(1)

Le règlement (UE) 2016/679 (2) fixe les règles applicables au transfert de données à caractère personnel, par des responsables du traitement ou des sous-traitants au sein de l’Union, vers des pays tiers et à des organisations internationales, dans la mesure où ces transferts relèvent de son champ d’application. Le chapitre V de ce règlement définit les règles applicables aux transferts internationaux de données. Bien que les flux de données à caractère personnel à destination et en provenance de pays en dehors de l’Union européenne soient nécessaires au développement du commerce transfrontière et de la coopération internationale, le niveau de protection conféré aux données à caractère personnel au sein de l’Union ne doit pas être compromis par des transferts vers des pays tiers ou des organisations internationales (3).

(2)

En vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, la Commission peut décider, par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers assure(nt) un niveau de protection adéquat. Dans cette circonstance, les transferts de données à caractère personnel vers un pays tiers peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation, comme prévu à l’article 45, paragraphe 1, et au considérant 103 dudit règlement.

(3)

Comme précisé à l’article 45, paragraphe 2, du règlement (UE) 2016/679, l’adoption d’une décision d’adéquation doit reposer sur une analyse approfondie de l’ordre juridique du pays tiers, en ce qui concerne tant les règles applicables aux importateurs de données que les limitations et les garanties en matière d’accès des autorités publiques aux données à caractère personnel. Dans son évaluation, la Commission doit déterminer si le pays tiers en question assure un niveau de protection «essentiellement équivalent» à celui qui est garanti dans l’Union [considérant 104 du règlement (UE) 2016/679]. Cette question doit être évaluée au regard de la législation de l’Union, notamment le règlement (UE) 2016/679, ainsi que de la jurisprudence de la Cour de justice de l’Union européenne (ci-après la «Cour de justice») (4).

(4)

Comme l’a précisé la Cour de justice dans son arrêt du 6 octobre 2015 dans l’affaire C-362/14, Maximillian Schrems/Data Protection Commissioner (5) (ci-après l’«arrêt Schrems»), il n’est pas nécessaire de constater un niveau de protection identique. En particulier, les moyens auxquels ce pays tiers a recours aux fins de la protection des données à caractère personnel peuvent être différents de ceux mis en œuvre au sein de l’Union, pour autant qu’ils s’avèrent, en pratique, effectifs afin d’assurer un niveau de protection adéquat (6). Le principe d’adéquation n’exige donc pas que l’on reproduise à l’identique les règles de l’Union. Il s’agit plutôt de déterminer si le système étranger offre, dans son ensemble, par l’essence de ses droits en matière de protection des données et leur mise en œuvre effective, leur opposabilité et le contrôle de leur application, le niveau requis de protection (7). En outre, selon cet arrêt, lors de l’application de ce principe, la Commission devrait notamment évaluer si le cadre juridique du pays tiers en question prévoit des règles destinées à limiter les ingérences dans les droits fondamentaux des personnes dont les données sont transférées depuis l’Union, ingérences que des entités étatiques de ce pays seraient autorisées à pratiquer lorsqu’elles poursuivent des buts légitimes, tels que la sécurité nationale, et offre une protection juridique efficace contre des ingérences de cette nature (8). Les critères de référence pour l’adéquation du comité européen de la protection des données, qui ont pour but de préciser davantage ce principe, fournissent également des orientations à cet égard (9).

(5)

Le principe applicable à de telles ingérences dans les droits fondamentaux au respect de la vie privée et à la protection des données a été précisé par la Cour de justice dans son arrêt du 16 juillet 2020 dans l’affaire C-311/18, Data Protection Commissioner/Facebook Ireland Limited et Maximillian Schrems (l’«arrêt Schrems II»), qui a invalidé la décision d’exécution (UE) 2016/1250 de la Commission (10) relative à un précédent cadre transatlantique de flux de données, le bouclier de protection des données UE - États-Unis. La Cour de justice a considéré que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de données transférées depuis l’Union vers les États-Unis à des fins de sécurité nationale n’étaient pas encadrées d’une manière à répondre à des exigences essentiellement équivalentes à celles requises, en droit de l’Union, au regard de la nécessité et de la proportionnalité de ces ingérences dans le droit à la protection des données (11). La Cour de justice a également estimé qu’il n’existait pas de recours devant un organe qui offre aux personnes dont les données ont été transférées vers les États-Unis des garanties essentiellement équivalentes à celles requises à l’article 47 de la Charte sur le droit à un recours effectif (12).

(6)

À la suite de l’arrêt Schrems II, la Commission a entamé des pourparlers avec le gouvernement américain en vue d’adopter une éventuelle nouvelle décision d’adéquation qui respecterait les exigences de l’article 45, paragraphe 2, du règlement (UE) 2016/679 telles qu’elles ont été interprétées par la Cour de justice. À la suite de ces discussions, les États-Unis ont adopté, le 7 octobre 2022, le décret présidentiel no 14086 sur le renforcement des garanties pour les activités de renseignement d’origine électromagnétique menées par les États-Unis (Executive Order 14086, ci-après l’«EO 14086»), qui est complété par un règlement instituant la Cour chargée du contrôle de la protection des données («Data Protection Review Court») publié par le procureur général des États-Unis (ci-après le «règlement AG») (13). En outre, le cadre qui s’applique aux entités commerciales traitant des données transférées depuis l’Union en vertu de la présente décision — le «cadre de protection des données UE - États-Unis» (ci-après le «CPD UE - États-Unis» ou le «CPD») — a été mis à jour.

(7)

La Commission a soigneusement analysé la législation et les pratiques des États-Unis, y compris l’EO 14086 et le règlement AG. Sur la base des constatations exposées aux considérants 9 à 200, elle conclut que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel transférées, en vertu du CPD UE - États-Unis, par un responsable du traitement ou un sous-traitant de l’Union (14) vers des organisations certifiées aux États-Unis.

(8)

La présente décision a pour effet de permettre aux transferts de données à caractère personnel par des responsables du traitement et sous-traitants de l’Union (15) vers des organisations certifiées aux États-Unis d’avoir lieu sans qu’aucune autorisation doive être obtenue. Elle n’a aucune incidence sur l’application directe du règlement (UE) 2016/679 à ces organisations lorsque les conditions relatives au champ d’application territorial dudit règlement, définies à son article 3, sont remplies.

(9)

Le CPD UE - États-Unis repose sur un système de certification en vertu duquel les organisations américaines s’engagent à respecter une série de principes de protection de la vie privée — les «principes du cadre de protection de la vie privée UE - États-Unis», y compris les principes complémentaires (conjointement les «principes») — qui sont publiés par le ministère américain du commerce et qui figurent à l’annexe I de la présente décision (16). Pour pouvoir prétendre à une certification en vertu du CPD UE - États-Unis, une organisation doit être soumise aux pouvoirs d’enquête et d’exécution de la Federal Trade Commission (FTC) ou du ministère américain des transports (17). Les principes s’appliquent dès la certification. Comme expliqué plus en détail aux considérants 48 à 52, les organisations participant au CPD UE - États-Unis sont tenues de recertifier leur adhésion aux principes sur une base annuelle (18).

(10)

La protection offerte par le CPD UE - États-Unis s’applique à toutes les données à caractère personnel transférées de l’Union vers des organisations aux États-Unis qui ont certifié leur adhésion aux principes auprès du ministère du commerce, à l’exception des données collectées à des fins de publication, de diffusion ou d’autres formes de communication publique, ainsi que les informations qui ont été publiées antérieurement, puis archivées (19). Ces informations ne peuvent donc pas être transférées sur la base du CPD UE - États-Unis.

(11)

Les principes définissent les données à caractère personnel/informations à caractère personnel de la même manière que le règlement (UE) 2016/679, c’est-à-dire comme suit: «toute donnée ou information concernant une personne identifiée ou identifiable qui entre dans le champ d’application [du RGPD], qui est transférée de l’Union européenne vers une organisation américaine et qui est enregistrée sous quelque forme que ce soit» (20). En conséquence, elles couvrent également les données de recherche pseudonymisées (ou «codées») (y compris lorsque la clé n’est pas communiquée à l’organisation américaine destinataire) (21). De même, la notion de traitement est définie comme suit: «toute activité ou ensemble d’activités effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion, l’effacement ou la destruction» (22).

(12)

Le CPD UE - États-Unis s’applique aux organisations américaines qui sont considérées comme des responsables du traitement (c’est-à-dire une personne ou une organisation qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel) (23) ou des sous-traitants (c’est-à-dire des mandataires agissant pour le compte d’un responsable du traitement) (24). Les sous-traitants américains doivent être contractuellement tenus d’agir uniquement sur instruction du responsable européen du traitement et d’aider ce dernier à répondre aux demandes des personnes qui exercent leurs droits en vertu des principes (25). En outre, en cas de sous-traitance, un responsable du traitement doit conclure avec le sous-traitant ultérieur un contrat garantissant le même niveau de protection que celui offert par les principes et prendre les mesures nécessaires pour en assurer la bonne mise en œuvre (26).

(13)

Les données à caractère personnel devraient être traitées de manière licite et loyale. Elles doivent être collectées dans un but précis et n’être utilisées ultérieurement que dans la mesure où cela n’est pas incompatible avec la finalité du traitement.

(14)

En vertu du CPD UE - États-Unis, cela est assuré par différents principes. Premièrement, en vertu du principe «Intégrité des données et limitation des finalités», de la même manière qu’en vertu de l’article 5, paragraphe 1, point b), du règlement (UE) 2016/679, une organisation ne peut pas traiter des données à caractère personnel d’une manière incompatible avec la finalité pour laquelle elles ont été initialement collectées ou avec une finalité approuvée ultérieurement par la personne concernée (27).

(15)

Deuxièmement, avant d’utiliser des données à caractère personnel pour une nouvelle finalité (modifiée) sensiblement différente de la finalité initiale, mais qui reste compatible avec celle-ci, ou afin de les communiquer à un tiers, l’organisation doit donner aux personnes concernées la possibilité de s’opposer au traitement (refus), conformément au principe «Choix» (28), par un mécanisme clair, visible et d’accès facile. Il est important de noter que ce principe ne se substitue pas à l’interdiction expresse de procéder à des traitements incompatibles (29).

(16)

Des garanties spécifiques devraient être prévues pour le traitement des «catégories particulières» de données.

(17)

Conformément au principe «Choix», des garanties spécifiques s’appliquent au traitement des «informations sensibles», par exemple, les données à caractère personnel concernant le dossier médical ou l’état de santé d’une personne, son origine raciale ou ethnique, ses opinions politiques, ses croyances religieuses ou ses convictions philosophiques, son affiliation à un syndicat, sa sexualité ou toute autre information reçue d’un tiers qui est considérée et traitée par ce tiers comme sensible (30). Cela signifie que toute donnée considérée comme sensible en vertu du droit de l’Union en matière de protection des données (y compris les données relatives à l’orientation sexuelle, les données génétiques et les données biométriques) sera considérée comme sensible par les organisations certifiées en vertu du CPD UE - États-Unis.

(18)

En règle générale, les organisations doivent obtenir l’accord explicite et positif (c’est-à-dire le consentement) des personnes concernées afin d’utiliser des informations sensibles dans un but qui diffère de l’objectif initial de la collecte ou de tout autre objectif approuvé ultérieurement par la personne concernée (exerçant son droit de consentement), ou afin de les divulguer à des tiers (31).

(19)

Ce consentement ne doit pas être obtenu dans de rares circonstances semblables aux exceptions comparables prévues par le droit de l’Union en matière de protection des données, par exemple lorsque le traitement de données sensibles est dans l’intérêt vital d’une personne; nécessaire à la constatation d’un droit en justice; ou nécessaire pour dispenser des soins médicaux à des fins de diagnostic (32).

(20)

Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour. Elles doivent également être adéquates, pertinentes et limitées au regard des finalités pour lesquelles elles sont traitées. Enfin, elles doivent en principe être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

(21)

En vertu du principe «Intégrité des données et limitation des finalités» (33), les données à caractère personnel doivent se limiter à ce qui est pertinent aux fins du traitement. En outre, les organisations doivent prendre les mesures qui s’imposent, dans la limite nécessaire aux finalités du traitement, pour assurer la fiabilité des données à caractère personnel par rapport à l’utilisation prévue ainsi que leur exactitude, leur exhaustivité et leur actualité.

(22)

En outre, des informations à caractère personnel ne peuvent être conservées sous une forme permettant d’identifier une personne ou de la rendre identifiable (donc sous la forme de données à caractère personnel) (34) qu’aussi longtemps que leur utilisation est conforme à la ou aux finalités pour lesquelles elles ont été initialement collectées ou qui ont été approuvées ultérieurement par la personne concernée conformément au principe «Choix». Cette obligation n’empêche pas les organisations de continuer à traiter des informations à caractère personnel pendant des périodes plus longues, mais uniquement aussi longtemps que, et dans la mesure où, ce traitement sert raisonnablement l’une des finalités spécifiques suivantes semblables aux exceptions comparables prévues par le droit de l’Union en matière de protection des données: l’archivage dans l’intérêt public, le journalisme, l’art et la littérature, ainsi que la recherche historique et l’analyse statistique (35). Lorsque des données à caractère personnel sont conservées pendant une période plus longue à l’une de ces fins, leur traitement sera soumis aux garanties prévues par les principes (36).

(23)

Les données à caractère personnel devraient en outre être traitées d’une manière garantissant leur sécurité, y compris leur protection contre tout traitement non autorisé ou illicite et contre toute perte, toute destruction ou tout dégât d’origine accidentelle. À cette fin, les responsables du traitement et les sous-traitants devraient prendre les mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre d’éventuelles menaces. Ces mesures devraient être évaluées en tenant compte de l’état de la technique, des coûts y afférents ainsi que de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits des personnes.

(24)

En vertu du CPD UE - États-Unis, cela est garanti par le principe «Sécurité» qui, de manière semblable à l’article 32 du règlement (UE) 2016/679, oblige à prendre des mesures de sécurité raisonnables et adéquates, qui tiennent compte des risques inhérents au traitement et à la nature des données (37).

(25)

Il convient d’informer les personnes concernées des principales caractéristiques du traitement des données à caractère personnel les concernant.

(26)

Cela est garanti par le principe «Notification» (38) qui, de manière semblable aux exigences en matière de transparence prévues par le règlement (UE) 2016/679, exige des organisations qu’elles informent les personnes concernées, entre autres, i) de la participation de l’organisation au CPD, ii) du type de données collectées, iii) de la finalité du traitement, iv) du type ou de l’identité des tiers auxquels les données à caractère personnel peuvent être divulguées et des finalités de cette divulgation, v) de leurs droits individuels, vi) de la manière de contacter l’organisation et vii) des voies de recours disponibles.

(27)

Cette notification doit être communiquée de manière claire et visible aux personnes concernées lorsque celles-ci sont invitées pour la première fois à fournir les informations à caractère personnel ou dès que possible après cette invitation et, en tout état de cause, avant que les données ne soient utilisées dans un but sensiblement différent de celui pour lequel elles ont été initialement collectées (mais compatible avec celui-ci) ou avant qu’elles ne soient diffusées pour la première fois à un tiers (39).

(28)

En outre, les organisations doivent rendre publiques leurs politiques en matière de protection de la vie privée qui tiennent compte des principes (ou, dans le cas des données relatives aux ressources humaines, les mettre à la disposition des personnes concernées) et fournir des liens dirigeant vers le site web du ministère du commerce (qui donne davantage de détails sur la certification, les droits des personnes concernées et les mécanismes de recours disponibles), vers la liste des organisations participant au cadre de protection des données (liste du CPD) et vers le site web d’un organe approprié de règlement extrajudiciaire des litiges (40).

(29)

Les personnes concernées devraient disposer de certains droits qu’elles peuvent opposer au responsable du traitement ou au sous-traitant, en particulier le droit d’accéder aux données, le droit de s’opposer au traitement et le droit d’obtenir la rectification et l’effacement des données.

(30)

Le principe «Accès» (41) du CPD UE - États-Unis confère aux personnes physiques de tels droits. En particulier, les personnes concernées ont le droit, sans justification, d’obtenir d’une organisation qu’elle leur confirme le traitement de données à caractère personnel les concernant; qu’elle leur communique ces données; et d’obtenir des informations sur la finalité du traitement, les catégories de données à caractère personnel traitées et les (catégories de) destinataires à qui les données sont divulguées (42). Les organisations doivent répondre aux demandes d’accès dans un délai raisonnable (43). Une organisation peut fixer une limite acceptable au nombre de fois où les demandes d’accès déposées au cours d’une période donnée seront satisfaites et peut exiger le paiement d’une redevance qui n’est pas excessive, par exemple dans le cas de demandes manifestement excessives (44).

