52016XX0525(01)

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
EUR-Lex - 52016XX0525(01) - EN

Help

Search tips

Need more search options? Use the Advanced search

Document 52016XX0525(01)

Help

Résumé de l’avis préliminaire relatif à l’accord entre les États-Unis d’Amérique et l’Union européenne concernant la protection des informations à caractère personnel afin de prévenir et de détecter les infractions pénales et de procéder aux enquêtes et poursuites en la matière

JO C 186 du 25.5.2016, pp. 4–6 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

HTML

PDF

Official Journal

25.5.2016

Journal officiel de l'Union européenne

C 186/4

[Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu]

(2016/C 186/04)

Le présent avis découle de l’obligation générale exigeant que les accords internationaux conclus par l’Union soient conformes aux dispositions du traité sur le fonctionnement de l’Union européenne (TFUE) et respectent les droits fondamentaux qui forment le noyau du droit de l’Union. En particulier, l’évaluation vise à examiner la conformité du contenu de l’Umbrella Agreement (accord-cadre) avec les articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 16 TFUE, qui garantissent la protection des données à caractère personnel.

SYNTHÈSE

Les enquêtes et poursuites d’infractions constituent un objectif politique légitime, et la coopération internationale, y compris l’échange d’informations, n’a jamais été aussi importante. Jusqu’à présent, l’Union a manqué d’un cadre commun robuste dans ce domaine, de sorte qu’il n’existe pas de garanties cohérentes pour les droits fondamentaux et les libertés des personnes. Comme le préconise le CEPD depuis longtemps, l’Union doit conclure avec des pays tiers des accords viables concernant le partage de données à caractère personnel à des fins répressives, lesquels doivent être pleinement compatibles avec les traités et la Charte des droits fondamentaux de l’Union européenne.

Par conséquent, nous saluons et soutenons activement les efforts déployés par la Commission européenne en vue de conclure un premier Umbrella Agreement avec les États-Unis. Cet accord répressif international a pour objectif de faire en sorte que le partage d’informations se base, pour la première fois, sur la protection des données. Si nous reconnaissons qu’il est impossible de reproduire entièrement la terminologie et les définitions du droit de l’Union dans un accord avec un pays tiers, les garanties pour les personnes doivent être claires et efficaces afin d’être pleinement conformes au droit primaire de l’Union.

Ces dernières années, la Cour de justice de l’Union européenne a confirmé les principes relatifs à la protection des données, y compris l’équité, l’exactitude et la pertinence des informations, la supervision indépendante et les droits individuels des personnes. Ces principes sont importants tant pour les instances publiques que pour les sociétés privées, indépendamment de tout constat d’adéquation officiel de l’Union par rapport aux garanties instaurées par des pays tiers à l’égard de la protection des données. En effet, ces principes deviennent sans cesse plus importants compte tenu de la sensibilité des données nécessaires aux enquêtes pénales.

Le présent avis vise à fournir des recommandations constructives et objectives aux institutions de l’Union alors que la Commission finalise cette tâche délicate, qui a de vastes conséquences non seulement en matière de coopération en matière répressive entre l’Union et les États-Unis, mais aussi pour les accords internationaux futurs. L’«Umbrella Agreement» est distinct du «EU-US Privacy Shield» (bouclier de protection des données UE-États-Unis), récemment annoncé, concernant le transfert d’informations à caractère personnel dans l’environnement commercial, mais doit être examiné en conjonction avec celui-ci. D’autres considérations peuvent s’avérer nécessaires pour analyser l’interaction entre ces deux instruments et la réforme du cadre de protection des données de l’Union.

Avant que l’accord ne soit soumis à l’approbation du Parlement européen, nous encourageons les parties à examiner de près les évolutions significatives intervenues depuis septembre dernier, moment auquel elles ont signalé leur intention de conclure l’accord dès l’adoption du Judicial Redress Act (loi américaine relative au recours juridictionnel). Nous saluons nombre de garanties déjà envisagées, mais celles-ci doivent être renforcées, notamment à la lumière de l’arrêt Schrems rendu en octobre, qui invalide la décision relative à la sphère de sécurité (SAFE Harbor), et de l’accord politique de l’Union relatif à la réforme de la protection des données adopté en décembre, qui couvre les transferts de données et la coopération judiciaire et policière.

