américains
de surveillance qui établissent une distinction entre ressortissants et
résidents américains et citoyens de l'UE devraient être réexaminées, notamment
au regard des principes de nécessité et de proportionnalité, en gardant à
l’esprit l'étroit partenariat transatlantique pour la sécurité, fondé sur les
valeurs, les libertés et les droits qui nous sont communs. Les Européens
seraient ainsi moins affectés par les programmes américains de collecte de
renseignements. Une plus grande
transparence est requise en ce qui concerne, d'une part, le cadre juridique des
programmes américains de collecte de renseignements et son interprétation par
les tribunaux américains et, d'autre part, la dimension quantitative desdits
programmes. Les citoyens de l’UE bénéficieraient également de ces
modifications. Le contrôle des
programmes américains de collecte de renseignements pourrait être amélioré en
renforçant le rôle de la Foreign Intelligence Surveillance Court américaine et
en instaurant des voies de recours pour les particuliers. Ces mécanismes
pourraient réduire le traitement des données à caractère personnel concernant
des Européens qui ne sont pas pertinentes aux fins de la protection de la
sécurité nationale. 3.5. Promouvoir
des normes internationales de protection de la vie privée Les questions que
soulèvent les méthodes modernes de protection des données ne se limitent pas
aux transferts de données entre l’Union européenne et les États-Unis. Toute
personne devrait également se voir garantir un niveau élevé de protection des
données la concernant. Il conviendrait de promouvoir au niveau international
les règles de l’UE en matière de collecte, de traitement et de transfert de
données. Plusieurs
initiatives ont récemment été proposées en vue de promouvoir la protection de
la vie privée, notamment sur l'internet[26]. L’Union
européenne devrait veiller à ce que ces initiatives, si elles sont poursuivies,
tiennent pleinement compte des principes visant à protéger les droits
fondamentaux, la liberté d’expression, les données à caractère personnel et la
vie privée, conformément au droit de l’UE et à la stratégie de l’UE en matière
de cybersécurité, et ne portent pas atteinte à la liberté, à l’ouverture et à
la sécurité du cyberespace. Cela inclut un modèle de gouvernance pluripartite,
démocratique et efficient. Les réformes en
cours de la législation sur la protection des données des deux côtés de
l’Atlantique offrent en outre, à l’Union européenne et aux États-Unis, une
occasion unique d'établir la norme internationale. Les échanges
transatlantiques de données et autres échanges internationaux de données
bénéficieraient grandement d'un durcissement du cadre juridique national
américain, notamment de l'adoption de la «Consumer Privacy Bill of Rights»
(déclaration de droits sur la protection de la vie privée des consommateurs)
présentée par le président Barack Obama en février 2012 dans le cadre d'un
programme global destiné à améliorer la protection de la vie privée des
consommateurs. Des règles strictes et opposables en matière de protection des
données, inscrites à la fois dans le droit de l'UE et la législation
américaine, constitueraient une base solide pour les flux transfrontières de données.
En vue de
promouvoir des normes internationales de protection de la vie privée, il
conviendrait également de favoriser l'adhésion à la Convention du Conseil de
l'Europe pour la protection des personnes à l'égard du traitement automatisé
des données à caractère personnel («convention 108»), qui est ouverte aux pays
qui ne sont pas membres du Conseil de l'Europe[27].
