EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 22016A1210(01)

Accord entre les États-Unis d'Amérique et l'Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière

OJ L 336, 10.12.2016, p. 3–13 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

10.12.2016   

FR

Journal officiel de l'Union européenne

L 336/3


TRADUCTION

ACCORD

entre les États-Unis d'Amérique et l'Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière

TABLE DES MATIÈRES

Préambule

Article 1:

Objet de l'accord

Article 2:

Définitions

Article 3:

Champ d'application

Article 4:

Non-discrimination

Article 5:

Effet de l'accord

Article 6:

Limitation des finalités et de l'utilisation

Article 7:

Transfert ultérieur

Article 8:

Préservation de la qualité et de l'intégrité des informations

Article 9:

Sécurité des informations:

Article 10:

Notification d'un incident relatif à la sécurité des informations

Article 11:

Tenue de dossiers

Article 12:

Durée de conservation

Article 13:

Catégories particulières d'informations à caractère personnel

Article 14:

Obligation de rendre compte

Article 15:

Décisions automatisées

Article 16:

Accès

Article 17:

Rectification

Article 18:

Recours administratif

Article 19:

Recours juridictionnel

Article 20:

Transparence

Article 21:

Contrôle effectif

Article 22:

Coopération entre les autorités de contrôle

Article 23:

Réexamen conjoint

Article 24:

Notification

Article 25:

Consultation

Article 26:

Suspension

Article 27:

Application territoriale

Article 28:

Durée de l'accord

Article 29:

Entrée en vigueur et dénonciation


CONSCIENTS que les États-Unis et l'Union européenne sont déterminés à garantir un niveau élevé de protection des informations à caractère personnel échangées à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d'enquêtes et de poursuites en la matière;

ENTENDANT établir un cadre juridique durable pour faciliter l'échange d'informations, ce qui est essentiel pour prévenir et détecter les infractions pénales, dont le terrorisme, enquêter et engager des poursuites en la matière, afin de protéger leurs sociétés démocratiques respectives et les valeurs qui leur sont communes;

ENTENDANT, en particulier, établir des normes de protection pour les échanges d'informations à caractère personnel sur la base des accords tant existants que futurs, entre les États-Unis et l'Union européenne et ses États membres, dans le domaine de la prévention et de la détection des infractions pénales, dont le terrorisme, des enquêtes et des poursuites en la matière;

RECONNAISSANT que certains accords existants entre les Parties en ce qui concerne le traitement des informations à caractère personnel établissent que ces accords offrent un niveau suffisant de protection des données dans leur champ d'application, les Parties affirment que le présent accord ne devrait pas être interprété comme modifiant ces accords, les subordonnant à certaines conditions ou y dérogeant; notant toutefois que les obligations établies à l'article 19 du présent accord sur le recours juridictionnel s'appliqueraient à l'égard de tous les transferts relevant du champ d'application du présent accord, et ce sans préjudice de toute future révision ou modification desdits accords existants en vertu de leurs dispositions;

RECONNAISSANT les longues traditions de respect de la vie privée des personnes qui caractérisent les deux Parties, notamment telles qu'elles ressortent des principes de respect de la vie privée et de protection des données à caractère personnel traitées à des fins répressives qui ont été définis par le groupe de contact à haut niveau UE/États-Unis sur l'échange d'informations, le respect de la vie privée et la protection des données à caractère personnel, de la Charte des droits fondamentaux de l'Union européenne et de la législation applicable de l'Union européenne, de la Constitution des États-Unis et de la législation applicable des États-Unis, et des principes de déontologie de l'information de l'Organisation de coopération et de développement économiques; et

RECONNAISSANT les principes de proportionnalité et de nécessité, et de pertinence et du caractère raisonnable, tels qu'ils sont mis en œuvre par les Parties dans leurs cadres juridiques respectifs;

LES ÉTATS-UNIS D'AMÉRIQUE ET L'UNION EUROPÉENNE SONT CONVENUS DE CE QUI SUIT:

Article 1

Objet de l'accord

1.   Le présent accord a pour objet de garantir un niveau élevé de protection des informations à caractère personnel et de renforcer la coopération entre les États-Unis et l'Union européenne et ses États membres en ce qui concerne la prévention et la détection des infractions pénales, dont le terrorisme, les enquêtes et les poursuites en la matière.