(31)

Le droit d’accès ne peut être restreint que dans des circonstances exceptionnelles semblables à celles prévues par le droit de l’Union en matière de protection des données, notamment dans les cas susceptibles d’entraîner une violation des droits d’autres personnes; dans les cas où la charge de travail ou la dépense qu’occasionnerait le droit d’accès sont disproportionnées par rapport aux risques pesant sur la vie privée de la personne concernée (bien que les coûts et la charge ne constituent pas des facteurs décisifs lorsqu’il s’agit de déterminer le caractère raisonnable de l’accès); pour autant que la diffusion des données risque de porter atteinte à d’importants intérêts publics, tels que la sécurité nationale, la défense ou la sécurité publique; dans les cas où les informations contiennent des informations commerciales confidentielles; ou lorsque les informations à caractère personnel sont traitées uniquement à des fins statistiques ou de recherche (45). Tout refus ou toute restriction du droit d’accès doivent être nécessaires et dûment justifiés et il incombe à l’organisation de prouver que ces conditions sont respectées (46). Lors de cette évaluation, l’organisation doit notamment tenir compte des intérêts de la personne concernée (47). S’il est possible de séparer les informations d’autres données faisant l’objet d’une restriction, l’organisation doit procéder à la séparation des données protégées et divulguer les informations restantes (48).

(32)

Les personnes concernées ont également le droit d’obtenir la rectification ou la modification des données inexactes, ainsi que la suppression des données qui ont été traitées en violation des principes (49). En outre, comme expliqué au considérant 15, les personnes ont le droit de s’opposer au traitement de leurs données (refus) pour des finalités sensiblement différentes de celles pour lesquelles les données ont été collectées (mais compatibles avec celles-ci) et à la divulgation de leurs données à des tiers. Lorsque les données à caractère personnel sont utilisées à des fins de marketing direct, les personnes concernées disposent d’un droit général de refuser le traitement à tout moment (50).

(33)

Les principes ne traitent pas spécifiquement de la question des décisions relatives à la personne concernée reposant uniquement sur le traitement automatisé de données à caractère personnel. Cependant, pour ce qui est des données à caractère personnel qui ont été collectées dans l’Union, toute décision fondée sur un traitement automatisé sera généralement prise par le responsable du traitement de l’Union (qui est en relation directe avec la personne concernée) et relève par conséquent directement du règlement (UE) 2016/679 (51). Cela inclut les cas de transfert dans lesquels le traitement est effectué par un opérateur économique étranger (américain, par exemple) en tant qu’agent (sous-traitant) agissant au nom du responsable du traitement de l’Union (ou en tant que sous-traitant ultérieur agissant au nom du sous-traitant de l’Union ayant obtenu les données auprès d’un responsable du traitement de l’Union qui les a collectées) qui prend ensuite la décision sur cette base.

(34)

Cela a été confirmé par une étude commandée par la Commission en 2018 dans le cadre du deuxième examen annuel du fonctionnement du bouclier de protection des données (52), qui a conclu qu’à l’époque, aucune donnée n’indiquait qu’une prise de décision automatisée était normalement effectuée par les organisations participant au bouclier de protection des données sur la base des données à caractère personnel transférées dans le cadre de ce bouclier.

(35)

En tout état de cause, dans les domaines dans lesquels il est très probable que les entreprises recourent au traitement automatisé de données à caractère personnel pour prendre des décisions concernant les personnes (par exemple, l’octroi de crédits, les offres de prêts immobiliers, les décisions de recrutement, l’emploi, le logement et l’assurance), le droit américain offre des protections spécifiques contre les décisions négatives (53). Le droit américain prévoit généralement que les personnes ont le droit d’être informées des raisons exactes de la décision (par exemple, le refus d’un crédit), de contester les informations incomplètes ou inexactes (ainsi que le recours à des facteurs illégaux) et de demander réparation. Dans le domaine du crédit à la consommation, le Fair Credit Reporting Act (FCRA) et l’Equal Credit Opportunity Act (ECOA) contiennent des garanties qui offrent aux consommateurs une forme de droit à l’explication et un droit de contestation de la décision. Ces lois s’appliquent à un grand nombre de domaines, notamment le crédit, l’emploi, le logement et l’assurance. En outre, certaines lois antidiscrimination, telles que le titre VII du Civil Rights Act et le Fair Housing Act, protègent les personnes physiques contre les modèles utilisés dans les prises de décision automatisées qui pourraient donner lieu à une discrimination sur la base de certaines caractéristiques, et leur accordent le droit de contester de telles décisions, y compris les décisions automatisées. En ce qui concerne les informations relatives à la santé, la règle de confidentialité du Health Insurance Portability and Accountability Act (HIPAA) crée certains droits semblables à ceux du règlement (UE) 2016/679 en ce qui concerne l’accès aux renseignements personnels en matière de santé. En outre, les orientations des autorités américaines exigent que les prestataires médicaux reçoivent des informations leur permettant d’informer les personnes des systèmes de prise de décision automatisée utilisés dans le secteur médical (54).

(36)

Par conséquent, ces règles offrent des protections semblables à celles prévues par le droit de l’Union en matière de protection des données dans le cas improbable où des décisions automatisées seraient prises par l’organisation participant au CPD UE - États-Unis elle-même.

(37)

Le niveau de protection conféré aux données à caractère personnel qui sont transférées de l’Union vers des organisations aux États-Unis ne doit pas être compromis par le transfert ultérieur de ces mêmes données vers un destinataire se trouvant aux États-Unis ou dans un pays tiers.

(38)

En vertu du principe «Responsabilité en cas de transfert ultérieur» (55), des règles particulières s’appliquent aux transferts dits «ultérieurs», c’est-à-dire aux transferts de données à caractère personnel d’une organisation participant au CPD UE - États-Unis à un responsable du traitement ou à un sous-traitant tiers, que ce dernier soit situé aux États-Unis ou dans un pays tiers en dehors des États-Unis (et de l’Union). Tout transfert ultérieur ne peut avoir lieu i) qu’à des fins limitées et spécifiques, ii) que sur la base d’un contrat entre l’organisation participant au CPD UE - États-Unis et le tiers (56) [ou d’un dispositif comparable en cas de transfert intragroupe (57)] et iii) que si ce contrat oblige le tiers à prévoir le même niveau de protection que celui qui est garanti par les principes.

(39)

Cette obligation d’offrir le même niveau de protection que celui qui est garanti par les principes, lue en liaison avec le principe «Intégrité des données et limitation des finalités», signifie notamment que le tiers ne peut traiter les informations à caractère personnel qui lui ont été transmises qu’à des fins qui ne sont pas incompatibles avec les finalités pour lesquelles elles ont été collectées ou qui ont été approuvées ultérieurement par la personne concernée (conformément au principe «Choix»).

(40)

Le principe «Responsabilité en cas de transfert ultérieur» devrait également être lu en liaison avec le principe «Notification» et, en cas de transfert ultérieur à un responsable du traitement dans un pays tiers (58), avec le principe «Choix», selon lequel les personnes concernées doivent être informées (entre autres) du type/de l’identité de tout destinataire tiers, de la finalité du transfert ultérieur, ainsi que du choix qu’elles ont de s’opposer (refus) à ce transfert ou, en cas de données sensibles, d’y consentir expressément (consentement).

(41)

L’obligation d’offrir le même niveau de protection que celui qui est garanti par les principes s’applique à tout tiers intervenant dans le traitement des données ainsi transférées indépendamment de leur localisation (aux États-Unis ou dans un autre pays tiers). Elle s’applique également lorsque le destinataire tiers initial communique à son tour ces données à un autre destinataire tiers, à des fins de sous-traitance par exemple.

(42)

En tout état de cause, le contrat avec le destinataire tiers doit prévoir que ce dernier prévient l’organisation participant au CPD UE - États-Unis s’il constate qu’il n’est plus en mesure de respecter cette obligation. Dans ce cas, il y a lieu de mettre fin au traitement ou de prendre d’autres mesures raisonnables et appropriées pour remédier à la situation (59).

(43)

Des protections supplémentaires sont prévues en cas de transfert ultérieur à un mandataire tiers (c’est-à-dire un sous-traitant). En pareil cas, l’organisation américaine doit s’assurer que le mandataire n’agit que sur ses instructions et prendre des mesures raisonnables et appropriées: i) pour garantir que le mandataire traite effectivement les informations à caractère personnel qui lui sont transférées d’une manière compatible avec les obligations qui incombent à l’organisation en vertu des principes; et ii) pour mettre fin et remédier au traitement non autorisé dès qu’elle en est avertie (60). Le ministère du commerce peut demander à l’organisation de fournir une synthèse ou une copie représentative des dispositions relatives à la protection de la vie privée contenues dans son contrat (61). Si des problèmes de respect des principes se posent dans la chaîne de (sous-)traitance, l’organisation qui agit en tant que responsable du traitement des données à caractère personnel devra en principe en assumer la responsabilité, conformément au principe «Voies de recours, application et responsabilité», sauf si elle prouve que le fait générateur du dommage ne lui est pas imputable (62).

(44)

Selon le principe de responsabilité, les entités traitant des données sont tenues de mettre en place les mesures techniques et organisationnelles appropriées pour s’acquitter effectivement de leurs obligations en matière de protection des données et doivent être en mesure de démontrer le respect de ces obligations, en particulier à l’autorité de contrôle compétente.

(45)

Une fois qu’une organisation a pris volontairement la décision de certifier (63) son adhésion au CPD UE - États-Unis, elle doit obligatoirement respecter et faire respecter les principes. En vertu du principe «Voies de recours, application et responsabilité» (64), les organisations participant au CPD UE - États-Unis doivent mettre en place des mécanismes efficaces pour garantir le respect des principes. Les organisations doivent également prendre des mesures pour vérifier (65) que leurs politiques en matière de protection de la vie privée sont conformes aux principes et que ces politiques sont effectivement respectées. Pour ce faire, elles peuvent soit mettre en place un système d’auto-évaluation, qui doit comprendre des procédures internes visant à garantir que les salariés sont formés à la mise en œuvre des politiques en matière de protection de la vie privée et qu’il est procédé à des examens périodiques et objectifs du respect de ces politiques, soit organiser un contrôle extérieur fondé sur la méthode de l’audit, des vérifications aléatoires ou l’utilisation d’outils technologiques.

(46)

En outre, les organisations doivent conserver des archives sur la mise en œuvre de leurs pratiques dans le cadre du CPD UE - États-Unis et remettre celles-ci, sur demande, dans le cadre d’une enquête ou d’une réclamation pour non-conformité, à une instance de recours indépendante ou à une autorité répressive compétente (66).

(47)

Le CPD UE - États-Unis sera géré et surveillé par le ministère du commerce. Le cadre prévoit des mécanismes de surveillance et d’application destinés à vérifier et à garantir que les organisations participant au CPD UE - États-Unis respectent les principes et qu’il sera remédié à tout manquement à cet égard. Ces mécanismes sont définis dans les principes (annexe I) et dans les engagements pris par le ministère du commerce (annexe III), la FTC (annexe IV) et le ministère des transports (annexe V).

(48)

Afin d’obtenir la certification du CPD UE - États-Unis (ou renouveler la certification chaque année), les organisations doivent déclarer publiquement qu’elles s’engagent à respecter les principes, divulguer publiquement leurs politiques en matière de protection de la vie privée et mettre pleinement en œuvre ces politiques (67). Dans le cadre de leur demande de (re)certification, les organisations doivent transmettre au ministère du commerce les informations suivantes: le nom de l’organisation concernée, une description des finalités pour lesquelles l’organisation traitera les données à caractère personnel, les données à caractère personnel qui seront couvertes par la certification, ainsi que la méthode de vérification choisie, le mécanisme de recours indépendant compétent et l’instance réglementaire compétente pour faire respecter les principes (68).

(49)

Les organisations peuvent recevoir des données à caractère personnel en vertu du CPD UE - États-Unis dès le moment où le ministère du commerce les inscrit sur la liste du CPD. Afin de garantir la sécurité juridique et d’éviter les «fausses déclarations», les organisations qui sont certifiées pour la première fois ne sont pas autorisées à mentionner publiquement leur adhésion aux principes avant que le ministère du commerce n’ait déterminé que la déclaration de certification de l’organisation est complète et n’ait ajouté l’organisation à la liste du CPD (69). Afin de pouvoir continuer à se prévaloir du CPD pour recevoir des données à caractère personnel depuis l’Union, ces organisations doivent recertifier chaque année leur participation au cadre. Lorsqu’une organisation se retire du CPD UE - États-Unis, quelle qu’en soit la raison, elle doit supprimer toute déclaration publique laissant croire qu’elle continue à participer au cadre (70).

(50)

Comme le montrent les engagements énoncés à l’annexe III, le ministère du commerce vérifiera si les organisations satisfont à toutes les exigences de certification et si elles ont mis en place une politique (publique) de protection de la vie privée contenant les informations requises par le principe «Notification» (71). S’appuyant sur l’expérience acquise lors de la procédure de (re)certification dans le cadre du bouclier de protection des données, le ministère du commerce effectuera un certain nombre de contrôles, notamment pour vérifier si les dispositions de protection de la vie privée des organisations incluent un lien dirigeant vers le formulaire d’introduction des réclamations sur le site web du mécanisme de règlement des litiges concerné et, lorsque plusieurs entités et filiales d’une organisation sont incluses dans une déclaration de certification, si les politiques de protection de la vie privée de chacune de ces entités satisfont aux exigences de certification et sont facilement accessibles pour les personnes concernées (72). En outre, le cas échéant, le ministère du commerce effectuera des contrôles croisés avec la FTC et le ministère des transports pour vérifier que les organisations sont soumises à la surveillance de l’organisme de surveillance indiqué dans leur déclaration de (re)certification, et travaillera avec les organes de règlement extrajudiciaire des litiges pour vérifier que les organisations se sont inscrites auprès du mécanisme de recours indépendant indiqué dans leur déclaration de (re)certification (73).

(51)

Le ministère du commerce informera les organisations que, pour mener à terme le processus de (re)certification, elles doivent résoudre tous les problèmes constatés au cours de l’examen. Si une organisation ne répond pas dans le délai fixé par le ministère du commerce (par exemple, en ce qui concerne le renouvellement de la certification, le processus devrait être mené à terme dans un délai de 45 jours) (74) ou si le processus de certification n’est pas mené à terme, la déclaration sera considérée comme abandonnée. Dans ce cas, toute fausse déclaration concernant la participation au CPD UE - États-Unis ou l’adhésion aux principes peut donner lieu à l’adoption de mesures d’exécution par la FTC ou le ministère des transports (75).

(52)

Pour que le CPD UE - États-Unis soit valablement appliqué, les parties intéressées, telles que les personnes concernées, les exportateurs de données et les autorités nationales chargées de la protection des données (APD) doivent être en mesure d’identifier les organisations qui adhèrent aux principes. Afin de garantir cette transparence au «point d’entrée», le ministère américain du commerce s’est engagé à tenir et à rendre publique la liste des organisations qui ont certifié leur adhésion aux principes et qui relèvent de la compétence d’au moins une des autorités chargées de l’application du cadre mentionnées aux annexes IV et V de la présente décision (76). Le ministère du commerce actualisera la liste en fonction des déclarations de recertification annuelles et chaque fois qu’une organisation se retire ou est radiée du CPD UE - États-Unis. En outre, afin de garantir également la transparence au «point de sortie», le ministère du commerce tiendra et rendra public un registre officiel des organisations qui ont été radiées de la liste en indiquant, dans chaque cas, les raisons de cette radiation (77). Enfin, il fournira un lien dirigeant vers la page web de la FTC consacrée au CPD UE - États-Unis, qui énumérera les activités de mise en application de la FTC menées en vertu du cadre (78).

(53)

Le ministère du commerce contrôlera en permanence le respect effectif des principes par les organisations participant au CPD UE - États-Unis au moyen de différents mécanismes (79). En particulier, il effectuera des «contrôles ponctuels» auprès d’organisations sélectionnées de manière aléatoire, ainsi que des contrôles ponctuels ad hoc auprès d’organisations spécifiques lorsque des problèmes de conformité potentiels sont constatés (par exemple, signalés au ministère du commerce par des tiers) afin de vérifier si i) le(s) point(s) de contact chargé(s) de traiter les réclamations et les demandes des personnes concernées est (sont) disponible(s) et réactif(s); ii) la politique de protection de la vie privée de l’organisation est facilement accessible, à la fois sur son site web et via un lien sur le site web du ministère du commerce; iii) la politique de protection de la vie privée de l’organisation reste conforme aux exigences en matière de certification et iv) le mécanisme indépendant de résolution des litiges choisi par l’organisation est disponible pour traiter les réclamations (80).