Le CEPD a décelé trois améliorations essentielles qu’il recommande d’apporter au texte afin de garantir sa conformité avec la Charte et l’article 16 du traité:

—	clarification selon laquelle toutes les garanties s’appliquent à tous, pas seulement aux ressortissants de l’Union,

—	garantie que les dispositions en matière de recours juridictionnel soient efficaces au sens de la Charte,

—	clarification selon laquelle les transferts massifs de données sensibles ne sont pas autorisés.

L’avis offre des recommandations supplémentaires visant à clarifier les garanties envisagées en joignant à l’accord un document explicatif. Nous nous tenons à la disposition des institutions pour des conseils complémentaires et un dialogue à ce sujet.

I. Contexte de l’accord paraphé

Le 3 décembre 2010, le Conseil a adopté une décision autorisant la Commission à engager des négociations entre l’Union européenne (UE) et les États-Unis en vue de la conclusion d’un accord relatif à la protection des données à caractère personnel lorsqu’elles sont transférées et traitées afin de prévenir et de détecter les infractions pénales, dont les actes terroristes, et de procéder aux enquêtes et poursuites en la matière, dans le cadre de la coopération policière et judiciaire en matière pénale (ci-après, l’«accord») (1).

Les négociations entre la Commission et les États-Unis ont été engagées officiellement le 29 mars 2011 (2). Le 25 juin 2014, le procureur général des États-Unis a annoncé que des mesures législatives allaient être prises afin de prévoir un recours juridictionnel concernant le droit au respect de la vie privée aux États-Unis pour les citoyens de l’Union européenne (3). Au terme de plusieurs cycles de négociations, qui se sont étalés sur plus de quatre ans, l’accord a été paraphé le 8 septembre 2015. D’après la Commission, l’objectif est de signer et de conclure officiellement l’accord uniquement après l’adoption du Judicial Redress Act américain (loi sur le recours juridictionnel) (4).

Le Parlement européen doit approuver le texte paraphé de l’accord tandis que le Conseil doit le signer. Tant que cela n’est pas fait et que l’accord n’a pas été officiellement signé, nous signalons que les négociations peuvent être rouvertes sur des points spécifiques. C’est dans ce contexte que le CEPD rend le présent avis, basé sur le texte paraphé, publié sur le site internet de la Commission (5). Il s’agit d’un avis préliminaire basé sur une première analyse d’un texte juridique complexe, qui est sans préjudice d’éventuelles recommandations supplémentaires qui pourraient être formulées sur la base de nouvelles informations disponibles, y compris les avancées législatives aux États-Unis, comme l’adoption du Judicial Redress Act. Le CEPD a identifié trois points essentiels qui doivent faire l’objet d’améliorations et met également en évidence d’autres aspects pour lesquels d’importantes clarifications sont recommandées. S’il intègre ces améliorations, l’accord peut être considéré comme conforme au droit primaire de l’Union.

V. Conclusions

53.

Le CEPD salue l’intention de prévoir un instrument juridiquement contraignant ayant pour objectif de garantir un niveau élevé de protection des données à caractère personnel transférées entre l’Union et les États-Unis afin de prévenir et de détecter les infractions pénales, dont les actes terroristes, et de procéder aux enquêtes et poursuites en la matière.

54.

La plupart des dispositions fondamentales de l’accord visent à se conformer pleinement ou en partie aux garanties essentielles du droit à la protection des données à caractère personnel dans l’Union (comme les droits de la personne concernée, le contrôle indépendant et le droit à un contrôle judiciaire).

55.

Bien que l’accord ne constitue techniquement pas une décision d’adéquation, il crée une présomption générale de conformité pour les transferts fondés sur une base juridique spécifique, dans le cadre de l’accord. Par conséquent, il est indispensable de garantir que cette «présomption» est renforcée par toutes les garanties nécessaires dans le texte de l’accord, afin d’éviter toute violation de la Charte, en particulier des articles 7, 8 et 47.

56.

Le CEPD recommande d’apporter trois améliorations essentielles au texte afin d’en garantir la conformité avec la Charte et avec l’article 16 TFUE:

1)	clarification selon laquelle toutes les garanties s’appliquent à tous, pas seulement aux ressortissants de l’Union;

2)	garantie que les dispositions en matière de recours juridictionnel soient efficaces au sens de la Charte;

3)	clarification selon laquelle les transferts massifs de données sensibles ne sont pas autorisés.