2.   À cette fin, le présent accord établit le cadre de la protection des informations à caractère personnel lors de leur transfert entre les États-Unis, d'une part, et l'Union européenne ou ses États membres, d'autre part.

3.   Le présent accord ne saurait, en soi, constituer la base juridique d'éventuels transferts d'informations à caractère personnel. Une base juridique est toujours requise pour de tels transferts.

Article 2

Définitions

Aux fins du présent accord, on entend par:

1)

«informations à caractère personnel», toute information concernant une personne physique identifiée ou identifiable. Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

2)

«traitement d'informations à caractère personnel», toute opération ou ensemble d'opérations impliquant la collecte, la conservation, l'utilisation, la modification, l'organisation ou la structuration, la divulgation ou la diffusion, ou la mise à disposition;

3)

«Parties», l'Union européenne et les États-Unis d'Amérique;

4)

«État membre», un État membre de l'Union européenne;

5)

«autorité compétente», pour les États-Unis, une autorité répressive nationale des États-Unis chargée de la prévention et de la détection des infractions pénales, dont le terrorisme, des enquêtes et des poursuites en la matière et, pour l'Union européenne, une autorité de l'Union européenne, et une autorité d'un État membre, chargées de la prévention et de la détection des infractions pénales, dont le terrorisme, des enquêtes et des poursuites en la matière.

Article 3

Champ d'application

1.   Le présent accord s'applique aux informations à caractère personnel transférées entre les autorités compétentes d'une Partie et les autorités compétentes de l'autre Partie, ou transférées autrement conformément à un accord conclu entre les États-Unis et l'Union européenne ou ses États membres à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d'enquêtes et de poursuites en la matière.

2.   Le présent accord ne porte ni atteinte ni préjudice aux transferts ou aux autres formes de coopération entre les autorités des États membres et celles des États-Unis, autres que celles visées à l'article 2, paragraphe 5, chargées d'assurer la sécurité nationale.

Article 4

Non-discrimination

Chaque Partie se conforme aux obligations qui lui incombent au titre du présent accord aux fins de protéger les informations à caractère personnel de ses propres ressortissants et des ressortissants de l'autre Partie, indépendamment de leur nationalité, et sans discrimination arbitraire et injustifiée.

Article 5

Effet de l'accord

1.   Le présent accord complète, le cas échéant, mais ne remplace pas, les dispositions relatives à la protection des informations à caractère personnel dans les accords internationaux entre les Parties, ou entre les États-Unis et les États membres, qui portent sur des questions relevant de son champ d'application.

2.   Les Parties prennent toutes les mesures nécessaires pour mettre en œuvre le présent accord, et notamment leurs obligations respectives qui en découlent en matière d'accès, de rectification et de recours administratif et juridictionnel pour les personnes physiques. Les personnes physiques et les personnes morales bénéficient des mesures de protection et des voies de droit prévues dans le présent accord selon les modalités de mise en œuvre adoptées dans la législation nationale applicable de chaque Partie. En ce qui concerne les États-Unis, leurs obligations s'appliquent dans le respect des principes fondamentaux du fédéralisme.

3.   En application du paragraphe 2, le traitement des informations à caractère personnel par les États-Unis, ou par l'Union européenne et ses États membres, dans les matières relevant du champ d'application du présent accord, est réputé conforme à leur législation respective sur la protection des données limitant les transferts internationaux d'informations à caractère personnel ou les subordonnant à certaines conditions, et aucune autre autorisation n'est exigée en vertu de cette législation.

Article 6

Limitation des finalités et de l'utilisation

1.   Le transfert d'informations à caractère personnel est effectué à des fins précises autorisées par la base juridique du transfert visée à l'article 1.