(54)

S’il est établi de manière crédible qu’une organisation ne respecte pas ses engagements en vertu du CPD UE - États-Unis (notamment si le ministère du commerce reçoit des réclamations ou si l’organisation ne répond pas de manière satisfaisante aux demandes de celui-ci), le ministère du commerce demandera à l’organisation de remplir un questionnaire détaillé (81). Une organisation qui ne répond pas de manière satisfaisante et dans les délais au questionnaire sera signalée à l’autorité compétente (la FTC ou le ministère des transports) en vue d’éventuelles mesures répressives (82). Dans le cadre de ses activités de contrôle de la conformité au titre du bouclier de protection des données, le ministère du commerce a régulièrement effectué les contrôles ponctuels mentionnés au considérant 53 et a procédé à un suivi permanent des rapports publics, ce qui lui a permis de détecter, de traiter et de résoudre les problèmes de conformité (83). Les organisations qui persistent à ne pas respecter les principes seront radiées de la liste du CPD et devront renvoyer ou supprimer les données à caractère personnel reçues dans le cadre de ce dernier (84).

(55)

Les organisations qui sont rayées de la liste pour d’autres raisons, telles que le retrait volontaire ou la non-recertification, doivent supprimer ou renvoyer les données, ou peuvent les conserver si elles s’engagent chaque année auprès du ministère du commerce à continuer d’appliquer les principes ou si elles assurent une protection adéquate des données à caractère personnel par un autre moyen autorisé (comme, par exemple, un contrat tenant pleinement compte des obligations inscrites dans les clauses contractuelles types adoptées par la Commission en la matière) (85). Dans ce cas, l’organisation doit identifier en son sein un point de contact pour toutes les questions liées au CPD UE - États-Unis.

(56)

Le ministère du commerce surveillera toutes les fausses déclarations de participation au CPD UE - États-Unis ou les usages abusifs de la marque de certification, d’office et sur la base des réclamations (reçues par les APD, par exemple) (86). En particulier, le ministère du commerce vérifiera en permanence que les organisations qui i) se retirent du CPD UE - États-Unis, ii) ne procèdent pas au renouvellement annuel de leur certification (c’est-à-dire qu’elles ont entamé, mais n’ont pas mené à terme le processus de recertification annuel dans les délais impartis ou n’ont même pas entamé le processus de recertification annuelle), iii) sont radiées de la liste des participants, notamment pour «non-respect persistant», ou iv) ne parviennent pas à mener à bien la certification initiale (c’est-à-dire qu’elles ont entamé, mais n’ont pas mené à terme le processus de certification initiale dans les délais impartis), suppriment de toute politique de protection de la vie privée rendue publique les références au CPD UE - États-Unis donnant à penser que l’organisation participe activement au cadre (87). Le ministère du commerce effectuera également des recherches sur l’internet pour relever les références faites au CPD UE - États-Unis dans les politiques de protection de la vie privée adoptées par les organisations, notamment afin de détecter toute fausse déclaration par des organisations qui n’ont jamais participé au CPD UE - États-Unis (88).

(57)

Si le ministère du commerce constate que les références au CPD UE - États-Unis n’ont pas été supprimées ou sont utilisées de manière abusive, il informe l’organisation de la possibilité de saisir la FTC/le ministère des transports (89). Si une organisation ne répond pas de manière satisfaisante, le ministère du commerce le signalera à l’organisme compétent en vue d’éventuelles mesures répressives (90). Toute fausse déclaration d’une organisation à l’intention du grand public concernant son adhésion aux principes, sous la forme de déclarations ou de pratiques trompeuses, peut donner lieu à l’adoption de mesures d’exécution par la FTC, le ministère des transports ou toute autre autorité américaine chargée de l’application du CPD. Toute fausse déclaration au ministère du commerce peut donner lieu à des poursuites au titre de la loi sur les fausses déclarations (18 U.S.C. § 1001).

(58)

Pour garantir un niveau adéquat de protection des données dans la pratique, il convient de mettre en place une autorité de contrôle indépendante chargée de surveiller l’application des règles en matière de protection des données et de les faire respecter.

(59)

Les organisations participant au CPD UE - États-Unis doivent être soumises à la compétence des autorités américaines — la FTC et le ministère des transports — qui disposent des pouvoirs d’enquête et du pouvoir coercitif nécessaires pour veiller au respect effectif des principes (91).

(60)

La FTC est une autorité indépendante composée de cinq commissaires, qui sont nommés par le président avec l’avis et le consentement du Sénat (92). Les commissaires sont nommés pour un mandat de sept ans et ne peuvent être révoqués par le président que pour inefficacité, manquement au devoir ou acte illégal. La FTC ne peut compter plus de trois commissaires issus du même parti politique et les commissaires ne peuvent, pendant la durée de leur mandat, exercer une autre activité, une autre profession ou un autre emploi.

(61)

La FTC peut enquêter sur le respect des principes, ainsi que sur les déclarations mensongères d’adhésion aux principes ou de participation au CPD UE - États-Unis par des organisations qui ont été supprimées de la liste du CPD ou qui ne se sont jamais certifiées (93). La FTC peut exiger la mise en conformité par des injonctions administratives ou des décisions judiciaires fédérales (y compris des «consent orders» obtenus par des transactions) (94) pour obtenir des injonctions préliminaires ou permanentes ou d’autres mesures correctives, et elle contrôle systématiquement si ces directives sont respectées (95). Lorsque les organisations ne se conforment pas à ces injonctions, la FTC peut requérir des amendes administratives et d’autres sanctions, y compris pour tout préjudice causé par le comportement illégal. Chaque consent order adressé à une organisation participant au CPD UE - États-Unis contiendra des dispositions en matière de notification spontanée (96) et les organisations seront tenues de publier toute section du CPD UE - États-Unis se rapportant à un rapport de conformité ou d’évaluation soumis à la FTC. Enfin, la FTC maintiendra une liste en ligne des entreprises visées par des injonctions de la FTC ou des décisions de justice dans des affaires portant sur le CPD UE - États-Unis (97).

(62)

En ce qui concerne le bouclier de protection des données, la FTC a pris des mesures répressives dans environ 22 cas, à la fois pour des violations des exigences spécifiques du cadre (par exemple, le fait de ne pas confirmer au ministère du commerce que l’organisation a continué à appliquer les protections du bouclier de protection des données après s’être retirée du cadre, le fait de ne pas vérifier, par une auto-évaluation ou un contrôle de conformité externe, que l’organisation s’est conformée au cadre) (98) et pour de fausses déclarations de participation au cadre (par exemple, par des organisations qui n’ont pas suivi les étapes nécessaires pour obtenir la certification, ou qui ont laissé leur certification expirer, mais ont déclaré de manière mensongère qu’elles continuaient d’y participer) (99). Ces mesures répressives résultent notamment de l’utilisation proactive d’injonctions administratives afin d’obtenir des documents de certains participants au bouclier de protection des données et de vérifier ainsi s’il y a eu des violations substantielles des obligations du bouclier (100).

(63)

Plus généralement, la FTC a pris, ces dernières années, des mesures coercitives dans un certain nombre de cas concernant le respect des exigences spécifiques en matière de protection des données qui sont également prévues par le CPD UE - États-Unis, par exemple en ce qui concerne les principes de limitation des finalités et de conservation des données (101), de minimisation des données (102), de sécurité des données (103) et d’exactitude des données (104).

(64)

Le ministère du commerce est seul compétent pour réglementer les pratiques des compagnies aériennes et partage avec la FTC la compétence en ce qui concerne les pratiques, en matière de respect de la vie privée, des agents de billetterie d’avion dans le cadre de la vente de transport aérien. Les agents du ministère du commerce cherchent d’abord à conclure une transaction et, si cela n’est pas possible, peuvent engager une procédure d’exécution impliquant une audition de témoins devant un juge de droit administratif relevant du ministère qui est habilité à rendre des ordonnances de cessation et à infliger des sanctions civiles (105). Les juges de droit administratif bénéficient de plusieurs protections en vertu de l’Administrative Procedure Act (loi de procédure administrative, APA) afin de garantir leur indépendance et leur impartialité. Par exemple, ils ne peuvent être révoqués que pour un motif sérieux, sont chargés des affaires à tour de rôle, ne peuvent exercer des fonctions incompatibles avec leurs devoirs et responsabilités de juges de droit administratif, ne sont pas soumis à la supervision de l’équipe d’enquête de l’autorité qui les emploie (dans ce cas, le ministère du commerce) et doivent exercer leur fonction d’arbitrage/d’exécution en toute impartialité (106). Le ministère du commerce s’est engagé à contrôler les ordonnances d’exécution et à veiller à ce que les ordonnances résultant des affaires du CPD UE - États-Unis soient consultables sur son site web (107).

(65)

En vue d’une protection adéquate et, en particulier, du respect de ses droits individuels, la personne concernée doit disposer de possibilités de recours administratif et juridictionnel effectif.

(66)

Par le principe «Voies de recours, application et responsabilité», le CPD UE - États-Unis exige des organisations qu’elles ménagent des voies de recours aux personnes concernées par le non-respect des principes et donc la possibilité, pour les personnes concernées de l’Union, d’introduire une réclamation en cas de non-respect des principes par les organisations participant au CPD UE - États-Unis, ainsi que de voir ces réclamations tranchées et aboutir si nécessaire à une décision prévoyant une réparation effective (108). Dans le cadre de leur certification, les organisations doivent satisfaire aux exigences découlant de ce principe, en prévoyant des mécanismes de recours indépendants facilement accessibles et efficaces qui permettent d’examiner et de trancher toute réclamation et tout litige rapidement et sans frais pour les personnes concernées (109).

(67)

Les organisations peuvent opter pour des mécanismes de recours indépendants, soit dans l’Union, soit aux États-Unis. Comme expliqué plus en détail au considérant 73, cela inclut la possibilité de s’engager, sur une base volontaire, à coopérer avec les APD de l’Union européenne. Lorsque les organisations traitent des données relatives aux ressources humaines, cet engagement à coopérer avec les APD de l’Union est obligatoire. D’autres solutions consistent à recourir à un organisme indépendant de règlement extrajudiciaire des litiges ou à des programmes de protection de la vie privée du secteur privé, dont les règles intègrent les principes. Ces derniers doivent inclure des mécanismes d’application efficaces, conformes aux exigences du principe «Voies de recours, application et responsabilité».

(68)

Par conséquent, le CPD UE - États-Unis fournit aux personnes concernées un certain nombre de possibilités de faire valoir leurs droits, d’introduire des réclamations en cas de non-respect des principes par des entreprises participant au cadre et de voir leurs réclamations tranchées et aboutir si nécessaire à une décision prévoyant une réparation effective. Les personnes concernées peuvent introduire une réclamation directement auprès d’une organisation, d’un organisme indépendant de règlement des litiges désigné par l’organisation, des APD nationales, du ministère du commerce ou de la FTC. Dans les cas où leurs réclamations n’ont pas été tranchées par l’un de ces mécanismes de recours ou d’application, les personnes ont également le droit de recourir à l’arbitrage contraignant (annexe 1 de l’annexe I de la présente décision). À l’exception du comité d’arbitrage, qui ne peut être saisi qu’après que certaines voies de recours ont été épuisées, les personnes sont libres de recourir à un ou à plusieurs mécanismes de recours de leur choix, voire à l’ensemble de ceux-ci, et ne sont pas obligées d’en choisir un plutôt que l’autre ou de respecter un ordre spécifique.

(69)

Premièrement, les personnes concernées de l’Union peuvent introduire une réclamation en cas de non-conformité aux principes en prenant directement contact avec les organisations participant au CPD UE - États-Unis (110). Pour faciliter le règlement des litiges, l’organisation doit mettre en place un mécanisme de recours efficace pour traiter ces réclamations. La politique des organisations en matière de protection de la vie privée doit donc fournir aux personnes des informations claires au sujet d’un point de contact, à l’intérieur ou à l’extérieur de l’organisation, qui traitera les réclamations (y compris tout établissement au sein de l’Union qui peut répondre aux questions ou aux réclamations) et au sujet de l’organisme indépendant de règlement des litiges (voir considérant 70). Dès réception d’une réclamation individuelle, qu’elle ait été introduite par l’intéressé lui-même ou via le ministère du commerce à la suite d’une saisine effectuée par une APD, l’organisation doit fournir une réponse à la personne concernée de l’Union dans un délai de 45 jours (111). De même, les organisations sont tenues de répondre rapidement aux questions et autres demandes d’information relatives à leur adhésion aux principes qui leur sont adressées par le ministère du commerce ou une APD (112) (lorsque l’organisation s’est engagée à coopérer avec l’APD).

(70)

Deuxièmement, les personnes peuvent également introduire une réclamation auprès de l’organisme indépendant de règlement des litiges (aux États-Unis ou dans l’Union) désigné par une organisation pour examiner et traiter définitivement les réclamations individuelles (à moins que celles-ci ne soient manifestement non fondées ou abusives) et mettre gratuitement à la disposition des personnes des voies de recours appropriées (113). Les sanctions et les actions correctrices imposées par un tel organisme doivent être suffisamment contraignantes pour garantir que les organisations respectent les principes et devraient prévoir une annulation ou une correction des effets de la non-conformité par l’organisation et, selon les circonstances, la cessation du traitement ultérieur des données à caractère personnel en cause et/ou la suppression de ces données, ainsi que la publicité des constats de non-conformité (114). Les organismes de règlement des litiges indépendants désignés par une organisation seront tenus de faire figurer sur leurs sites web publics des informations pertinentes relatives au CPD UE - États-Unis et aux services qu’ils fournissent à ce titre (115). Ils doivent publier chaque année un rapport annuel fournissant des statistiques agrégées concernant ces services (116).

(71)

Dans le cadre de ses procédures de contrôle de la conformité, le ministère du commerce s’assurera que les organisations participant au CPD UE - États-Unis sont effectivement enregistrées auprès des mécanismes de recours indépendants auprès desquels elles affirment être enregistrées (117). Tant les organisations que les mécanismes de recours indépendants compétents sont tenus de répondre rapidement aux questions et aux demandes formulées par le ministère du commerce pour les informations qui ont trait au CPD UE - États-Unis. Le ministère du commerce travaillera avec les mécanismes de recours indépendants pour vérifier qu’ils incluent sur leurs sites web des informations concernant les principes et les services qu’ils fournissent en vertu du CPD UE - États-Unis et qu’ils publient des rapports annuels (118).

(72)

Si l’organisation ne se conforme pas à la décision d’un organisme de règlement des litiges ou d’autoréglementation, celui-ci devra notifier cette non-conformité au ministère du commerce et à la FTC (ou à une autre autorité américaine compétente pour enquêter sur les cas de non-respect par l’organisation), ou à un tribunal compétent (119). Si une organisation refuse de se conformer à une décision définitive d’un organisme d’autoréglementation en matière de protection de la vie privée, d’un organisme indépendant de règlement des litiges en matière de protection de la vie privée ou d’un organisme gouvernemental en matière de protection de la vie privée, quel qu’il soit, ou si un tel organisme constate fréquemment qu’une organisation ne respecte pas les principes, cela peut être considéré comme une non-conformité persistante et, en conséquence, le ministère du commerce retira de la liste du CPD l’organisation qui s’est trouvée en situation de non-conformité, après lui avoir donné un préavis de 30 jours et la possibilité de présenter ses observations (120) Si une organisation continue à affirmer qu’elle est certifiée au regard du CPD UE - États-Unis après avoir été retirée de la liste, le ministère en référera à la FTC ou à un autre service répressif (121).

(73)

Troisièmement, les personnes peuvent également introduire leurs réclamations auprès d’une APD nationale dans l’Union, qui peut faire usage de ses pouvoirs d’enquête et de correction en vertu du règlement (UE) 2016/679. Les organisations sont tenues de coopérer à l’enquête menée par une APD à la suite d’une réclamation et au traitement définitif de la réclamation par l’APD lorsqu’il s’agit du traitement de données relatives à des ressources humaines collectées dans le cadre d’une relation de travail ou lorsque l’organisation concernée s’est volontairement soumise à la surveillance des APD (122). En particulier, elles doivent répondre aux questions, se conformer aux avis émis par l’APD, y compris en ce qui concerne les mesures correctrices ou compensatoires, et fournir à l’APD la confirmation écrite que ces mesures ont été prises (123). En cas de non-respect de l’avis donné par l’APD, cette dernière renvoie ces cas au ministère du commerce (qui peut retirer des organisations de la liste CPD UE - États-Unis) ou, en vue d’éventuelles mesures coercitives, à la FTC ou au ministère des transports (le défaut de coopération avec les APD ou le non-respect des principes peut donner lieu à une action en vertu du droit américain) (124).