57.

Par ailleurs, par souci de sécurité juridique, le CEPD recommande que les améliorations ou clarifications suivantes soient apportées au texte de l’accord ou dans les déclarations explicatives à joindre à l’accord, ou lors de la phase de mise en œuvre de l’accord, comme détaillé dans le présent avis:

1)	il conviendrait d’interpréter l’article 5, paragraphe 3, comme respectant le rôle des autorités de contrôle afin qu’il soit conforme à l’article 8, paragraphe 3, de la Charte;

2)	les bases juridiques spécifiques des transferts (article 5, paragraphe 1) doivent satisfaire pleinement aux garanties prévues dans l’accord et, dans le cas de dispositions contradictoires entre une base juridique spécifique et l’accord, ce dernier prévaudra;

3)	dans le cas d’une protection insuffisante des données transférées à des autorités au niveau de l’État, les mesures pertinentes prévues à l’article 14, paragraphe 2, doivent inclure, le cas échéant, des mesures relatives aux données déjà partagées;

les définitions des opérations de traitement et des informations à caractère personnel (article 2) doivent être alignées afin d’être conformes à leur compréhension bien établie au titre du droit de l’Union; si les parties ne s’alignent pas pleinement sur ces définitions, il doit être clarifié, dans les documents explicatifs accompagnant l’accord, que l’application des deux notions ne différera fondamentalement pas de leur compréhension dans le droit de l’Union;

5)	une liste indicative des «conditions spécifiques» dans lesquelles les données sont transférées massivement (article 7, paragraphe 3) pourrait être intégrée dans la déclaration explicative;

6)	les parties entendent appliquer les dispositions relatives aux notifications des violations d’informations (article 10) en vue de limiter autant que possible l’omission des notifications, d’une part, et d’éviter les retards de notification excessifs, d’autre part;

7)	la disposition relative à la conservation des données, prévue à l’article 12, paragraphe 1, est complétée par la précision «aux fins spécifiques pour lesquelles elles ont été transférées» à la lumière du principe de limitation de la finalité invoqué par les parties à l’accord;

8)	les parties à l’accord devraient envisager de redoubler d’efforts afin de garantir que les restrictions à l’exercice du droit d’accès sont limitées à celles qui sont indispensables pour défendre les intérêts généraux énumérés et renforcer l’obligation de transparence;

il conviendrait qu’une déclaration explicative détaillée à l’accord détaille spécifiquement (article 21):

—	les autorités de contrôle qui sont compétentes en la matière et le mécanisme permettant aux parties de s’informer mutuellement sur les changements futurs,

—	les pouvoirs effectifs qu’elles peuvent exercer,

—	l’identité et les coordonnées du point de contact qui aidera à l’identification de l’organe de contrôle compétent (voir l’article 22, paragraphe 2).

58.

Enfin, le CEPD tient à rappeler que toute interprétation, toute application et toute mesure de mise en œuvre de l’accord doit être, dans le cas d’un manque de clarté et de conflit manifeste entre des dispositions, conforme aux principes constitutionnels de l’Union, en particulier à l’article 16 TFUE et aux articles 7 et 8 de la Charte, indépendamment des améliorations qu’il serait bienvenu d’apporter en application des recommandations formulées dans le présent avis.

Fait à Bruxelles, le 12 février 2016.

Giovanni BUTTARELLI

Contrôleur européen de la protection des données

(1) Voir MEMO 10/1661 de la Commission européenne, publié le 3 décembre 2010, disponible à l’adresse http://europa.eu/rapid/press-release_IP-10-1661_fr.htm

(2) Voir MEMO 11/203 de la Commission européenne, publié le 29 mars 2011, disponible à l’adresse http://europa.eu/rapid/press-release_MEMO-11-203_en.htm

(3) Voir le communiqué de presse 14-668 du bureau du procureur général, publié le 25 juin 2014, disponible à l’adresse http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress

(4) Voir MEMO 15/5612 de la Commission européenne, publié le 8 septembre 2015, disponible à l’adresse http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm

(5) Texte disponible à l’adresse http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf

Top

Choose the experimental features you want to try