2.   Le traitement ultérieur d'informations à caractère personnel par une Partie ne peut être incompatible avec les finalités pour lesquelles ces informations ont été transférées. Par «traitement compatible», on entend un traitement conforme aux accords internationaux et aux cadres internationaux écrits en vigueur dans le domaine de la prévention et de la détection de la grande criminalité, des enquêtes et des poursuites en la matière. Tout traitement d'informations à caractère personnel de ce type par d'autres autorités répressives, réglementaires ou administratives nationales respecte les autres dispositions du présent accord.

3.   Le présent article ne porte pas atteinte à la possibilité, pour l'autorité compétente qui transfère les informations (autorité compétente émettrice), d'imposer des conditions supplémentaires dans une affaire précise, dans la mesure où le cadre juridique applicable au transfert l'y autorise. Ces conditions ne peuvent consister en des conditions générales de protection des données, à savoir en des conditions imposées qui seraient sans rapport avec les faits de l'espèce. Si le transfert des informations est subordonné à certaines conditions, l'autorité compétente qui reçoit les informations (autorité compétente destinataire) se conforme auxdites conditions. L'autorité compétente qui fournit les informations peut également demander au destinataire de l'informer sur l'utilisation qui a été faite des informations transférées.

4.   Lorsque les États-Unis, d'une part, et l'Union européenne ou un État membre, d'autre part, concluent un accord concernant le transfert d'informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, les finalités spécifiées pour lesquelles les informations sont transférées et traitées sont précisées dans ledit accord.

5.   Les parties s'assurent, en application de leur législation respective, que les informations à caractère personnel sont traitées d'une manière directement pertinente et non excessive ou trop générale au regard des finalités du traitement.

Article 7

Transfert ultérieur

1.   Lorsqu'une autorité compétente d'une Partie a transféré à une autorité compétente de l'autre Partie des informations à caractère personnel relatives à une affaire précise, ces informations ne peuvent être transférées à un État non lié par le présent accord ou à un organisme international que sous réserve de l'accord préalable de l'autorité compétente ayant initialement envoyé lesdites informations.

2.   Lorsqu'elle consent à un transfert au sens du paragraphe 1, l'autorité compétente ayant initialement transféré les informations tient dûment compte de tous les éléments pertinents, notamment la gravité de l'infraction, la finalité pour laquelle les données ont été initialement transférées et le fait que l'État ou l'organisme international en question garantit un niveau approprié de protection des informations à caractère personnel. Elle peut aussi subordonner le transfert au respect de certaines conditions.

3.   Lorsque les États-Unis, d'une part, et l'Union européenne ou un État membre, d'autre part, concluent un accord concernant le transfert d'informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, le transfert ultérieur d'informations à caractère personnel est subordonné au respect de certaines conditions énoncées dans l'accord justifiant dûment ledit transfert. L'accord prévoit également des mécanismes d'information appropriés entre les autorités compétentes.

4.   Aucune disposition du présent article ne peut être interprétée comme portant atteinte à une quelconque exigence, obligation ou pratique en vertu de laquelle l'accord préalable de l'autorité compétente ayant initialement transféré les informations doit être obtenu avant leur transfert ultérieur à un État ou à un organisme lié par le présent accord, pour autant que le niveau de protection des données dans ledit État ou organisme ne puisse justifier une opposition à de tels transferts ou leur subordination au respect de certaines conditions.

Article 8

Préservation de la qualité et de l'intégrité des informations

Les Parties prennent des mesures raisonnables pour garantir que les informations à caractère personnel sont conservées avec l'exactitude, la pertinence, l'actualité et l'exhaustivité nécessaires et appropriées à un traitement licite des informations. À cette fin, les autorités compétentes mettent en place des procédures visant à garantir la qualité et l'intégrité des informations à caractère personnel, notamment les suivantes:

a)

les mesures visées à l'article 17;

b)