(74)

Pour faciliter la coopération en vue d’un traitement efficace des réclamations, le ministère du commerce et la FTC ont tous deux mis en place un point de contact spécialisé chargé d’assurer la liaison directe avec les APD (125). Ces points de contact apportent un soutien dans le cadre des enquêtes des APD portant sur le respect des principes par une organisation.

(75)

L’avis des APD (126) n’est émis que lorsque l’on a raisonnablement laissé aux deux parties au litige la possibilité de formuler leurs observations et de soumettre les éléments d’appréciation qu’elles souhaitent. Le panel peut donner son avis aussi rapidement que le respect des principes du procès équitable le permet et, en principe, dans un délai de 60 jours à compter de la réception de la réclamation (127). Si une organisation ne se conforme pas à l’avis dans un délai de 25 jours à compter de sa notification et ne fournit aucun motif valable pour expliquer son retard, le panel peut notifier son intention soit de soumettre l’affaire à la FTC (ou à une autre autorité répressive américaine compétente), soit de conclure à un manquement grave à l’engagement de coopérer. Dans le premier cas, cela peut conduire à des mesures coercitives fondées sur l’article 5 du FTC Act (ou sur une disposition législative similaire) (128). Dans le deuxième cas, le panel en informera le ministère du commerce, qui considérera le refus de l’organisation de se conformer à l’avis du panel d’APD comme une non-conformité persistante, ce qui entraînera le retrait de l’organisation de la liste du CPD.

(76)

Si l’APD à laquelle la réclamation a été adressée n’a pris aucune mesure ou a pris des mesures insuffisantes pour traiter la réclamation, le réclamant a la possibilité de contester ces mesures ou cette absence de mesures devant les juridictions nationales de l’État membre de l’Union concerné.

(77)

Les personnes peuvent également introduire des réclamations auprès d’APD même lorsque le panel d’APD n’a pas été désigné comme un organisme de règlement des litiges de l’organisation. Dans ces cas, les APD peuvent soumettre ces réclamations au ministère du commerce ou à la FTC. Afin de faciliter et de renforcer la coopération en ce qui concerne les réclamations individuelles et les organisations participant au CPD UE - États-Unis qui se trouvent en situation de non-conformité, le ministère du commerce instituera un point de contact ad hoc, qui fonctionnera comme une interface et apportera un soutien dans le cadre des enquêtes des APD portant sur la conformité d’une organisation aux principes (129). De même, la FTC s’est engagée à mettre en place un point de contact ad hoc (130).

(78)

Quatrièmement, le ministère du commerce s’est engagé à recevoir et examiner les réclamations relatives au non-respect des principes par une organisation et à faire tout ce qui est en son pouvoir pour les traiter définitivement (131). À cette fin, il prévoit des procédures spéciales applicables aux APD lorsqu’elles soumettent des réclamations à un point de contact ad hoc, suivent l’évolution de ces réclamations et assurent le suivi avec les organisations, pour faciliter le règlement des litiges (132). Afin d’accélérer le traitement des réclamations individuelles, le point de contact est en contact direct avec l’APD concernée en ce qui concerne les problèmes de conformité et, en particulier, tient celle-ci informée de l’état des réclamations dans un délai maximal de 90 jours à compter de la saisine (133). Cela permet aux personnes concernées d’introduire des réclamations pour non-conformité d’organisations participant au CPD UE - États-Unis directement auprès de leur APD nationale, ces réclamations étant ensuite transmises au ministère du commerce, qui est l’autorité américaine chargée de gérer le CPD UE - États-Unis.

(79)

Si, sur la base de ses vérifications d’office de réclamations ou de toute autre information, le ministère du commerce conclut qu’une organisation ne s’est pas conformée, de manière persistante, aux principes de protection de la vie privée, elle retirera cette organisation de la liste du CPD (134). Le refus de se conformer à une décision définitive d’un organisme d’autoréglementation en matière de protection de la vie privée, d’un organisme indépendant de règlement des litiges en matière de protection de la vie privée ou d’un organisme gouvernemental en matière de protection de la vie privée, quel qu’il soit, y compris une APD, sera considéré comme une non-conformité persistante (135).

(80)

Cinquièmement, une organisation participant au CPD UE - États-Unis doit être soumise à la compétence des autorités américaines, notamment la FTC (136), qui dispose des pouvoirs d’enquête et du pouvoir coercitif nécessaires pour veiller au respect effectif des principes. Cette dernière examine en priorité les saisines pour non-conformité aux principes effectuées par les organismes de règlement des litiges indépendants ou les organismes d’autoréglementation, le ministère du commerce et les APD (agissant de leur propre initiative ou sur la base de réclamations), afin de déterminer si l’article 5 du FTC Act a été violé (137). La FTC s’est engagée à créer une procédure de saisine uniforme, à désigner un point de contact en son sein pour les saisines effectuées par l’APD et à échanger des informations sur les saisines. En outre, elle peut accepter les réclamations qui lui sont directement adressées par des personnes physiques et ouvrir des enquêtes sur le CPD UE - États-Unis de sa propre initiative, notamment dans le cadre de ses enquêtes générales sur les aspects relatifs à la protection de la vie privée.

(81)

Sixièmement, en tant que mécanisme de recours «en dernier ressort», au cas où aucune des autres voies de recours disponibles n’aurait permis de traiter de manière définitive et satisfaisante la réclamation de la personne concernée de l’Union, celle-ci peut recourir à un arbitrage contraignant par le «panel du cadre de protection des données UE - États-Unis» (panel du CPD UE - États-Unis) (138). Les organisations doivent informer les personnes qu’elles ont la possibilité de faire appel à un arbitrage contraignant et, lorsqu’une personne a notifié à une organisation qu’elle recourait à cette possibilité, l’organisation en question est tenue de donner suite (139).

(82)

Ce panel du CPD UE - États-Unis est composé d’un groupe d’au moins dix arbitres qui seront désignés par le ministère du commerce et la Commission sur la base de leur indépendance, de leur intégrité, ainsi que de leur expérience de la législation américaine en matière de protection de la vie privée et de la législation de l’Union européenne en matière de protection des données. Pour chaque litige individuel, les parties sélectionnent dans ce groupe un panel constitué d’un, de deux ou de trois (140) arbitres.

(83)

L’International Centre for Dispute Resolution (ICDR), la division internationale de l’American Arbitration Association (AAA), a été choisi par le ministère du commerce pour administrer les arbitrages. Les procédures devant le panel du CPD UE - États-Unis seront régies par un ensemble de règles d’arbitrage convenues et un code de conduite pour les arbitres désignés. Le site web de l’ICDR-AAA fournit des informations claires et concises sur le mécanisme d’arbitrage et la procédure de demande d’arbitrage.

(84)

Les règles d’arbitrage convenues entre le ministère du commerce et la Commission complètent le CPD UE - États-Unis qui contient plusieurs éléments facilitant l’accès des personnes concernées de l’Union à ce mécanisme: i) lorsqu’elle prépare l’introduction d’une demande d’arbitrage auprès du panel, la personne concernée peut être assistée par son APD nationale; ii) l’arbitrage aura lieu aux États-Unis, mais les personnes concernées de l’Union peuvent choisir d’y participer par vidéoconférence ou téléconférence, qui sera mise à leur disposition gratuitement; iii) la langue utilisée dans la procédure d’arbitrage sera en règle générale l’anglais, mais l’interprétation lors de l’audience d’arbitrage et la traduction seront en principe mises gratuitement à disposition de la personne concernée sur demande motivée; iv) enfin, chaque partie doit supporter ses propres honoraires d’avocat si elle est représentée par un avocat devant le panel, mais le ministère du commerce créera un fonds alimenté par les contributions annuelles des organisations participant au CPD UE - États-Unis, qui couvrira les coûts éligibles à la procédure d’arbitrage, dans la limite des plafonds qui seront déterminés par les autorités américaines en concertation avec la Commission (141).

(85)

Le panel du CPD UE - États-Unis a le pouvoir d’imposer les mesures d’équité personnalisées et non pécuniaires (142) qui seront nécessaires pour remédier à la non-conformité aux principes. Au moment de statuer, le panel prendra en considération toute autre mesure correctrice déjà obtenue par d’autres mécanismes du CPD UE - États-Unis, mais les personnes peuvent toujours recourir à l’arbitrage si elles estiment que ces mesures sont insuffisantes. Cela permet aux personnes concernées de l’Union de recourir à la procédure d’arbitrage dans tous les cas où, du fait de l’action ou de l’inaction des organisations participant au CPD UE - États-Unis, des mécanismes de recours indépendants ou des autorités américaines compétentes (la FTC, par exemple), la réclamation de ces personnes n’a pas été traitée de manière définitive et satisfaisante. Il n’est pas possible de recourir à l’arbitrage lorsqu’une APD est habilitée à statuer sur la réclamation en question en ce qui concerne l’organisation participant au CPD UE - États-Unis, c’est-à-dire dans les cas où l’organisation est tenue de coopérer avec les APD et de se conformer à leurs avis en matière de traitement des données relatives à des ressources humaines collectées dans le cadre d’une relation de travail, ou s’est elle-même engagée à le faire. Les personnes peuvent demander l’exécution de la décision d’arbitrage devant les tribunaux américains en vertu du Federal Arbitration Act, ce qui garantit l’accès à une voie de recours dans le cas où une entreprise se trouve en situation de non-conformité.

(86)

Septièmement, si une organisation viole son engagement de respecter les principes et la politique qui a été publiée en matière de protection de la vie privée, il est possible que d’autres voies de recours soient prévues par le droit américain, notamment pour obtenir réparation. Par exemple, les personnes concernées peuvent, sous certaines conditions, former un recours en justice (y compris en réparation) en vertu des lois des États sur la consommation dans les cas de déclarations frauduleuses, d’actes ou de pratiques déloyales ou trompeuses (143), et au titre de la responsabilité délictuelle [en particulier les délits d’intrusion dans la vie privée (144), d’appropriation du nom ou de l’image (145) et de divulgation publique de faits privés (146)].

(87)

Ensemble, les différentes voies de recours décrites ci-dessus garantissent que chaque réclamation concernant le non-respect du CPD UE - États-Unis par des organisations certifiées fera effectivement l’objet d’une décision et de mesures correctives.

(88)

La Commission a également évalué les limitations et les garanties prévues, y compris les mécanismes de surveillance et de recours individuel prévus par le droit américain en ce qui concerne la collecte et l’utilisation ultérieure par les autorités publiques américaines de données à caractère personnel transférées à des responsables du traitement et des sous-traitants aux États-Unis pour des motifs d’intérêt public, en particulier à des fins répressives et à des fins de sécurité nationale (ci-après l’«accès des pouvoirs publics») (147). Lorsqu’elle a évalué si les conditions dans lesquelles les pouvoirs publics accèdent aux données transférées vers les États-Unis en vertu de la présente décision remplissaient le critère de l’«équivalence substantielle» conformément à l’article 45, paragraphe 1, du règlement (UE) 2016/679, tel qu’il est interprété par la Cour de justice à la lumière de la Charte des droits fondamentaux, la Commission a notamment pris en considération plusieurs critères.

(89)

En particulier, toute limitation du droit à la protection des données à caractère personnel doit être prévue par la loi et la base juridique qui permet l’ingérence dans ce droit doit définir elle-même la portée de la limitation de l’exercice du droit concerné (148). En outre, pour satisfaire à l’exigence de proportionnalité selon laquelle les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire dans une société démocratique pour répondre à des objectifs spécifiques d’intérêt général équivalents à ceux reconnus par l’Union, cette base juridique doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données ont été transférées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus (149). En outre, ces règles et garanties doivent être juridiquement contraignantes et opposables par les personnes concernées (150). En particulier, les personnes concernées doivent disposer de la possibilité d’exercer des voies de droit devant un tribunal indépendant et impartial afin d’avoir accès à des données à caractère personnel les concernant, ou d’obtenir la rectification ou la suppression de telles données (151).

(90)

En ce qui concerne les ingérences dans les données à caractère personnel transférées au titre du CPD UE - États-Unis aux fins de garantir l’application de la loi, le droit des États-Unis impose un certain nombre de limitations à l’accès aux données à caractère personnel et à l’utilisation de celles-ci et prévoit des mécanismes de surveillance et de recours qui sont conformes aux exigences visées au considérant 89 de la présente décision. Les conditions dans lesquelles un tel accès peut intervenir et les garanties applicables à l’utilisation de ces pouvoirs sont évaluées en détail dans les sections suivantes. À cet égard, le gouvernement américain (par l’intermédiaire du ministère de la justice) a également donné des garanties concernant les limitations et les protections en vigueur (annexe VI de la présente décision).

(91)

Les données à caractère personnel traitées par des organisations américaines certifiées qui seraient transférées depuis l’Union sur la base du CPD UE - États-Unis peuvent être consultées à des fins répressives par les procureurs fédéraux et les enquêteurs fédéraux des États-Unis selon des procédures différentes, comme expliqué en détail aux considérants 92 à 99. Ces procédures s’appliquent de la même manière lorsque des informations sont obtenues auprès de toute organisation américaine, indépendamment de la nationalité ou du lieu de résidence des personnes concernées (152).

(92)

Premièrement, à la demande d’un agent fédéral chargé de l’application de la loi ou d’un procureur public, un juge peut délivrer un mandat de perquisition ou de saisie (y compris d’informations stockées par voie électronique) (153). Un tel mandat ne peut être délivré que s’il existe une «présomption sérieuse» (154) que des «objets saisissables» (preuves d’un délit, objets détenus illégalement ou biens conçus ou destinés à être utilisés ou utilisés pour commettre un délit) sont susceptibles d’être trouvés à l’endroit spécifié par le mandat. Le mandat doit indiquer le bien ou l’objet à saisir et désigner le juge auquel le mandat doit être renvoyé. Une personne faisant l’objet d’une fouille ou dont les biens font l’objet d’une perquisition peut agir pour réclamer la suppression des preuves obtenues ou dérivées d’une fouille ou perquisition illicite si ces preuves sont présentées à son encontre au cours d’un procès pénal (155). Lorsqu’un détenteur de données (par exemple une entreprise) est tenu de divulguer des données en vertu d’un mandat, il peut notamment contester l’obligation de divulgation au motif qu’elle est indûment contraignante (156).

(93)

Deuxièmement, une citation à comparaître peut être délivrée par un grand jury (organe d’enquête du tribunal constitué par un juge ou un magistrat) dans le cadre d’enquêtes sur certains délits graves (157), généralement à la demande d’un procureur fédéral, afin d’obliger une personne à produire ou à mettre à disposition des documents commerciaux, des informations stockées par voie électronique ou d’autres éléments tangibles. En outre, différents actes législatifs fédéraux autorisent l’utilisation d’injonctions administratives pour obtenir la production ou la mise à disposition de documents professionnels, d’informations électroniques ou d’autres éléments tangibles dans des enquêtes sur des fraudes à l’assurance maladie, des abus d’enfants, la protection des services secrets, des abus de substances illégales et des enquêtes de l’inspecteur général (158). Dans les deux cas, les informations doivent être pertinentes pour l’enquête et l’injonction ne peut présenter un caractère déraisonnable, c’est-à-dire être excessive, abusive ou accablante (et peut être contestée par le destinataire de l’assignation pour ces motifs) (159).

(94)

Des conditions très similaires s’appliquent aux injonctions administratives émises pour demander l’accès à des données détenues par des entreprises aux États-Unis à des fins civiles ou réglementaires («intérêt public»). Le pouvoir des agences investies de responsabilités civiles et réglementaires d’émettre de telles injonctions administratives doit être établi par la loi. L’utilisation d’une injonction administrative est soumise à un «critère du caractère raisonnable», qui exige que l’enquête soit menée conformément à un objectif légitime, que les informations demandées dans le cadre de l’injonction soient pertinentes à cette fin, que l’agence ne dispose pas déjà des informations qu’elle cherche à obtenir avec l’injonction et que les démarches administratives nécessaires pour émettre l’injonction ont été suivies (160). La jurisprudence de la Cour suprême a également clarifié la nécessité de mettre en balance l’importance de l’intérêt public dans les informations demandées et l’importance des intérêts personnels et organisationnels en matière de respect de la vie privée (161). Bien que le recours à une injonction administrative ne soit pas soumis à l’autorisation préalable d’une juridiction, il fait l’objet d’un contrôle juridictionnel en cas de contestation par le destinataire pour les motifs susmentionnés, ou si l’agence émettrice cherche à faire exécuter l’injonction devant une juridiction (162). Outre ces limitations générales, des exigences spécifiques (plus strictes) peuvent découler de certaines lois (163).