Les garanties définies d'un commun accord dans les enceintes internationales
devraient se traduire par un niveau élevé de protection, compatible avec les
exigences du droit de l’UE. 4. Conclusions et
recommandations Les questions
soulevées dans la présente communication requièrent que des mesures soient
prises, d'une part, par les États-Unis et, d'autre part, par l’Union européenne
et ses États membres. Les préoccupations
entourant les échanges transatlantiques de données ont, tout d’abord, fait
prendre conscience à l’Union et à ses États membres qu'il y avait lieu de
progresser rapidement et avec ambition dans la réforme de la protection des
données. Il en ressort qu’un cadre législatif solide, fondé sur des règles
claires également opposables en cas de transfert de données à l'étranger, est
plus que jamais une nécessité. Les institutions européennes devraient dès lors
poursuivre les efforts engagés et s'attacher à réformer les règles de l'UE en
matière de protection de données d'ici au printemps 2014, afin de faire en
sorte que les données à caractère personnel soient protégées d'une manière
effective et complète. Compte tenu de
l’importance des flux transatlantiques de données, il est essentiel que les
instruments sur lesquels ces échanges sont fondés répondent dûment aux défis
posés par l’ère numérique et les derniers développements technologiques, comme
l’informatique en nuage, ainsi qu'aux possibilités qu'ils offrent. Il
conviendrait que les arrangements et accords, existants et futurs, garantissent
la continuité d’un niveau élevé de protection pour les données passant d'une
rive à l'autre de l’Atlantique. Une sphère de
sécurité solide est dans l'intérêt à la fois des citoyens et des entreprises de
l'Union européenne et des États-Unis. Il conviendrait de la renforcer en en
améliorant le contrôle et la mise en œuvre à court terme et en procédant, sur
cette base, à un réexamen plus large de son fonctionnement. Des améliorations
s'imposent pour poursuivre la réalisation des objectifs initiaux de la décision
relative à la sphère de sécurité, à savoir la continuité de la protection des
données, la sécurité juridique et la libre circulation des données entre
l’Union européenne et les États-Unis. Ces améliorations
devraient essentiellement porter sur la nécessité pour les autorités
américaines de mieux contrôler le respect des principes de la sphère de
sécurité par les entreprises qui ont déclaré y souscrire. Il importe aussi
que la dérogation pour motif de sécurité nationale, prévue par la décision
relative à la sphère de sécurité, ne soit appliquée que dans la mesure où cela
est strictement nécessaire et proportionné. Dans le domaine du
contrôle de l'application, les négociations en cours concernant un accord-cadre
devraient se traduire par un niveau élevé de protection pour les citoyens des
deux côtés de l’Atlantique. Un tel accord renforcerait la confiance des
Européens dans les échanges de données entre l’Union européenne et les
États-Unis, et servirait de base pour développer encore le partenariat UE-USA
pour la sécurité et la coopération transatlantique dans ce domaine. Dans le
cadre de ces négociations, il conviendrait que des engagements soient pris afin
que les Européens ne résidant pas aux États-Unis puissent bénéficier des
garanties procédurales, y compris les voies de recours juridictionnel. Il conviendrait
d'obtenir des autorités américaines qu'elles s'engagent à veiller à ce que les données
à caractère personnel détenues par des entités privées dans l’Union ne soient
pas directement accessibles aux services répressifs américains en dehors des
canaux officiels de coopération (tels que les accords sur l’entraide judiciaire
et les accords sectoriels conclus entre l’Union européenne et les États-Unis
comme les accords PNR et TFTP autorisant ces transferts sous réserve du respect
de conditions strictes), sauf dans des cas exceptionnels clairement définis et
susceptibles de faire l'objet d'un contrôle juridictionnel. Les États-Unis
devraient également étendre aux citoyens de l'UE ne résidant pas sur leur
territoire les garanties offertes à leurs ressortissants et résidents, veiller
à ce que leurs programmes respectent les principes de nécessité et de
proportionnalité, et renforcer la transparence et le contrôle du cadre
juridique applicable aux autorités américaines chargées de la sécurité
nationale. Les domaines
d'action recensés dans la présente communication appellent un engagement constructif
de part et d’autre de l’Atlantique. En agissant de concert, l'Union européenne
et les États-Unis, en tant que partenaires stratégiques, seront à même de
surmonter leurs tensions actuelles et de rétablir la confiance dans les flux
transatlantiques de données. Les relations transatlantiques en général seront
renforcées par les engagements politiques et juridiques communs qui seront pris
aux fins de l'approfondissement de la coopération dans ces domaines. [1] Aux fins de la présente communication, le terme
«citoyens de l'UE» désigne également les personnes concernées ressortissantes