lorsque l'autorité compétente émettrice a connaissance de doutes sérieux quant à la pertinence, l'actualité, l'exhaustivité ou l'exactitude de ces informations à caractère personnel ou d'une évaluation qu'elle a transférée, elle en informe, dans la mesure du possible, l'autorité compétente destinataire;

c)

lorsque l'autorité compétente destinataire a connaissance de doutes sérieux quant à la pertinence, l'actualité, l'exhaustivité ou l'exactitude d'informations à caractère personnel reçues d'une autorité publique, ou d'une évaluation, faite par l'autorité compétente émettrice, de l'exactitude d'informations ou de la fiabilité d'une source, elle en informe, dans la mesure du possible, ladite autorité compétente émettrice.

Article 9

Sécurité des informations

Les Parties veillent à mettre en place des dispositifs techniques, organisationnels et de sécurité afin de protéger les informations à caractère personnel contre tous les risques suivants:

a)

la destruction accidentelle ou illicite;

b)

la perte accidentelle; et

c)

la divulgation, la modification, l'accès ou tout autre traitement non autorisé.

Ces dispositifs comprennent des garanties appropriées en ce qui concerne l'autorisation requise pour accéder à des informations à caractère personnel.

Article 10

Notification d'un incident relatif à la sécurité des informations

1.   Lors de la découverte d'un incident impliquant la perte ou la destruction accidentelle d'informations à caractère personnel, l'accès non autorisé à de telles informations ou leur divulgation ou leur modification non autorisée, et présentant un risque important de préjudice, l'autorité compétente destinataire évalue rapidement la probabilité et l'ampleur du préjudice qui pourrait être causé aux personnes concernées et à l'intégrité du programme de l'autorité compétente émettrice, et prend rapidement les mesures appropriées pour l'atténuer.

2.   Les mesures destinées à atténuer le préjudice incluent la notification de l'incident à l'autorité compétente émettrice. Toutefois, la notification peut:

a)

prévoir des restrictions appropriées quant à sa transmission ultérieure;

b)

être retardée ou omise lorsqu'elle risque de compromettre la sécurité nationale;

c)

être retardée lorsqu'elle risque de compromettre des opérations d'ordre public.

3.   Les mesures destinées à atténuer le préjudice incluent également la notification de l'incident à la personne concernée lorsque les circonstances de l'incident le justifient, à moins que cette notification ne risque de compromettre:

a)

l'ordre public ou la sécurité nationale;

b)

des recherches, des enquêtes ou des procédures officielles;

c)

la prévention et la détection d'infractions pénales, des enquêtes ou des poursuites en la matière;

d)

les droits et libertés de tiers, notamment la protection des victimes et des témoins.

4.   Les autorités compétentes impliquées dans le transfert des informations à caractère personnel peuvent procéder à des consultations au sujet de l'incident et des réponses à y apporter.

Article 11

Tenue de dossiers

1.   Les Parties mettent en place des méthodes efficaces pour démontrer la licéité du traitement des données à caractère personnel, qui peuvent inclure l'utilisation de journaux, ainsi que d'autres formes de dossiers.

2.   Les autorités compétentes peuvent utiliser ces journaux ou dossiers pour assurer la bonne tenue des bases de données ou des fichiers concernés, garantir l'intégrité et la sécurité des données et, au besoin, suivre des procédures de sauvegarde.

Article 12

Durée de conservation

1.   Les Parties prévoient dans leur cadre juridique applicable des durées de conservation spécifiques pour les dossiers contenant des informations à caractère personnel, afin de garantir que ces informations ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié. Ces durées tiennent compte de la finalité du traitement, de la nature des données et de l'autorité qui les traite, de l'incidence sur les droits et intérêts des personnes touchées, ainsi que d'autres considérations juridiques applicables.

2.   Lorsque les États-Unis, d'une part, et l'Union européenne ou un État membre, d'autre part, concluent un accord concernant le transfert d'informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, cet accord doit comporter une disposition spécifique et convenue d'un commun accord sur les durées de conservation.

3.   Les Parties prévoient des procédures de réexamen périodique de la durée de conservation en vue de déterminer si des circonstances nouvelles imposent de modifier la durée applicable.