(95)

Troisièmement, plusieurs bases juridiques permettent aux autorités répressives d’obtenir l’accès à des données de communication. Un tribunal peut rendre une ordonnance judiciaire autorisant la collecte d’informations génériques de composition de numéro de téléphone, de routage, d’adressage et de signalisation, ne portant pas sur le contenu et en temps réel, sur un numéro de téléphone ou une adresse de courrier électronique (en utilisant un enregistreur graphique ou un dispositif de traçage), s’il constate que l’autorité a certifié que les informations susceptibles d’être obtenues sont en rapport avec une enquête pénale en cours (164). L’ordonnance doit notamment préciser l’identité du suspect, si elle est connue; les caractéristiques des communications auxquelles elle s’applique et l’infraction à laquelle se rapportent les informations à collecter. L’utilisation d’un enregistreur graphique ou d’un dispositif de traçage peut être autorisée pour une période maximale de 60 jours, qui ne peut être prolongée que par une nouvelle ordonnance judiciaire.

(96)

En outre, l’accès, à des fins répressives, aux informations d’abonnement, données de trafic et contenus de communications enregistrés par des fournisseurs de service internet, des compagnies de téléphone et d’autres fournisseurs de services tiers peut être obtenu sur la base du Stored Communications Act (165). Afin d’accéder au contenu enregistré de communications électroniques, les autorités répressives doivent, en principe, obtenir auprès d’un juge un mandat fondé sur un motif sérieux de croire que le compte en question contient des preuves d’une infraction grave (166). Pour les informations relatives à l’enregistrement des abonnés, les adresses IP et les données temporelles y afférentes, ainsi que les informations de facturation, les autorités répressives peuvent obtenir une injonction. Pour la plupart des autres informations enregistrées ne portant pas sur le contenu, telles que les intitulés de courriers électroniques sans indication d’objet, les autorités répressives doivent obtenir une ordonnance judiciaire, qui sera délivrée si le juge estime qu’il existe des motifs raisonnables de croire que les informations demandées sont pertinentes et nécessaires pour une enquête pénale en cours.

(97)

Les fournisseurs qui reçoivent des demandes au titre du Stored Communications Act peuvent adresser volontairement une notification au client ou à l’abonné au sujet duquel des informations sont demandées, sauf si l’autorité répressive compétente obtient une ordonnance conservatoire interdisant une telle notification (167). Il s’agit d’une ordonnance judiciaire exigeant qu’un fournisseur de services de communications électroniques ou de services informatiques à distance à qui un mandat, une assignation ou une ordonnance judiciaire est adressé, ne notifie à aucune autre personne l’existence du mandat, de l’assignation ou de l’ordonnance judiciaire, aussi longtemps que le tribunal le juge approprié. Une ordonnance conservatoire est accordée si un tribunal estime qu’il y a des motifs de considérer que la notification compromettrait gravement une enquête ou retarderait indûment un procès, par exemple parce qu’elle mettrait en danger la vie ou la sécurité physique d’une personne, lui permettrait d’échapper à des poursuites, intimiderait des témoins potentiels, etc. Un mémorandum du procureur général adjoint (qui s’impose à tous les avocats et agents du ministère de la justice) exige des procureurs qu’ils établissent de manière détaillée la nécessité d’une ordonnance conservatoire et qu’ils justifient auprès du tribunal la manière dont les critères prévus pour l’obtention d’une telle ordonnance sont remplis dans le cas d’espèce (168). Le mémorandum prévoit également que les demandes d’ordonnances conservatoires ne doivent généralement pas viser à retarder la notification de plus d’un an. Lorsque, dans des circonstances exceptionnelles, des ordonnances de plus longue durée peuvent s’avérer nécessaires, elles ne peuvent être sollicitées qu’avec l’accord écrit d’un superviseur désigné par le procureur général ou l’assistant du procureur général compétent. En outre, lors de la clôture d’une enquête, le procureur doit immédiatement évaluer s’il y a lieu de maintenir les ordonnances conservatoires en vigueur et, si ce n’est pas le cas, mettre fin à l’ordonnance et veiller à ce que le fournisseur de services en soit informé (169).

(98)

Les autorités répressives peuvent également intercepter en temps réel les communications filaires, orales ou électroniques sur la base d’une ordonnance judiciaire par un juge estimant notamment qu’il existe un motif sérieux de croire que la mise sur écoute ou l’interception électronique permettra d’obtenir des preuves d’une infraction grave au droit fédéral ou des renseignements sur la localisation d’un fugitif cherchant à échapper à des poursuites (170).

(99)

D’autres protections sont prévues par diverses politiques et lignes directrices du ministère de la justice, par exemple les lignes directrices du procureur général destinées aux activités intérieures du Federal Bureau of Investigation (FBI) (AGG-DOM), qui exigent notamment que le FBI utilise les méthodes d’enquête les moins intrusives possible, en tenant compte de leur impact sur la vie privée et les libertés civiles (171).

(100)

Selon les observations du gouvernement américain, les protections identiques ou plus élevées décrites plus haut s’appliquent aux enquêtes menées au niveau des États aux fins de garantir le respect de la loi (pour les enquêtes menées en vertu des législations des États) (172). En particulier, les dispositions constitutionnelles, ainsi que les lois et la jurisprudence au niveau de l’État réaffirment les protections susmentionnées contre les perquisitions et saisies abusives en exigeant la délivrance d’un mandat de perquisition (173). À l’instar des protections accordées au niveau fédéral, les mandats de perquisition ne peuvent être délivrés que sur la base d’une présomption sérieuse et doivent décrire le lieu à perquisitionner et la personne à appréhender ou le bien à saisir (174).

(101)

En ce qui concerne l’utilisation ultérieure des données collectées par les autorités répressives fédérales, différentes lois, lignes directrices et normes imposent des garanties spécifiques. À l’exception des instruments spécifiques applicables aux activités du FBI (AGG-DOM et Domestic Investigations and Operations Guide du FBI), les exigences décrites dans la présente section s’appliquent généralement à l’utilisation ultérieure des données par toute autorité fédérale, y compris aux données consultées à des fins civiles ou réglementaires. Il s’agit notamment des exigences découlant des mémos/règlements de l’Office of Management and Budget, du Federal Information Security Management Modernization Act, du E-Government Act and du Federal Records Act.

(102)

Conformément à l’autorité conférée par le Clinger-Cohen Act (P.L. 104-106, Division E) et le Computer Security Act de 1987 (P.L. 100-235), l’Office of Management and Budget (OMB) a publié la circulaire A-130 afin d’établir des orientations générales contraignantes qui s’appliquent à toutes les agences fédérales (y compris les autorités répressives) lorsqu’elles traitent des données d’identification (175). En particulier, la circulaire demande à toutes les agences fédérales de «limiter la création, la collecte, l’utilisation, le traitement, le stockage, la conservation, la diffusion et la divulgation de données d’identification à ce qui est légalement autorisé, pertinent et raisonnablement considéré comme nécessaire à la bonne exécution des fonctions autorisées de l’agence» (176). En outre, dans la mesure du possible, les agences fédérales doivent veiller à ce que les données d’identification soient exactes, pertinentes, disponibles en temps utile et complètes, et réduites au minimum nécessaire à la bonne exécution des fonctions de l’agence. Plus généralement, les agences fédérales doivent mettre en place un programme complet de protection de la vie privée afin de garantir le respect des exigences applicables en la matière, d’élaborer et d’évaluer les politiques de protection de la vie privée et de gérer les risques liés à la protection de la vie privée; mettre en place des procédures pour détecter, documenter et signaler les incidents liés au respect de la vie privée; élaborer des programmes de sensibilisation et de formation à la protection de la vie privée à l’intention des employés et des sous-traitants; et mettre en place des politiques et des procédures pour s’assurer que le personnel est tenu responsable du respect des exigences et des politiques en matière de protection de la vie privée (177).

(103)

En outre, la loi sur l’administration en ligne (E-Government Act) (178) exige que toutes les agences fédérales (y compris les autorités répressives) mettent en place des mesures de protection de la sécurité des informations proportionnées au risque et à l’ampleur du préjudice qui résulterait de tout accès, utilisation, divulgation, perturbation, modification ou destruction non autorisés; qu’elles disposent d’un responsable de l’information chargé de veiller au respect des exigences en matière de sécurité de l’information et qu’elles procèdent à une évaluation annuelle indépendante (par exemple par un inspecteur général, voir considérant 109) de leur programme et de leurs pratiques en matière de sécurité de l’information (179). De même, le Federal Records Act (FRA) (180) et les règlements complémentaires (181) exigent que les informations détenues par les agences fédérales soient soumises à des mesures de sauvegarde garantissant l’intégrité physique des informations et les protégeant contre tout accès non autorisé.

(104)

En vertu des pouvoirs conférés par une loi fédérale, notamment le Federal Information Security Modernisation Act de 2014, l’OMB et le National Institute of Standards and Technology (NIST) ont élaboré des normes qui sont contraignantes pour les agences fédérales (y compris les autorités répressives) et qui précisent les exigences minimales en matière de sécurité de l’information qui doivent être mises en place, notamment les contrôles d’accès, la sensibilisation et la formation, les plans d’urgence, la réponse aux incidents, les outils d’audit et de responsabilité, la garantie de l’intégrité des systèmes et des informations, la réalisation d’évaluations des risques en matière de sécurité et de protection de la vie privée, etc. (182). En outre, toutes les agences fédérales (y compris les autorités répressives) doivent, conformément aux lignes directrices de l’OMB, établir et mettre en œuvre un plan de gestion des violations de données, notamment lorsqu’il s’agit de répondre à de telles violations et d’évaluer les risques de préjudice (183).

(105)

En ce qui concerne la conservation des données, le FRA (184) exige que les agences fédérales américaines (y compris les autorités répressives) établissent des périodes de conservation pour leurs archives (après quoi ces archives doivent être éliminées), qui doivent être approuvées par la National Archives and Record Administration (185). La durée de ces périodes de conservation est fixée en fonction de différents facteurs, tels que le type d’enquête, la question de savoir si les éléments de preuve sont toujours pertinents pour l’enquête, etc. En ce qui concerne le FBI, l’AGG-DOM prévoit que celui-ci doit mettre en place un tel plan de conservation des archives et gérer un système permettant de consulter rapidement l’état d’avancement et le fondement des enquêtes.

(106)

Enfin, la circulaire A-130 de l’OMB contient également certaines exigences relatives à la diffusion de données d’identification. En principe, la diffusion et la divulgation de données d’identification doivent être limitées à ce qui est légalement autorisé, pertinent et raisonnablement considéré comme nécessaire à la bonne exécution des fonctions d’une agence (186). Lorsqu’elles partagent des données d’identification avec d’autres entités publiques, les agences fédérales américaines doivent imposer, le cas échéant, des conditions (notamment la mise en œuvre de contrôles spécifiques en matière de sécurité et de respect de la vie privée) qui régissent le traitement des informations dans le cadre d’accords écrits (notamment des contrats, des accords d’utilisation des données, des accords d’échange d’informations et des protocoles d’accord) (187). En ce qui concerne les motifs sur la base desquels les informations peuvent être diffusées, l’AGG-DOM et le Domestic Investigations and Operations Guide du FBI (188) prévoient, par exemple, que le FBI peut être soumis à une obligation légale d’agir de la sorte (par exemple en vertu d’un accord international) ou être autorisé à diffuser des informations dans certaines circonstances, par exemple à d’autres agences américaines si la divulgation est compatible avec l’objectif pour lequel les informations ont été collectées et si elle est liée à leurs responsabilités; à des commissions du Congrès; à des agences étrangères si les informations sont liées à leurs responsabilités et si leur diffusion est compatible avec les intérêts des États-Unis, si la diffusion est notamment nécessaire pour protéger la sûreté ou la sécurité des personnes ou des biens, ou pour prévenir une atteinte ou une menace pour la sécurité nationale et offrir une protection contre ces dernières, et si la divulgation est compatible avec la finalité pour laquelle les informations ont été collectées (189).

(107)

Les activités des autorités répressives fédérales font l’objet d’une surveillance de la part de divers organes (190). Comme expliqué aux considérants 92 à 99, dans la plupart des cas, cela inclut une surveillance préalable par le pouvoir judiciaire, qui doit autoriser des mesures de collecte individuelles avant qu’elles puissent être appliquées. En outre, d’autres organismes surveillent les différentes étapes des activités des autorités répressives, y compris la collecte et le traitement de données à caractère personnel. Ensemble, ces organes judiciaires et non judiciaires veillent à ce que les autorités répressives soient soumises à une surveillance indépendante.

(108)

Premièrement, des délégués à la protection des libertés civiles ou de la vie privée investis de responsabilités en matière pénale sont en place dans différents services (191). Si les pouvoirs spécifiques de ces délégués peuvent varier quelque peu en fonction de leur mandat, ils englobent généralement la surveillance des procédures permettant de veiller à ce que le service concerné/l’agence concernée prenne en compte de façon adéquate les problèmes touchant à la vie privée et aux libertés civiles et ait mis en place des procédures appropriées pour traiter les réclamations émanant de personnes qui estiment que leur vie privée ou les libertés civiles ont été violées. Les chefs de service ou de l’agence doivent veiller à ce que les délégués à la protection des libertés civiles et de la vie privée disposent des documents et des ressources nécessaires à l’accomplissement de leur mandat, se voient accorder l’accès à tous les documents et au personnel nécessaires pour pouvoir s’acquitter de leurs fonctions et soient informés et consultés sur les changements de politique proposés (192). Les délégués à la protection des libertés civiles et de la vie privée font régulièrement rapport au Congrès, notamment sur le nombre et la nature des réclamations reçues par le service/l’agence, les informent succinctement du sort réservé à ces réclamations, et les renseignent sur les examens et les enquêtes effectués ainsi que sur l’impact des activités menées par le délégué (193).

(109)

Deuxièmement, un inspecteur général indépendant contrôle les activités du ministère de la justice, y compris du FBI (194). Les inspecteurs généraux sont des entités dont l’indépendance est inscrite dans la loi (195) et sont chargés de mener des enquêtes, des audits et des inspections indépendants sur les programmes et activités menés par le ministère. Ils ont accès à l’ensemble des archives, rapports, audits, réexamens, documents, recommandations ou à tout autre matériel pertinent, si nécessaire au moyen d’une ordonnance, et ils peuvent recueillir des témoignages (196). Si les inspecteurs généraux formulent des recommandations non contraignantes sur l’adoption de mesures correctives, leurs rapports, notamment sur les mesures de suivi (ou leur absence) (197) sont généralement rendus publics et transmis au Congrès qui peut, sur cette base, exercer sa fonction de contrôle (voir considérant 111) (198).

(110)

Troisièmement, dans la mesure où ils mènent des activités de lutte contre le terrorisme, les services investis de responsabilités en matière pénale sont soumis au contrôle du conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board, PCLOB), une agence indépendante au sein du pouvoir exécutif composée d’un conseil bipartisan constitué de cinq membres nommés par le président pour un mandat fixe de six ans avec l’approbation du Sénat (199). Selon son statut fondateur, le PCLOB est investi de responsabilités dans le domaine des politiques de lutte contre le terrorisme et de leur mise en œuvre, en vue de protéger la vie privée et les libertés civiles. Dans le cadre de son examen, il peut avoir accès à l’ensemble des archives, rapports, audits, analyses, documents, pièces et recommandations pertinents, notamment aux informations classifiées, mener des entretiens et recueillir des témoignages (200). Il reçoit des rapports des délégués à la protection des libertés civiles et de la vie privée de plusieurs agences/organes fédéraux (201); il peut adresser des recommandations aux autorités gouvernementales et répressives et fait régulièrement rapport aux commissions du Congrès et au président (202). Les rapports du PCLOB, y compris ceux destinés au Congrès, doivent être rendus publics dans la mesure la plus large possible (203).

(111)

Enfin, les activités de répression pénale sont soumises à la surveillance de commissions spécifiques du Congrès américain (les commissions judiciaires de la Chambre des représentants et du Sénat). Les commissions judiciaires exercent une surveillance régulière de différentes manières, notamment au moyen d’auditions, d’enquêtes, d’examens et de rapports (204).