de pays tiers qui relèvent du champ d'application du droit de l'UE en matière
de protection de données. [2] Décision 2000/520/CE de la Commission du 26 juillet 2000
conformément à la directive 95/46/CE du Parlement européen et du Conseil
relative à la pertinence de la protection assurée par les principes de la
«sphère de sécurité» et par les questions souvent posées y afférentes, publiés
par le ministère du commerce des États-Unis d'Amérique, JO L 215 du 25.8.2000,
p. 7. [3] Décision 2009/820/PESC du Conseil du 23 octobre 2009
concernant la conclusion, au nom de l’Union européenne, de l’accord
d’extradition entre l’Union européenne et les États-Unis d’Amérique et de
l’accord d’entraide judiciaire entre l’Union européenne et les États-Unis
d’Amérique, JO L 291 du 7.11.2009, p. 40. [4] Décision 2012/472/UE du Conseil du 26 avril 2012
relative à la conclusion de l'accord entre les États-Unis d'Amérique et l'Union
européenne sur l'utilisation des données des dossiers passagers et leur
transfert au ministère américain de la sécurité intérieure, JO L 215 du 11.8.2012,
p. 4. [5] Décision du Conseil du 13 juillet 2010 relative à
la conclusion de l’accord entre l’Union européenne et les États-Unis d’Amérique
sur le traitement et le transfert de données de messagerie financière de
l’Union européenne aux États-Unis aux fins du programme de surveillance du
financement du terrorisme, JO L 195 du 27.7.2010, p. 3. [6] Le Conseil a adopté, le 3 décembre 2010, la décision
autorisant la Commission à négocier cet accord. Voir
IP/10/1661 du 3 décembre 2010. [7] Voir Boston Consulting Group, «The Value of our
Digital Identity», novembre 2012. [8] Voir
McKinsey, «Big data: The next frontier for innovation, competition, and
productivity», 2011. [9] Communication de la Commission intitulée «Exploiter le
potentiel de l'informatique en nuage en Europe», COM(2012) 529 final. [10] Par exemple, en juin 2012, le nombre cumulé des visiteurs
uniques sur Microsoft Hotmail, Google Gmail et Yahoo! Mail provenant des pays
européens dépassait les 227 millions, éclipsant ainsi tous les autres
fournisseurs. En mars 2012, le nombre cumulé d'utilisateurs uniques européens
accédant à Facebook et à Facebook Mobile était de 196,5 millions, faisant de
Facebook le premier réseau social en Europe. Utilisé par 90,2 % des
internautes dans le monde, Google est le principal moteur de recherche
internet. En juin 2013, le service de messagerie What's App était utilisé par 91 %
des usagers d'iPhone en Allemagne. [11] Voir l'arrêt de la Cour de justice de l'Union européenne
dans l'affaire C-300/1, ZZ contre Secretary of State for the Home Department. [12] Article 4, paragraphe 2, du TUE. [13] Voir, par exemple, l'annexe I de la décision relative à la
sphère de sécurité. [14] Voir le rapport conjoint de la Commission et du
département du Trésor des États-Unis relatif à la valeur des données fournies
dans le cadre du TFTP conformément à l'article 6, paragraphe 6, de l'accord
entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le
transfert de données de messagerie financière de l’Union européenne aux
États-Unis d’Amérique aux fins du programme de surveillance du financement du
terrorisme. [15] Voir le rapport de la Commission intitulé «Réexamen
conjoint de la mise en œuvre de l’accord entre l’Union européenne et les
États-Unis d’Amérique sur le traitement et le transfert des données des
dossiers passagers au ministère américain de la sécurité intérieure». [16] COM(2012) 10 final: proposition de directive du Parlement
européen et du Conseil relative à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel par les autorités
compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes
et de poursuites en la matière ou d'exécution de sanctions pénales, et à la
libre circulation de ces données, Bruxelles, le 25.1.2012, et COM(2012) 11
final: proposition de règlement du Parlement européen et du Conseil relatif à
la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données (règlement général
sur la protection des données). [17] La Commission prend acte du fait que le Parlement européen
a confirmé et consolidé ce principe majeur, inscrit à l'article 3 de la
proposition de règlement, lors de son vote du 21 octobre 2013 sur les rapports
relatifs à la réforme de la protection des données, de MM. Jan-Philipp
Albrecht et Dimitrios Droutsas, membres du Parlement européen, au sein de la
commission des libertés civiles, de la justice et des affaires intérieures
(LIBE). [18] La Commission prend acte du fait que, lors de son vote du 21
octobre 2013, la commission LIBE du Parlement européen a proposé d'ajouter au
futur règlement une disposition qui imposerait que les demandes d'autorités
étrangères pour accéder à des données à caractère personnel collectées dans
l'UE soient préalablement autorisées par une autorité nationale chargée de la
protection des données, lorsque ces demandes seraient effectuées en dehors du
cadre d'un traité d'entraide judiciaire ou d'un autre accord international. [19] La Commission prend acte du fait que, dans son vote du 21