4.   Les parties publient ces durées de conservation ou les portent à la connaissance du grand public par d'autres moyens.

Article 13

Catégories particulières d'informations à caractère personnel

1.   Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou autres, ou l'appartenance à un syndicat, ou relatives à la santé ou à la vie sexuelle n'a lieu que sous réserve des garanties appropriées conformément à la législation. Ces garanties peuvent consister à: limiter les finalités pour lesquelles ces informations peuvent être traitées, par exemple n'autoriser le traitement qu'au cas par cas; masquer, supprimer ou verrouiller ces informations une fois que la finalité pour laquelle elles ont été traitées est atteinte; restreindre le personnel autorisé à accéder à ces informations; exiger une formation spécialisée du personnel ayant accès à ces informations; subordonner l'accès à ces informations à l'autorisation d'une autorité de contrôle; ou en d'autres mesures de protection. Ces garanties tiennent dûment compte de la nature des informations, de leur caractère particulièrement sensible et de la finalité pour laquelle elles sont traitées.

2.   Lorsque les États-Unis, d'une part, et l'Union européenne ou un État membre, d'autre part, concluent un accord concernant le transfert d'informations à caractère personnel autres que des informations se rapportant à des affaires, enquêtes ou poursuites précises, cet accord précisera les normes et les conditions applicables au traitement de ces informations, en tenant dûment compte de leur nature et de la finalité pour laquelle elles sont utilisées.

Article 14

Obligation de rendre compte

1.   Les Parties mettent en place des mesures visant à promouvoir l'obligation de rendre compte du traitement des informations à caractère personnel effectué dans le cadre du présent accord par leurs autorités compétentes et par leurs autres autorités auxquelles ces informations ont été transférées. Ces mesures incluent la notification des garanties applicables aux transferts d'informations à caractère personnel effectués en application du présent accord, et des conditions pouvant avoir été imposées par l'autorité compétente émettrice en vertu de l'article 6, paragraphe 3. Les fautes graves font l'objet de sanctions pénales, civiles ou administratives appropriées et dissuasives.

2.   Les mesures énoncées au paragraphe 1 incluent, le cas échéant, l'arrêt des transferts d'informations à caractère personnel aux autorités des entités territoriales constitutives des Parties non couvertes par le présent accord qui n'ont pas protégé efficacement ces informations, compte tenu de l'objet du présent accord, et notamment des dispositions du présent accord relatives à la limitation des finalités et de l'utilisation et au transfert ultérieur.

3.   En cas d'allégations d'application abusive du présent article, une Partie peut demander à l'autre de lui fournir des informations à cet égard, notamment, le cas échéant, concernant les mesures prises au titre du présent article.

Article 15

Décisions automatisées

Les décisions produisant des effets préjudiciables significatifs pour les intérêts pertinents de la personne concernée ne peuvent être fondées uniquement sur le traitement automatisé d'informations à caractère personnel sans intervention humaine, sauf si le droit interne l'autorise, et moyennant des garanties appropriées, telles que la possibilité d'obtenir une intervention humaine.

Article 16

Accès

1.   Les Parties veillent à ce que toute personne puisse demander l'accès aux informations à caractère personnel la concernant et, sous réserve des restrictions prévues au paragraphe 2, puisse l'obtenir. Cet accès est demandé et obtenu auprès d'une autorité compétente conformément au cadre juridique applicable dans l'État où il est demandé réparation.

2.   L'obtention de ces informations dans une affaire précise peut faire l'objet de restrictions raisonnables prévues par le droit interne, compte tenu des intérêts légitimes de la personne concernée, de manière à:

a)

protéger les droits et libertés de tiers, notamment leur vie privée;

b)

garantir l'ordre public et la sécurité nationale;

c)

protéger les informations sensibles du point de vue des autorités répressives;

d)

éviter de gêner des recherches, des enquêtes ou des procédures officielles ou judiciaires;

e)

éviter de nuire à la prévention et à la détection d'infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l'exécution de sanctions pénales;

f)

protéger autrement des intérêts prévus dans la législation en matière de liberté d'information et d'accès public aux documents.