(112)

Comme indiqué, les autorités répressives doivent, dans la plupart des cas, obtenir une autorisation judiciaire préalable pour collecter des données à caractère personnel. Bien qu’une telle autorisation ne soit pas nécessaire pour les injonctions administratives, le recours à celles-ci est limité à des cas spécifiques et sera soumis à un contrôle juridictionnel indépendant, tout du moins lorsque le gouvernement cherche à faire exécuter ces injonctions par la voie judiciaire. En particulier, les destinataires des injonctions administratives peuvent contester celles-ci en justice au motif qu’elles ne sont pas raisonnables, c’est-à-dire qu’elles sont excessives, abusives ou accablantes (205).

(113)

Les personnes peuvent tout d’abord introduire des demandes ou des réclamations auprès des autorités répressives concernant le traitement des données à caractère personnel les concernant. Dans ce contexte, elles ont notamment la possibilité de demander l’accès à des données à caractère personnel et leur rectification (206). En ce qui concerne les activités liées à la lutte contre le terrorisme, les personnes peuvent également introduire une réclamation auprès des délégués à la protection des libertés civiles et de la vie privée (ou d’autres agents chargés de la protection de la vie privée) au sein des services répressifs (207).

(114)

De plus, le droit américain offre aux personnes physiques plusieurs voies de recours contre les autorités publiques, ou un de leurs fonctionnaires, lorsque ces autorités traitent des données à caractère personnel (208). Ces voies de recours, parmi lesquelles figurent notamment l’APA, le Freedom of Information Act (loi sur la liberté d’information, FOIA) et l’Electronic Communications Privacy Act (loi sur la confidentialité des communications électroniques, ECPA), sont ouvertes à toutes les personnes, quelle que soit leur nationalité, sous réserve des conditions applicables.

(115)

De manière générale, en vertu des dispositions relatives au contrôle juridictionnel de l’APA (209), «toute personne subissant un dommage du fait d’une décision d’une agence, ou qui est affectée ou lésée par une telle décision», peut former un recours juridictionnel (210). Cela inclut la possibilité de demander au tribunal de «déclarer illégales et d’annuler la décision, les constatations et les conclusions de l’agence jugées […] arbitraires, capricieuses, constitutives d’un abus du pouvoir d’appréciation ou non conformes à la loi pour une autre raison» (211).

(116)

Plus spécifiquement, le titre II de l’ECPA (212) définit un système de droits légaux en matière de protection de la vie privée et régit l’accès des autorités chargées de faire respecter la loi aux contenus des communications téléphoniques, orales ou électroniques stockées par des prestataires de services tiers (213). Il rend punissable l’accès illicite (c’est-à-dire non autorisé par les juridictions ou autrement permis) à ces communications et permet aux personnes concernées d’engager une action au civil devant un tribunal fédéral américain pour demander des dommages et intérêts, y compris punitifs, ainsi qu’une réparation en equity ou une décision déclaratoire contre un fonctionnaire de l’État qui a délibérément commis ces actes illicites ou contre les États-Unis.

(117)

En outre, plusieurs autres lois garantissent aux personnes le droit d’intenter un procès contre une autorité publique ou un fonctionnaire américain(e) en ce qui concerne le traitement de leurs données à caractère personnel, telles que le Wiretap Act (loi sur les écoutes téléphoniques) (214), le Computer Fraud and Abuse Act (loi relative à la fraude et aux abus informatiques) (215), le Federal Torts Claim Act (loi fédérale sur les actions pour cause d’infraction) (216), le Right to Financial Privacy Act (loi sur le droit à la protection des données personnelles à caractère financier) (217), et le Fair Credit Reporting Act (218).

(118)

En outre, en vertu du FOIA (219), 5 U.S.C. § 552, toute personne a le droit d’obtenir l’accès à des informations d’agences fédérales, y compris lorsque celles-ci contiennent les données à caractère personnel de la personne concernée. Après avoir épuisé les voies de recours administratives, une personne concernée peut invoquer ce droit d’accès en justice, à moins que ces informations ne soient protégées contre toute divulgation publique par une dérogation ou par une exclusion spéciale à des fins répressives (220). Dans ce cas, la juridiction appréciera si une dérogation s’applique ou a été légalement invoquée par l’autorité publique compétente.

(119)

Le droit des États-Unis impose diverses limitations et garanties en ce qui concerne l’accès aux données à caractère personnel et l’utilisation de celles-ci à des fins de sécurité nationale. Il prévoit également des mécanismes de surveillance et de recours qui sont conformes aux exigences visées au considérant 89 de la présente décision. Les conditions dans lesquelles un tel accès peut intervenir et les garanties applicables à l’utilisation de ces pouvoirs sont évaluées en détail dans les sections suivantes.

(120)

Les données à caractère personnel transférées de l’Union vers des organisations participant au CPD UE - États-Unis peuvent être collectées par les autorités américaines à des fins de sécurité nationale sur la base de différents instruments juridiques, sous réserve de conditions et de garanties spécifiques.

(121)

Une fois que des organisations situées aux États-Unis ont reçu des données à caractère personnel, les services de renseignement américains ne peuvent demander l’accès à ces données à des fins de sécurité nationale que s’ils y sont autorisés par la loi, en particulier en vertu de la loi sur la surveillance des renseignements étrangers (FISA) ou des dispositions légales autorisant l’accès au moyen de lettres de sécurité nationale (National Security Letters, NSL) (221). Le FISA contient plusieurs bases juridiques qui peuvent être utilisées pour collecter (et par la suite traiter) les données à caractère personnel de personnes concernées de l’Union transférées en vertu du CPD UE - États-Unis [article 105 du FISA (222), article 302 du FISA (223), article 402 du FISA (224), article 501 du FISA (225) et article 702 du FISA (226)], comme décrit plus en détail aux considérants 142 à 152.

(122)

Les agences de renseignement américaines ont également la possibilité de collecter des données à caractère personnel en dehors des États-Unis, ce qui peut inclure des données à caractère personnel en transit entre l’Union et les États-Unis. La collecte en dehors des États-Unis est fondée sur le décret présidentiel no 12333 (Executive Order 12333, ci-après l’«EO 12333») (227), émis par le président (228).

(123)

La collecte de renseignements d’origine électromagnétique est la forme de collecte de renseignements la plus pertinente pour la présente décision relative à l’adéquation du niveau de protection, car elle concerne la collecte de communications électroniques et de données provenant de systèmes d’information. Cette collecte peut être effectuée par les agences de renseignement américaines à la fois sur le territoire des États-Unis (sur la base du FISA) et pendant que les données sont en transit vers les États-Unis (sur la base de l’EO 12333).

(124)

Le 7 octobre 2022, le président des États-Unis a publié l’EO 14086 sur le renforcement des garanties pour les activités de renseignement d’origine électromagnétique menées par les États-Unis, qui fixe des limites et des garanties pour toutes les activités de renseignement d’origine électromagnétique menées par les États-Unis. Ce décret remplace, dans une large mesure (229), la directive présidentielle no 28 (Presidential Policy Directive 28, ci-après la «PPD-28»), renforce les conditions, les limitations et les garanties qui s’appliquent à toutes les activités de renseignement d’origine électromagnétique (c’est-à-dire sur la base du FISA et de l’EO 12333), quel que soit le lieu où elles se déroulent (230), et établit un nouveau mécanisme de recours par lequel ces garanties peuvent être invoquées et appliquées par les personnes concernées (231) (voir plus en détail les considérants 176 à 194). Ce faisant, il transpose en droit américain le résultat des pourparlers qui ont eu lieu entre l’UE et les États-Unis à la suite de l’invalidation par la Cour de justice de la décision de la Commission relative à l’adéquation du niveau de protection assuré par le bouclier de protection des données (voir considérant 6). Il s’agit donc d’un élément particulièrement important du cadre juridique évalué dans la présente décision.

(125)

Les limitations et garanties introduites par l’EO 14086 complètent celles prévues à l’article 702 du FISA et à l’EO 12333. Les exigences décrites ci-dessous (aux sections 3.2.1.2 et 3.2.1.3) doivent être appliquées par les agences de renseignement lorsqu’elles se livrent à des activités de renseignement d’origine électromagnétique en vertu de l’article 702 du FISA et de l’EO 12333, par exemple lorsqu’elles sélectionnent/identifient des catégories de renseignements étrangers à acquérir en vertu de l’article 702 du FISA; collectent des renseignements étrangers ou des contre-renseignements conformément à l’EO 12333; et prennent des décisions de ciblage individuel au titre de l’article 702 du FISA et de l’EO 12333.

(126)

Les exigences énoncées dans ce décret présidentiel sont contraignantes pour l’ensemble de la communauté du renseignement. Elles doivent être davantage mises en œuvre au moyen de politiques et de procédures émanant des agences, qui les transposent en orientations concrètes pour les opérations quotidiennes. À cet égard, l’EO 14086 accorde aux agences de renseignement américaines un délai d’un an au maximum pour mettre à jour leurs politiques et procédures existantes (c’est-à-dire au plus tard le 7 octobre 2023) afin de les mettre en conformité avec les exigences de l’EO. Ces politiques et procédures actualisées doivent être élaborées en consultation avec le procureur général, le responsable de la protection des libertés civiles du bureau du directeur du renseignement national (ODNI CLPO) et le conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board, PCLOB) — un organe de surveillance indépendant habilité à examiner les politiques relevant du pouvoir exécutif et leur mise en œuvre, en vue de protéger la vie privée et les libertés civiles (voir considérant 110 en ce qui concerne le rôle et le statut du PCLOB) — et être rendues publiques (232). En outre, une fois que les politiques et procédures actualisées seront en place, le PCLOB procédera à un examen afin de s’assurer qu’elles sont conformes au décret. Dans les 180 jours suivant l’achèvement de cet examen par le PCLOB, chaque agence de renseignement doit examiner attentivement et mettre en œuvre toutes les recommandations du PCLOB ou y donner suite d’une autre manière. Le 3 juillet 2023, le gouvernement américain a publié ces politiques et procédures actualisées (233).

(127)

L’EO 14086 fixe un certain nombre d’exigences fondamentales qui s’appliquent à toutes les activités de renseignement d’origine électromagnétique (collecte, utilisation, diffusion, etc. de données à caractère personnel).

(128)

Premièrement, ces activités doivent être fondées sur une loi ou une autorisation présidentielle et doivent être effectuées conformément au droit des États-Unis, notamment la Constitution (234).

(129)

Deuxièmement, des garanties appropriées doivent être mises en place pour s’assurer qu’il est pleinement tenu compte de la protection de la vie privée et des libertés fondamentales dans la planification de ces activités (235).

(130)

En particulier, toute activité de renseignement d’origine électromagnétique ne peut être menée qu’«après avoir déterminé, sur la base d’une évaluation raisonnable de tous les facteurs pertinents, que les activités sont nécessaires pour faire progresser une priorité validée en matière de renseignement» (en ce qui concerne la notion de «priorité validée en matière de renseignement», voir considérant 135) (236).

(131)

En outre, ces activités ne peuvent être menées que «dans la mesure et d’une manière proportionnées à la priorité validée en matière de renseignement pour laquelle elles ont été autorisées» (237). En d’autres termes, il convient de trouver un juste équilibre «entre l’importance de la priorité poursuivie en matière de renseignement et l’incidence sur la vie privée et les libertés civiles de la personne concernée, quels que soient sa nationalité et son lieu de résidence» (238).

(132)

Enfin, pour garantir le respect de ces exigences générales — qui tiennent compte des principes de légalité, de nécessité et de proportionnalité —, les activités de renseignement d’origine électromagnétique font l’objet d’une surveillance (voir plus en détail la section 3.2.2) (239).

(133)

Ces exigences fondamentales sont renforcées, en ce qui concerne la collecte de renseignements d’origine électromagnétique, par un certain nombre de conditions et de limitations garantissant que l’ingérence dans les droits des personnes est limitée à ce qui est nécessaire et proportionné pour atteindre un objectif légitime.

(134)

Premièrement, le décret limite de deux manières les motifs pour lesquels des données peuvent être collectées dans le cadre d’activités de renseignement d’origine électromagnétique. D’une part, le décret définit les objectifs légitimes qui peuvent être poursuivis par la collecte de renseignements d’origine électromagnétique, par exemple comprendre ou évaluer les capacités, les intentions ou les activités d’organisations étrangères, notamment d’organisations terroristes internationales, qui constituent une menace actuelle ou potentielle pour la sécurité nationale des États-Unis; se protéger contre les capacités et les activités militaires étrangères; comprendre ou évaluer les menaces transnationales qui ont une incidence sur la sécurité mondiale, telles que les changements climatiques et autres changements écologiques, les risques pour la santé publique et les menaces humanitaires (240). D’autre part, le décret énumère certains objectifs qui ne doivent jamais être poursuivis par des activités de renseignement d’origine électromagnétique, par exemple dans le but d’entraver les critiques, les désaccords ou la libre expression d’idées ou d’opinions politiques par des personnes ou par la presse; de défavoriser des personnes au motif de leur appartenance ethnique, de leur race, de leur genre, de leur identité sexuelle, de leur orientation sexuelle ou de leur religion; ou de conférer un avantage concurrentiel aux entreprises américaines (241).

(135)

En outre, les objectifs légitimes définis dans l’EO 14086 ne peuvent pas, à eux seuls, être invoqués par les agences de renseignement pour justifier la collecte de renseignements d’origine électromagnétique, mais ils doivent être étayés, à des fins opérationnelles, par des priorités plus concrètes pour lesquelles des renseignements d’origine électromagnétique peuvent être collectés. En d’autres termes, la collecte effective ne peut avoir lieu que pour faire progresser une priorité plus spécifique. Ces priorités sont établies dans le cadre d’une procédure spéciale visant à garantir le respect des exigences légales applicables, notamment celles relatives à la vie privée et aux libertés civiles. Plus précisément, les priorités en matière de renseignement sont d’abord définies par le directeur du renseignement national (dans le cadre des priorités nationales en matière de renseignement) et soumises à l’approbation du président (242). Avant de proposer au président des priorités en matière de renseignement, le directeur doit, conformément à l’EO 14086, obtenir une évaluation de l’ODNI CLPO pour chaque priorité afin de déterminer si elle 1) fait progresser un ou plusieurs objectifs légitimes énumérés dans le décret; 2) n’a pas été conçue pour la collecte de renseignements d’origine électromagnétique à des fins interdites énumérées dans le décret ni ne devrait donner lieu à une telle collecte; et 3) a été établie après avoir dûment pris en compte les aspects relatifs à la vie privée et aux libertés civiles de toutes les personnes, quels que soient leur nationalité et leur lieu de résidence (243). Si le directeur est en désaccord avec l’évaluation du CLPO, les deux avis doivent être présentés au président (244).

(136)

Par conséquent, cette procédure garantit notamment que les questions de protection de la vie privée sont prises en compte dès le stade initial de l’élaboration des priorités en matière de renseignement.

(137)

Deuxièmement, une fois qu’une priorité en matière de renseignement a été établie, un certain nombre d’exigences régissent la décision de savoir si et dans quelle mesure des renseignements d’origine électromagnétique peuvent être collectés pour faire avancer cette priorité. Ces exigences concrétisent les normes générales de nécessité et de proportionnalité énoncées à l’article 2(a) du décret.

(138)

En particulier, les renseignements d’origine électromagnétique ne peuvent être collectés qu’«après avoir déterminé, sur la base d’une évaluation raisonnable de tous les facteurs pertinents, que la collecte est nécessaire pour faire progresser une priorité spécifique en matière de renseignement» (245). Afin de déterminer si la collecte de renseignements d’origine électromagnétique est nécessaire pour faire progresser une priorité validée en matière de renseignement, les agences de renseignement américaines doivent examiner la disponibilité, la faisabilité et la validité d’autres sources et méthodes moins intrusives, notamment de sources diplomatiques et publiques (246). Lorsqu’elles sont disponibles, la priorité doit être donnée à ces autres sources et méthodes moins intrusives (247).

(139)

Lorsque, en application de ces critères, la collecte de renseignements d’origine électromagnétique est jugée nécessaire, elle doit être aussi «ciblée que possible» et ne doit pas «avoir un effet disproportionné sur la vie privée et les libertés civiles» (248). Afin de prévenir un effet disproportionné sur la vie privée et les libertés civiles, c’est-à-dire de trouver un juste équilibre entre les besoins de sécurité nationale et la protection de la vie privée et des libertés civiles, tous les facteurs pertinents doivent être dûment pris en compte, tels que la nature de l’objectif poursuivi; le caractère intrusif de la collecte, notamment sa durée; la contribution probable de la collecte à l’objectif poursuivi; les conséquences raisonnablement prévisibles pour les personnes concernées; et la nature et le caractère sensible des données à collecter (249).