octobre 2013, la commission LIBE a proposé de renforcer la proposition de la Commission
en prévoyant des amendes pouvant atteindre 5 % du chiffre d'affaires
annuel mondial de l'entreprise. [20] La Commission prend acte du fait que, lors de son vote du 21
octobre 2013, la commission LIBE a soutenu le durcissement des obligations et
des responsabilités des sous-traitants, et notamment les dispositions de
l'article 26 de la proposition de règlement. [21] Les conclusions du Conseil européen d'octobre 2013
indiquent que: «Il est important de renforcer la confiance des citoyens et des
entreprises dans l'économie numérique. L'adoption en temps voulu d'un cadre
général rigoureux de l'UE sur la protection des données et de la directive
relative à la cybersécurité est essentielle pour l'achèvement du marché unique
numérique d'ici 2015». [22] En particulier, en vertu de l'article 3 de la décision
relative à la sphère de sécurité, ce type de suspensions peuvent être
appliquées dans les cas où il est fort probable que les principes sont violés;
où il y a tout lieu de croire que l'instance d'application concernée ne prend
pas ou ne prendra pas en temps voulu les mesures qui s'imposent en vue de
régler l'affaire en question; où la poursuite du transfert ferait courir aux
personnes concernées un risque imminent de subir des dommages graves; et où les
autorités compétentes des États membres se sont raisonnablement efforcées,
compte tenu des circonstances, d'avertir l'organisation et de lui donner la
possibilité de répondre. [23] Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit, communiqué de presse du 24 juillet 2013. [24] Voir le passage pertinent du communiqué de presse commun
publié à la suite de la réunion ministérielle «Justice et affaires intérieures»
UE-USA du 18 novembre 2013 à Washington: «We are therefore, as
a matter of urgency, committed to advancing rapidly in the negotiations on a
meaningful and comprehensive data protection umbrella agreement in the field of
law enforcement. [Nous nous sommes donc, d'urgence,
engagés à progresser rapidement dans les négociations en vue d'un accord-cadre
constructif et global sur la protection des données dans le domaine répressif.] The agreement would act as a basis to facilitate
transfers of data in the context of police and judicial cooperation in criminal
matters by ensuring a high level of personal data protection for U.S. and EU citizens. [Cet
accord devrait servir de base pour faciliter les transferts de données dans le
cadre de la coopération policière et judiciaire en matière pénale, tout en
garantissant aux ressortissants américains et aux citoyens de l’UE un niveau
élevé de protection des données à caractère personnel.] We are committed to working to resolve the
remaining issues raised by both sides, including judicial redress (a critical
issue for the EU). [Nous sommes déterminés à résoudre les dernières
questions soulevées par les deux parties, y compris celle des voies de recours
juridictionnel (question cruciale pour l’UE).] Our aim is to complete the negotiations on the agreement ahead of
summer 2014.» [Notre
objectif est d'achever les négociations relatives à cet accord avant l'été 2014.] [25] Voir le passage pertinent du communiqué de presse commun
publié à la suite de la réunion ministérielle «Justice et affaires intérieures»
UE-USA du 18 novembre 2013 à Washington: «We also underline the value of the
EU-U.S. Mutual Legal Assistance Agreement. [Nous soulignons également la
valeur de l'accord UE-USA relatif à l'entraide judiciaire.] We reiterate our commitment to ensure that it is used broadly and
effectively for evidence purposes in criminal proceedings. [Nous réaffirmons notre engagement à faire en
sorte qu’il soit appliqué largement et efficacement à des fins d'obtention de
preuves dans le cadre des procédures pénales.] There
were also discussions on the need to clarify that personal data held by private
entities in the territory of the other party will not be accessed by law
enforcement agencies outside of legally authorized channels. [Des discussions ont également porté sur la
nécessité de préciser que les données à caractère personnel détenues par des
entités privées sur le territoire de l’autre partie ne seraient pas accessibles
aux services répressifs en dehors des voies légales autorisées.] We also agree to review the functioning of the Mutual Legal
Assistance Agreement, as contemplated in the Agreement, and to consult each
other whenever needed.» [Nous
convenons également de réexaminer le fonctionnement de l’accord sur l'entraide
judiciaire, ainsi que ce dernier le prévoit, et de nous consulter chaque fois
que cela sera nécessaire.] [26] Voir, à cet égard, le projet de résolution proposé à
l’Assemblée générale des Nations unies, par l’Allemagne et le Brésil, appelant
à la protection de la vie privée aussi bien en ligne que hors ligne. [27] Les États-Unis
sont déjà partie à une autre convention du Conseil de l'Europe, à savoir la
convention de 2001 sur la cybercriminalité (également dénommée la «convention
de Budapest»).