3.   L'accès d'une personne à ses informations à caractère personnel n'est pas subordonné à des dépenses excessives.

4.   Lorsque le droit interne applicable le permet, une personne peut mandater une autorité de contrôle ou un autre représentant pour demander l'accès en son nom.

5.   Si l'accès est refusé ou restreint, l'autorité compétente requise communique sans retard indu à la personne concernée ou à son représentant dûment mandaté au sens du paragraphe 4 les motifs du refus ou de la restriction d'accès.

Article 17

Rectification

1.   Les parties veillent à ce que toute personne puisse demander la correction ou la rectification d'informations à caractère personnel la concernant qu'elle considère soit comme inexactes, soit comme ayant fait l'objet d'un traitement abusif. La correction ou la rectification peuvent consister à compléter, effacer ou verrouiller des informations, ou en d'autres mesures ou méthodes destinées à remédier aux inexactitudes ou au traitement abusif. Une telle correction ou rectification est demandée et obtenue auprès d'une autorité compétente conformément au cadre juridique applicable dans l'État où il est demandé réparation.

2.   Lorsque l'autorité compétente destinataire conclut, à la suite:

a)

d'une demande au sens du paragraphe 1;

b)

d'une notification de l'entité ayant fourni les informations; ou

c)

de ses propres enquêtes ou recherches,

que les informations qu'elle a reçues au titre du présent accord sont inexactes ou ont fait l'objet d'un traitement abusif, elle prend des mesures visant à les compléter, effacer ou verrouiller, ou applique d'autres méthodes de correction ou de rectification, selon le cas.

3.   Lorsque le droit interne applicable le permet, une personne peut mandater une autorité de contrôle ou un autre représentant pour demander en son nom la correction ou la rectification d'informations.

4.   Si une telle correction ou rectification est refusée ou restreinte, l'autorité compétente requise communique sans retard indu à la personne concernée ou à son représentant dûment mandaté au sens du paragraphe 3 les motifs du refus ou de la restriction de correction ou de rectification.

Article 18

Recours administratif

1.   Les Parties veillent à ce que toute personne puisse former un recours administratif lorsqu'elle estime que sa demande d'accès au sens de l'article 16 ou de rectification d'informations inexactes ou ayant fait l'objet d'un traitement abusif au sens de l'article 17 a été indûment refusée. Un tel recours est formé auprès d'une autorité compétente conformément au cadre juridique applicable dans l'État où il est demandé réparation.

2.   Lorsque le droit interne applicable le permet, une personne peut mandater une autorité de contrôle ou un autre représentant pour former ce recours en son nom.

3.   L'autorité compétente saisie procède aux recherches et vérifications appropriées et, sans retard indu, communique par écrit, notamment par voie électronique, ses conclusions, y compris toute amélioration ou correction apportée le cas échéant. La notification des autres voies de recours administratif est conforme aux dispositions de l'article 20.

Article 19

Recours juridictionnel

1.   Les Parties prévoient dans leur cadre juridique applicable que, sous réserve de toute obligation d'avoir d'abord épuisé les voies de recours administratif, tout citoyen d'une Partie peut former un recours juridictionnel en cas de:

a)

refus d'une autorité compétente de lui donner accès au dossier contenant ses informations à caractère personnel;

b)

refus d'une autorité compétente de modifier un dossier contenant ses informations à caractère personnel; et

c)

divulgation illicite de telles informations, de propos délibéré, avec la possibilité de demander des dommages-intérêts compensatoires.

2.   Un tel recours juridictionnel est formé auprès d'une autorité compétente conformément au cadre juridique applicable dans l'État où il est demandé réparation.

3.   Les paragraphes 1 et 2 sont sans préjudice de toute autre voie de recours juridictionnel concernant le traitement d'informations à caractère personnel prévue par la législation de l'État où il est demandé réparation.