(140)

En ce qui concerne le type de collecte de renseignements d’origine électromagnétique, la collecte de données aux États-Unis, qui est la plus pertinente pour la présente décision puisqu’elle concerne des données qui ont été transférées vers des organisations aux États-Unis, doit toujours être ciblée, comme expliqué plus en détail aux considérants 142 à 153.

(141)

La «collecte en vrac» (250) ne peut avoir lieu qu’en dehors des États-Unis, sur la base de l’EO 12333. Également dans ce cas, conformément à l’EO 14086, la priorité doit être donnée à une collecte ciblée (251). Inversement, la collecte en vrac n’est autorisée que lorsque les informations nécessaires pour faire progresser une priorité validée en matière de renseignement ne peuvent raisonnablement pas être obtenues par une collecte ciblée (252). Lorsqu’il est nécessaire de procéder à une collecte en vrac en dehors des États-Unis, des garanties spécifiques s’appliquent en vertu de l’EO 14086 (253). Premièrement, des méthodes et des mesures techniques doivent être appliquées afin de limiter les données collectées à ce qui est nécessaire pour faire progresser une priorité validée en matière de renseignement, tout en réduisant autant que possible la collecte d’informations non pertinentes (254). Deuxièmement, le décret limite l’utilisation des informations collectées en vrac (y compris les interrogations de données) à six objectifs spécifiques, notamment la protection contre le terrorisme, la prise d’otages et la détention de personnes en captivité par un gouvernement, une organisation ou une personne étrangère ou pour son compte; la protection contre l’espionnage étranger, le sabotage ou l’assassinat; la protection contre les menaces liées au développement, à la possession ou à la prolifération d’armes de destruction massive ou de technologies et menaces connexes, etc. (255). Enfin, toute interrogation de données de renseignement d’origine électromagnétique obtenues en vrac ne peut avoir lieu que si elle est nécessaire pour faire progresser une priorité validée en matière de renseignement, dans le cadre de la poursuite de ces six objectifs et conformément à des politiques et procédures qui tiennent dûment compte de l’incidence des interrogations de données sur la vie privée et les libertés civiles de toutes les personnes, quels que soient leur nationalité ou leur lieu de résidence (256).

(142)

Outre les exigences de l’EO 14086, la collecte de données de renseignement d’origine électromagnétique transférées vers une organisation aux États-Unis est soumise à des limitations et garanties spécifiques régies par l’article 702 du FISA (257). Ce dernier autorise la collecte de renseignements étrangers via le ciblage de personnes non américaines dont il est raisonnable de penser qu’elles se trouvent hors des États-Unis, avec l’assistance obligatoire des fournisseurs de services de communications électroniques américains (258). Afin de collecter des renseignements étrangers conformément à l’article 702 du FISA, le procureur général et le directeur du renseignement national soumettent des certifications annuelles au tribunal de la surveillance du renseignement étranger (Foreign Intelligence Surveillance Court, FISC), qui déterminent des catégories de renseignements étrangers à collecter (259). Les certifications doivent être accompagnées de procédures de ciblage, de minimisation et d’interrogation, qui sont également approuvées par le tribunal et sont juridiquement contraignantes pour les agences de renseignement américaines.

(143)

Le FISC est un tribunal indépendant (260) institué par une loi fédérale dont les décisions peuvent être contestées devant la cour révisant les décisions en matière de surveillance du renseignement extérieur (FISCR) (261) et, en dernier recours, devant la Cour suprême des États-Unis (262). Le FISC (de même que la FISCR) reçoit l’appui d’un panel permanent de cinq avocats et cinq experts techniques qui ont une expertise en matière de sécurité nationale et de libertés civiles (263). Le tribunal désigne une personne de ce groupe qui agira en tant qu’amicus curiae pour contribuer à l’examen de toute demande d’ordonnance ou de révision qui, selon le tribunal, contiendrait une interprétation nouvelle ou notable de la loi, sauf si le tribunal estime cette désignation inutile (264). Cette possibilité garantit notamment que les questions de protection de la vie privée sont dûment prises en compte dans les évaluations du tribunal. Celui-ci peut également désigner une personne ou une organisation qui agira en tant qu’amicus curiae, notamment en fournissant une expertise technique, chaque fois qu’il l’estime approprié ou, sur demande, autorisera une personne ou une organisation à déposer un dossier d’amicus curiae (265).

(144)

Le FISC examine les certifications et les procédures connexes (en particulier les procédures de ciblage et de minimisation) pour veiller à leur conformité avec les exigences du FISA. S’il constate que les exigences ne sont pas satisfaites, il peut refuser la certification en tout ou en partie et demander que les procédures soient modifiées (266). À cet égard, le FISC a confirmé à plusieurs reprises que son examen des procédures de ciblage et de minimisation au titre de l’article 702 ne se limite pas aux procédures telles qu’elles sont rédigées, mais qu’il porte également sur la manière dont les procédures sont mises en œuvre par le gouvernement (267).

(145)

Les décisions de ciblage individuel sont prises par la NSA (l’agence de renseignement responsable du ciblage en vertu de l’article 702 du FISA) conformément aux procédures de ciblage approuvées par le FISC, qui exigent que la NSA évalue, sur la base de l’ensemble des circonstances, que le ciblage d’une personne donnée est susceptible de permettre l’obtention d’une catégorie de renseignements étrangers indiquée dans une certification (268). Cette évaluation doit être détaillée et factuelle, et s’appuyer sur le jugement analytique, la formation spécialisée et l’expérience de l’analyste, ainsi que sur la nature des renseignements étrangers à obtenir (269). Le ciblage est effectué en choisissant des «sélecteurs» qui recensent des moyens de communication spécifiques, comme l’adresse électronique ou le numéro de téléphone d’une cible, mais jamais des mots clés ni même les noms des personnes ciblées (270).

(146)

Les analystes de la NSA recenseront dans un premier temps des personnes non américaines se trouvant à l’étranger et dont la surveillance conduira, selon l’évaluation des analystes, à l’action de renseignement extérieur pertinente précisée dans la certification (271). Comme le prévoient les procédures de ciblage de la NSA, celle-ci ne peut diriger la surveillance vers une cible que si elle dispose déjà de certaines informations à son sujet (272). Il peut s’agir d’informations provenant de différentes sources, par exemple le renseignement humain. Grâce à ces autres sources, l’analyste doit également se renseigner sur un sélecteur spécifique (c’est-à-dire un compte de communication) utilisé par la cible potentielle. Une fois que ces personnes désignées individuellement auront été recensées et que leur ciblage aura été approuvé au moyen d’un mécanisme de révision élargi au sein de la NSA (273), des sélecteurs qui recensent les moyens de communication utilisés par les cibles (comme les adresses électroniques) seront mis en œuvre (c’est-à-dire développés et appliqués) (274).

(147)

La NSA doit documenter la base factuelle de la sélection de la cible (275) et, à intervalles réguliers après le ciblage initial, affirmer que la norme de ciblage continue d’être respectée (276). Lorsque la norme de ciblage n’est plus respectée, la collecte doit cesser (277). La sélection de chaque cible par la NSA et l’enregistrement de chaque évaluation et justification de ciblage sont vérifiés tous les deux mois par les fonctionnaires des bureaux de surveillance du renseignement du ministère de la justice, qui sont tenus de signaler toute violation au FISC et au Congrès, afin de s’assurer qu’ils respectent les procédures de ciblage (278). La documentation écrite de la NSA permet au FISC de vérifier si certaines personnes sont correctement ciblées en vertu de l’article 702 du FISA, conformément à ses pouvoirs de surveillance décrits aux considérants 173 et 174 (279). Enfin, le directeur du renseignement national est également tenu de communiquer chaque année le nombre total de cibles au titre de l’article 702 du FISA dans des rapports annuels publics sur la transparence en matière statistique. Les entreprises qui reçoivent des directives au titre de l’article 702 du FISA peuvent publier des données agrégées (via des rapports de transparence) sur les demandes qu’elles reçoivent (280).

(148)

En ce qui concerne les autres bases juridiques permettant de collecter des données à caractère personnel transférées vers des organisations aux États-Unis, différentes restrictions et garanties s’appliquent. En général, la collecte de données en vrac est spécifiquement interdite en vertu de l’article 402 du FISA (dispositifs d’écoute téléphonique et de suivi et d’enregistrement des communications) et par le recours aux lettres de sécurité nationale, et demande à la place l’utilisation de «critères de sélection» spécifiques (281).

(149)

Pour procéder à une surveillance électronique classique des individus (conformément à l’article 105 du FISA), les agences de renseignement doivent soumettre une demande au FISC, accompagnée d’un exposé des faits et circonstances invoqués à l’appui de la conviction qu’il existe un motif sérieux de croire que l’installation est utilisée ou sur le point d’être utilisée par une puissance étrangère ou un agent d’une puissance étrangère (282). Le FISC appréciera, entre autres, si sur la base des faits soumis, il existe une présomption sérieuse que c’est en effet le cas (283).

(150)

Pour effectuer une perquisition dans des locaux ou sur des biens qui doit aboutir à une inspection, une saisie, etc., d’informations, de matériel ou de biens (par exemple, un dispositif informatique) sur la base de l’article 301 du FISA, une demande d’injonction du FISC est nécessaire (284). Cette demande doit notamment démontrer qu’il existe un motif sérieux de croire que la cible de la perquisition est une puissance étrangère ou un agent d’une puissance étrangère; que les locaux ou les biens à perquisitionner sont détenus, utilisés ou possédés par une puissance étrangère (ou par un agent d’une puissance étrangère) ou sont en transit vers ou depuis cette puissance étrangère (285).

(151)

De même, l’installation de dispositifs d’écoute téléphonique et de suivi et d’enregistrement des communications (en vertu de l’article 402 du FISA) requiert une demande d’injonction du FISC (ou d’un juge magistrat américain) et l’utilisation d’un critère de sélection spécifique, à savoir un critère qui identifie spécifiquement une personne, un compte, etc., et qui sert à limiter, dans toute la mesure de ce qui est raisonnablement possible, l’étendue des informations recherchées (286). Cette base ne concerne pas le contenu des communications, mais a plutôt pour objet des informations sur le client ou l’abonné qui utilise un service (telles que le nom, l’adresse, le numéro de l’abonné, la longueur/le type de service reçu, la source/la modalité de paiement).

(152)

L’article 501 du FISA (287), qui autorise la collecte de fichiers de sociétés d’un transporteur public (c’est-à-dire toute personne ou entité transportant des personnes ou des biens par voie terrestre, ferroviaire, maritime ou aérienne contre rémunération), d’un établissement d’hébergement public (par exemple un hôtel, un motel ou une auberge), d’un établissement de location de véhicules ou d’un établissement de stockage (c’est-à-dire qui fournit un espace ou des services liés au stockage de biens et de matériaux) (288), nécessite également une demande auprès du FISC ou d’un juge magistrat. Cette demande doit préciser les fichiers recherchés et les faits spécifiques et clairs donnant des raisons de croire que la personne à laquelle les fichiers se rapportent est une puissance étrangère ou un agent d’une puissance étrangère (289).

(153)

Enfin, les lettres de sécurité nationale sont autorisées par différentes dispositions législatives et permettent aux services d’enquête d’obtenir des informations (n’incluant pas le contenu de communications) figurant dans des rapports de solvabilité, des états financiers et certains documents de transactions et d’abonnements électroniques de certaines entités (comme des institutions financières, des agences d’évaluation du crédit, des fournisseurs de services de communications électroniques) (290). La loi sur les lettres de sécurité nationale, qui autorise l’accès aux communications électroniques, ne peut être utilisée que par le FBI et exige que les demandes utilisent un terme qui identifie spécifiquement une personne, une entité, un numéro de téléphone ou un compte et qu’elles certifient que les informations présentent un intérêt pour une enquête de sécurité nationale autorisée afin de protéger le pays contre le terrorisme international ou des activités de renseignement clandestines (291). Les destinataires d’une lettre de sécurité nationale ont le droit de la contester devant un tribunal (292).

(154)

Le traitement des données à caractère personnel collectées par les agences de renseignement américaines au moyen de renseignements d’origine électromagnétique fait l’objet d’un certain nombre de garanties.

(155)

Premièrement, chaque agence de renseignement doit garantir une sécurité appropriée des données et empêcher l’accès des personnes non autorisées aux données à caractère personnel collectées au moyen de renseignements d’origine électromagnétique. À cet égard, différents instruments, notamment des lois, des lignes directrices et des normes, précisent les exigences minimales en matière de sécurité de l’information qui doivent être mises en place (par exemple, l’authentification multifactorielle, le chiffrement, etc.) (293). L’accès aux données collectées doit être limité au personnel autorisé et formé qui a besoin de connaître ces informations pour mener à bien sa mission (294). Plus généralement, les agences de renseignement doivent proposer une formation appropriée à leurs employés, y compris sur les procédures de signalement et de traitement des violations de la loi (notamment l’EO 14086) (295).

(156)

Deuxièmement, les agences de renseignement doivent se conformer aux normes de la communauté du renseignement en matière d’exactitude et d’objectivité, notamment en ce qui concerne la qualité et la fiabilité des données, la prise en compte d’autres sources d’information et l’objectivité dans la réalisation des analyses (296).

(157)

Troisièmement, en ce qui concerne la conservation des données, l’EO 14086 précise que les données à caractère personnel des personnes non américaines sont soumises aux mêmes périodes de conservation que celles qui s’appliquent aux données des ressortissants américains (297). Les services de renseignement sont tenus de définir des durées de conservation précises et/ou les facteurs à prendre en compte pour déterminer la longueur des durées de conservation applicables (par exemple, si les informations constituent la preuve d’une infraction; si les informations constituent des renseignements étrangers; si les informations sont nécessaires pour protéger la sécurité des personnes ou des organisations, y compris les victimes ou les cibles du terrorisme international), qui sont prévues dans différents instruments juridiques (298).

(158)

Quatrièmement, des règles spécifiques s’appliquent à la diffusion des données à caractère personnel collectées au moyen de renseignements d’origine électromagnétique. En règle générale, les données à caractère personnel concernant des personnes non américaines ne peuvent être diffusées que si elles concernent le même type d’informations que celles qui peuvent être diffusées au sujet de ressortissants américains, par exemple les informations nécessaires pour protéger la sécurité d’une personne ou d’une organisation (telles que les cibles, les victimes ou les otages d’organisations terroristes internationales) (299). En outre, les données à caractère personnel ne peuvent être diffusées uniquement en raison de la nationalité ou du pays de résidence d’une personne ou dans le but de contourner les exigences de l’EO 14086 (300). La diffusion au sein du gouvernement américain ne peut avoir lieu que si une personne autorisée et formée a un motif sérieux de croire que le destinataire a besoin de connaître les informations (301) et qu’il les protégera de manière appropriée (302). Pour déterminer si des données à caractère personnel peuvent être diffusées à des destinataires extérieurs au gouvernement américain (notamment un gouvernement étranger ou une organisation internationale), il convient de tenir compte de l’objectif de la diffusion, de la nature et de l’étendue des données diffusées, ainsi que du préjudice potentiel pour la ou les personnes concernées (303).

(159)

Enfin, afin de faciliter le contrôle du respect des exigences légales applicables et d’offrir des voies de recours efficaces, chaque agence de renseignement est tenue en vertu de l’EO 14086 de conserver une documentation appropriée sur la collecte de renseignements d’origine électromagnétique. Les exigences en matière de documentation couvrent des éléments tels que la base factuelle de l’évaluation selon laquelle une activité de collecte spécifique est nécessaire pour faire progresser une priorité validée en matière de renseignement (304).

(160)

Outre les garanties susmentionnées de l’EO 14086 en ce qui concerne l’utilisation des informations collectées au moyen de renseignements d’origine électromagnétique, toutes les agences de renseignement américaines sont soumises à des exigences plus générales en matière de limitation des finalités, de minimisation des données, d’exactitude, de sécurité, de conservation et de diffusion, découlant notamment de la circulaire no A-130 de l’OMB, de la loi sur l’administration en ligne (E-Government Act), du Federal Records Act (voir considérants 101 à 106) et des orientations du comité des systèmes de sécurité nationale (CNSS) (305).

(161)

Les activités des agences de renseignement américaines font l’objet d’une surveillance de la part de différents organismes.