4.   En cas de suspension ou de dénonciation de l'accord, l'article 26, paragraphe 2, ou l'article 29, paragraphe 3, ne créent pas de base pour former un recours juridictionnel qui n'est plus disponible en vertu du droit de la Partie concernée.

Article 20

Transparence

1.   Les Parties notifient à la personne concernée, éventuellement par l'intermédiaire des autorités compétentes, par voie de publication de notifications générales ou d'une notification individuelle, sous une forme et dans le délai prévus par le droit applicable à l'autorité notifiante, les éléments suivants:

a)

les finalités du traitement, par cette autorité, de ses informations à caractère personnel;

b)

les finalités pour lesquelles ses informations à caractère personnel peuvent être partagées avec d'autres autorités;

c)

les dispositions législatives ou réglementaires régissant le traitement de ses informations à caractère personnel;

d)

les tiers auxquels ses informations à caractère personnel sont divulguées; et

e)

ses droits en matière d'accès, de correction ou de rectification, et de recours.

2.   Cette obligation de notification fait l'objet de restrictions raisonnables en droit interne sur la base des intérêts énoncés à l'article 16, paragraphe 2, points a) à f).

Article 21

Contrôle effectif

1.   Les parties mettent en place une ou plusieurs autorités publiques de contrôle qui:

a)

exercent en toute indépendance des fonctions et des pouvoirs de contrôle, y compris de réexamen, d'enquête et d'intervention, le cas échéant de leur propre initiative;

b)

sont compétentes pour connaître des plaintes des particuliers à l'égard des mesures d'application du présent accord, et y faire droit; et

c)

sont compétentes pour signaler des infractions à la législation liées au présent accord aux fins d'une action pénale ou disciplinaire, le cas échéant.

2.   L'Union européenne prévoit un contrôle au sens du présent article par l'intermédiaire de ses autorités chargées de la protection des données et de celles des États membres.

3.   Les États-Unis prévoient un contrôle au sens du présent article de manière cumulative par l'intermédiaire de plusieurs autorités, telles que les inspecteurs généraux (inspectors general), les directeurs généraux chargés de la protection de la vie privée (chief privacy officers), l'organisme d'audit du Congrès (Government Accountability Office), la commission de surveillance du respect de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board) et d'autres organes exécutifs et législatifs de contrôle du respect de la vie privée ou des libertés civiles.

Article 22

Coopération entre les autorités de contrôle

1.   Des consultations entre les autorités de contrôle visées à l'article 21 ont lieu, au besoin, en ce qui concerne l'exercice des fonctions relatives au présent accord, en vue de garantir une mise en œuvre effective des dispositions des articles 16, 17 et 18.

2.   Les parties établissent des points de contact nationaux qui aideront à déterminer l'autorité de contrôle à laquelle s'adresser dans une affaire donnée.

Article 23

Réexamen conjoint

1.   Les parties procèdent à des réexamens périodiques conjoints des politiques et des procédures mettant en œuvre le présent accord et de leur efficacité. Ces réexamens conjoints accordent une attention particulière à la mise en œuvre effective des garanties prévues à l'article 14 relatif à l'obligation de rendre compte, à l'article 16 relatif à l'accès, à l'article 17 relatif à la rectification, à l'article 18 relatif au recours administratif et à l'article 19 relatif au recours juridictionnel.

2.   Le premier réexamen conjoint est réalisé au plus tard trois ans après la date d'entrée en vigueur du présent accord et, ensuite, à intervalles réguliers. Les parties conviennent à l'avance des modalités et des conditions de réexamen et se communiquent la composition de leurs délégations respectives, qui comprennent des représentants des autorités publiques de contrôle visées à l'article 21 relatif au contrôle effectif et des autorités répressives et judiciaires. Les conclusions du réexamen conjoint sont rendues publiques.

3.   Lorsque les Parties ou les États-Unis et un État membre ont conclu un autre accord, dont l'objet relève également du champ d'application du présent accord, qui prévoit des réexamens conjoints, ces derniers ne sont pas reproduits inutilement et leurs conclusions, dans la mesure où elles sont pertinentes, sont intégrées au réexamen conjoint du présent accord.

Article 24

Notification

1.   Les États-Unis notifient à l'Union européenne toute désignation effectuée par les autorités des États-Unis en rapport avec l'article 19, ainsi que tout changement à cet égard.

2.   Les Parties s'efforcent raisonnablement de se notifier mutuellement l'adoption de toutes dispositions législatives ou réglementaires affectant substantiellement la mise en œuvre du présent accord, si possible avant qu'elles ne deviennent effectives.

Article 25

Consultation

Tout litige découlant de l'interprétation ou de l'application du présent accord donne lieu à des consultations entre les Parties afin de trouver une solution mutuellement acceptable.

Article 26

Suspension

1.   En cas de violation substantielle du présent accord, chacune des Parties peut suspendre le présent accord en tout ou en partie, par notification écrite à l'autre Partie par la voie diplomatique. Une telle notification écrite n'intervient qu'en cas d'échec des consultations menées, pendant une durée raisonnable, entre les Parties pour trouver une solution; la suspension prend effet vingt jours après la date de réception de la notification. Une telle suspension peut être levée par la Partie notifiante, moyennant une nouvelle notification écrite à l'autre Partie. La suspension est levée dès réception de cette nouvelle notification.

2.   Nonobstant toute suspension éventuelle du présent accord, les données à caractère personnel relevant du champ d'application du présent accord et transférées avant sa suspension continuent à être traitées conformément à celui-ci.

Article 27

Application territoriale

1.   Le présent accord ne s'applique au Danemark, au Royaume-Uni ou à l'Irlande que si la Commission européenne notifie par écrit aux États-Unis que le Danemark, le Royaume-Uni ou l'Irlande a décidé d'être lié par son application.

2.   Si la Commission européenne notifie aux États-Unis avant l'entrée en vigueur du présent accord que celui-ci s'appliquera au Danemark, au Royaume-Uni ou à l'Irlande, le présent accord s'applique à cet État dès la date de son entrée en vigueur.

3.   Si la Commission européenne notifie aux États-Unis après l'entrée en vigueur du présent accord que celui-ci s'applique au Danemark, au Royaume-Uni ou à l'Irlande, le présent accord s'applique à cet État le premier jour du mois suivant la réception de cette notification par les États-Unis.

Article 28

Durée de l'accord

Le présent accord est conclu pour une durée illimitée.

Article 29

Entrée en vigueur et dénonciation

1.   Le présent accord entre en vigueur le premier jour du mois suivant la date à laquelle les Parties ont échangé les notifications indiquant qu'elles ont parachevé leurs procédures internes à cet effet.

2.   Chaque Partie peut dénoncer le présent accord en adressant une notification écrite à l'autre Partie par la voie diplomatique. La dénonciation prend effet le trentième jour suivant la date de réception de ladite notification.

3.   Nonobstant toute dénonciation éventuelle du présent accord, les informations à caractère personnel relevant du champ d'application du présent accord et transférées avant sa dénonciation continuent à être traitées conformément à celui-ci.

EN FOI DE QUOI, les plénipotentiaires soussignés ont apposé leur signature au bas du présent accord.

Fait en double exemplaire à Amsterdam, le deux juin deux mille seize, en langue anglaise. Conformément au droit de l'Union européenne, le présent accord est également établi par l'Union européenne en langues allemande, bulgare, croate, danoise, espagnole, estonienne, finnoise, française, grecque, hongroise, italienne, lettone, lituanienne, maltaise, néerlandaise, polonaise, portugaise, roumaine, slovaque, slovène, suédoise et tchèque. Ces autres versions linguistiques peuvent être authentifiées par un échange de notes diplomatiques entre les États-Unis et l'Union européenne. En cas de divergence entre des versions linguistiques faisant foi, la version en langue anglaise prévaut.

Pour l'Union européenne

Pour les États-Unis d'Amérique


Top