(162)

Tout d’abord, l’EO 14086 exige que chaque agence de renseignement dispose de responsables juridiques et de délégués chargés de la surveillance et du respect des règles de haut niveau afin de garantir le respect du droit américain applicable (306). En particulier, ils doivent surveiller régulièrement les activités de renseignement d’origine électromagnétique et veiller à ce que tout cas de non-respect soit corrigé. Les agences de renseignement doivent donner à ces responsables l’accès à toutes les informations pertinentes pour l’exercice de leurs fonctions et ne peuvent prendre aucune mesure pour entraver ou influencer indûment leurs activités de surveillance (307). En outre, tout cas de non-respect significatif (308) constaté par un délégué chargé de la surveillance ou toute autre personne doit être rapidement signalé au chef de l’agence de renseignement et au directeur du renseignement national, qui doivent veiller à ce que toutes les mesures nécessaires soient prises pour corriger ce cas et empêcher qu’il ne se reproduise (309).

(163)

Cette fonction de surveillance est assurée par des délégués ayant un rôle désigné en matière de respect des règles, ainsi que par des délégués à la protection de la vie privée et des libertés civiles et des inspecteurs généraux (310).

(164)

Comme c’est le cas en ce qui concerne les autorités répressives, des délégués à la protection de la vie privée et des libertés civiles sont en place dans toutes les agences de renseignement (311). Les pouvoirs de ces délégués englobent généralement la surveillance des procédures permettant de veiller à ce que le service concerné/l’agence concernée prenne en compte de façon adéquate les problèmes touchant à la vie privée et aux libertés civiles et ait mis en place des procédures appropriées pour traiter les réclamations émanant de personnes qui estiment que leur vie privée ou les libertés civiles ont été violées (et, dans certains cas, à l’instar de l’ODNI, ces délégués peuvent eux-mêmes avoir le pouvoir d’enquêter sur des réclamations) (312). Les chefs de service ou de l’agence doivent veiller à ce que les délégués à la protection des libertés civiles et de la vie privée disposent des ressources nécessaires à l’accomplissement de leur mandat, se voient accorder l’accès à tous les documents et au personnel nécessaires pour pouvoir s’acquitter de leurs fonctions et soient informés et consultés sur les changements de politique proposés (313). Les délégués à la protection des libertés civiles et de la vie privée font régulièrement rapport au Congrès et au PCLOB, notamment sur le nombre et la nature des réclamations par le service/l’agence, les informent succinctement du sort réservé à ces réclamations, et les renseignent sur les examens et les enquêtes effectués ainsi que sur l’impact des activités menées par le délégué (314).

(165)

Deuxièmement, chaque agence de renseignement compte un inspecteur général indépendant chargé, entre autres, de contrôler les activités de renseignement extérieur. Se trouve ainsi, au sein de l’ODNI, un bureau de l’inspecteur général de la communauté du renseignement doté de vastes attributions en ce qui concerne l’ensemble des services de renseignement qui est habilité à enquêter sur les réclamations ou les informations concernant des allégations de comportement infractionnel ou d’abus d’autorité, en relation avec des programmes et des activités de l’ODNI et/ou des programmes des services de renseignement (315). Comme c’est le cas pour les autorités répressives (voir considérant 109), ces inspecteurs généraux sont des entités dont l’indépendance est inscrite dans la loi (316); ils sont chargés d’effectuer des audits et des enquêtes sur les activités et programmes menés par l’agence concernée à des fins de renseignement national, y compris en ce qui concerne des abus ou une violation du droit (317). Ils ont accès à l’ensemble des archives, rapports, audits, réexamens, documents, recommandations ou à tout autre matériel pertinent, si nécessaire au moyen d’une ordonnance, et ils peuvent recueillir des témoignages (318). Les inspecteurs généraux signalent les cas d’infractions pénales présumées à des fins de poursuites et formulent des recommandations sur l’adoption de mesures correctives à l’intention des chefs d’agence (319). Si leurs recommandations sont non contraignantes, leurs rapports, notamment sur les mesures de suivi (ou leur absence) (320) sont généralement rendus publics et transmis au Congrès qui peut, sur cette base, exercer sa propre fonction de contrôle (voir considérants 168 et 169) (321).

(166)

Troisièmement, le conseil de surveillance du renseignement (Intelligence Oversight Board, IOB), qui est créé au sein du conseil consultatif en matière de renseignement relevant du président (President’s Intelligence Advisory Board, PIAB), supervise le respect par les autorités américaines de renseignement de la Constitution et de toutes les règles applicables. Le PIAB est un organe consultatif au sein du bureau exécutif du président (322). Il est composé de 16 membres nommés par le président et ne faisant pas partie du gouvernement américain. L’IOB est composé d’un maximum de cinq membres désignés par le président parmi les membres du PIAB. En vertu de l’EO 12333 (323), les chefs de toutes les agences de renseignement sont tenus de signaler à l’IOB toute activité de renseignement dont ils ont des raisons de croire qu’elle pourrait être illégale ou contraire à un décret ou à une directive présidentielle. Afin de garantir que l’IOB a accès aux informations nécessaires à l’exercice de ses fonctions, le décret présidentiel no 13462 (Executive Order 13462, ci-après l’«EO 13462») ordonne au directeur du renseignement national et aux chefs des agences de renseignement de fournir toutes les informations et l’assistance que l’IOB juge nécessaires à l’exercice de ses fonctions, dans la mesure où la loi l’autorise (324). L’IOB est à son tour tenu d’informer le président des activités de renseignement dont il estime qu’elles peuvent constituer une violation du droit américain (notamment des décrets) et qu’elles ne sont pas traitées de manière appropriée par le procureur général, le directeur du renseignement national ou le chef d’une agence de renseignement (325). En outre, l’IOB est tenu d’informer le procureur général d’éventuelles violations du droit pénal.

(167)

Quatrièmement, les agences de renseignement sont soumises au contrôle du PCLOB. Selon son statut fondateur, le PCLOB est investi de responsabilités dans le domaine des politiques de lutte contre le terrorisme et de leur mise en œuvre, en vue de protéger la vie privée et les libertés civiles. Dans le cadre de son examen des activités des agences de renseignement, il peut avoir accès à l’ensemble des archives, rapports, audits, analyses, documents, pièces et recommandations pertinents, notamment aux informations classifiées, mener des entretiens et recueillir des témoignages (326). Il reçoit des rapports des délégués à la protection des libertés civiles et de la vie privée de plusieurs agences/organes fédéraux (327); il peut adresser des recommandations aux autorités gouvernementales et répressives et fait régulièrement rapport aux commissions du Congrès et au président (328). Les rapports du PCLOB, y compris ceux destinés au Congrès, doivent être rendus publics dans la mesure la plus large possible (329). Le PCLOB a publié plusieurs rapports de surveillance et de suivi, notamment une analyse des programmes menés sur la base de l’article 702 du FISA et de la protection de la vie privée dans ce contexte, de la mise en œuvre de la PPD-28 et de l’EO 12333 (330). Le PCLOB est également chargé d’exercer des fonctions de surveillance spécifiques en ce qui concerne la mise en œuvre de l’EO 14086, notamment en vérifiant si les procédures des agences sont conformes au décret (voir considérant 126) et en évaluant le fonctionnement correct du mécanisme de recours (voir considérant 194).

(168)

Cinquièmement, outre ces mécanismes de contrôle au sein du pouvoir exécutif, des commissions spéciales au sein du Congrès américain (les commissions du renseignement et judiciaires de la Chambre des représentants et du Sénat) exercent des responsabilités de surveillance à l’égard de toutes les activités du renseignement extérieur américain. Les membres de ces commissions ont accès à des informations classifiées et aux méthodes et programmes de renseignement (331). Les commissions exercent leurs fonctions de surveillance de différentes manières, notamment au moyen d’auditions, d’enquêtes, d’examens et de rapports (332).

(169)

Les commissions du Congrès reçoivent des rapports réguliers sur les activités de renseignement, notamment de la part du procureur général, du directeur du renseignement national, des agences de renseignement et d’autres organes de surveillance (par exemple, les inspecteurs généraux), voir considérants 164 et 165. En particulier, d’après la loi sur la sécurité nationale, «[l]e Président veille à ce que les commissions du renseignement du Congrès soient pleinement et régulièrement informées des activités de renseignement des États-Unis, notamment de toute activité importante de renseignement anticipée conformément au présent sous-chapitre» (333). De plus, «[l]e Président veille à ce que toute activité de renseignement illégale soit rapportée rapidement aux commissions du renseignement du Congrès, ainsi que toute mesure corrective qui a été prise ou est prévue en lien avec lesdites activités» (334).

(170)

En outre, des obligations de rendre compte supplémentaires découlent de certaines lois. En particulier, le FISA exige que le procureur général «informe pleinement» les commissions du renseignement et judiciaires de la Chambre et du Sénat au sujet des activités du gouvernement relevant de certains de ses articles (335). Elle impose en outre au gouvernement d’adresser aux commissions du Congrès un exemplaire de chaque décision, ordonnance ou avis émis par le FISC ou la FISCR, contenant «une interprétation ou une explication du sens ou de l’intention» des dispositions du FISA. En ce qui concerne le contrôle visé à l’article 702 du FISA, la surveillance parlementaire est exercée au moyen d’une obligation légale de rapports destinés aux commissions du renseignement et judiciaires, et de l’utilisation fréquente de briefings et d’auditions. Il s’agit notamment d’un rapport semestriel du procureur général décrivant l’utilisation de l’article 702 du FISA, accompagné de documents justificatifs comme les rapports du ministère de la justice et de l’ODNI sur le respect des normes et d’une description de tous les cas de non-respect (336), et d’une évaluation semestrielle séparée présentée par le procureur général et le DNI afin de démontrer le respect des procédures de ciblage et de minimisation (337).

(171)

En outre, le FISA exige du gouvernement américain qu’il communique au Congrès (et au grand public) chaque année le nombre d’ordonnances et de directives demandées et obtenues au titre du FISA, ainsi que des estimations du nombre de personnes, américaines ou non, visées par la surveillance, entre autres (338). Cet acte législatif exige également par ailleurs la communication publique d’informations sur le nombre de lettres de sécurité nationale (LSN) émises, concernant là aussi des personnes américaines ou non (tout en permettant aux destinataires des ordonnances et certifications FISA, et des demandes liées aux LSN, de publier des rapports de transparence sous certaines conditions) (339).

(172)

Plus généralement, la communauté du renseignement des États-Unis entreprend divers efforts pour assurer la transparence de ses activités de renseignement (étranger). En 2015, par exemple, l’ODNI a adopté des principes de transparence en matière de renseignement et un plan de mise en œuvre de la transparence, et a demandé à chaque agence de renseignement de désigner un responsable de la transparence en matière de renseignement chargé de favoriser la transparence et de mener des initiatives dans ce domaine (340). Dans le cadre de ces initiatives, la communauté du renseignement a rendu et continue de rendre publiques des parties déclassifiées de politiques, de procédures, de rapports de surveillance, de rapports sur les activités menées au titre de l’article 702 du FISA et de l’EO 12333, de décisions du FISC et d’autres documents, notamment sur une page web spécifique intitulée «IC on the Record», gérée par l’ODNI (341).

(173)

Enfin, la collecte de données à caractère personnel en vertu de l’article 702 du FISA fait l’objet, en plus du contrôle exercé par les organes de surveillance mentionnés aux considérants 162 à 168, d’une surveillance de la part du FISC (342). Conformément à l’article 13 du règlement intérieur du FISC, les délégués chargés du respect des règles des agences de renseignement américaines sont tenus de signaler toute violation des procédures de ciblage, de minimisation et d’interrogation de données de l’article 702 du FISA au ministère de la justice et à l’ODNI, qui les signalent à leur tour au FISC. En outre, le ministère de la justice et l’ODNI présentent au FISC des rapports semestriels d’évaluation conjointe de la surveillance, qui recensent les cas de non-respect des procédures de ciblage; fournissent des données statistiques; définissent les catégories de cas de non-respect; décrivent en détail les raisons pour lesquelles certains cas de non-respect des procédures de ciblage se sont produits et exposent les mesures prises par les agences de renseignement pour éviter qu’ils ne se reproduisent (343).

(174)

Si nécessaire (par exemple si des violations des procédures de ciblage sont constatées), le FISC peut ordonner à l’agence de renseignement compétente de prendre des mesures correctives (344). Les mesures en question peuvent être d’ordre individuel ou structurel, et aller, par exemple, de l’arrêt de l’acquisition de données à la suppression de données obtenues illégalement en passant par le changement de pratique en matière de collecte des données, y compris en ce qui concerne les orientations et les formations destinées au personnel (345). En outre, lors de son examen annuel des certifications au titre de l’article 702 du FISA, le FISC examine les cas de non-respect afin de déterminer si les certifications soumises sont conformes aux exigences du FISA. De même, si le FISC estime que les certifications du gouvernement ne sont pas suffisantes, notamment en raison de cas de non-respect particuliers, il peut délivrer un «deficiency order» (ordonnance de manquement) exigeant du gouvernement qu’il remédie à la violation dans un délai de 30 jours ou qu’il cesse ou n’entame pas la mise en œuvre de la certification au titre de l’article 702. Enfin, le FISC évalue les problèmes de conformité qu’il constate et peut exiger des changements de procédure ou une surveillance et des rapports supplémentaires pour résoudre ces problèmes (346).

(175)

Comme expliqué plus en détail dans la présente section, un certain nombre de voies aux États-Unis offrent aux personnes concernées de l’Union la possibilité d’intenter une action en justice devant un tribunal indépendant et impartial doté de pouvoirs contraignants. Ensemble, elles permettent aux personnes d’avoir accès à leurs données à caractère personnel, de faire contrôler la licéité de l’accès des pouvoirs publics à leurs données et, si une violation est constatée, d’y remédier, notamment par la rectification ou la suppression de leurs données à caractère personnel.

(176)

Premièrement, un mécanisme de recours spécifique est mis en place, en vertu de l’EO 14086, complété par le règlement AG instituant la Cour chargée du contrôle de la protection des données, afin de traiter et de résoudre les réclamations déposées par des personnes concernant les activités de renseignement d’origine électromagnétique des États-Unis. Toute personne concernée dans l’Union a le droit d’introduire une réclamation auprès du mécanisme de recours concernant une violation présumée du droit américain régissant les activités de renseignement d’origine électromagnétique (par exemple, l’EO 14086, l’article 702 du FISA, l’EO 12333) qui porte atteinte à ses intérêts en matière de protection de la vie privée et de libertés civiles (347). Ce mécanisme de recours en matière de renseignements d’origine électromagnétique est accessible aux personnes originaires de pays ou d’organisations régionales d’intégration économique qui ont été désignés par le procureur général des États-Unis comme des «États admissibles» (348). Le 30 juin 2023, l’Union européenne et les trois pays de l’Association européenne de libre-échange, qui constituent ensemble l’Espace économique européen, ont été désignés comme «État admissible» par le procureur général des États-Unis en vertu de l’article 3(f) de l’EO 14086 (349). Cette désignation est sans préjudice de l’article 4, paragraphe 2, du traité sur l’Union européenne.

(177)

Une personne concernée dans l’Union qui souhaite introduire une telle réclamation doit la soumettre à une autorité de contrôle d’un État membre chargée de la surveillance du traitement des données à caractère personnel par les autorités publiques (APD) (350). Cela garantit un accès facile au mécanisme de recours en permettant aux personnes concernées de s’adresser à une autorité géographiquement proche et avec laquelle elles peuvent communiquer dans leur langue. Après vérification des exigences relatives au dépôt d’une réclamation visées au considérant 178, l’APD compétente transmettra, par l’intermédiaire du secrétariat du comité européen de la protection des données, la réclamation au mécanisme de recours.

(178)

L’introduction d’une réclamation auprès du mécanisme de recours est soumise à de faibles conditions de recevabilité, car les personnes concernées ne sont pas tenues de démontrer que leurs données ont effectivement fait l’objet d’activités de renseignement d’origine électromagnétique de la part des États-Unis (351). Dans le même temps, afin de donner un point de départ au mécanisme de recours pour effectuer un examen, certaines informations de base doivent être fournies, par exemple en ce qui concerne les données à caractère personnel dont il est raisonnable de penser qu’elles ont été transférées vers les États-Unis et les moyens par lesquels on peut penser qu’elles ont été transférées; l’identité des entités du gouvernement américain soupçonnées d’être impliquées dans la violation présumée (si elle est connue); le fondement de la violation présumée du droit américain (bien que, là encore, il ne soit pas nécessaire de démontrer que les données à caractère personnel ont effectivement été collectées par les agences de renseignement américaines) et la nature de la réparation demandée.

(179)

L’enquête initiale sur les réclamations déposées auprès de ce mécanisme de recours est menée par l’ODNI CLPO, dont le rôle et les pouvoirs statutaires existants ont été étendus aux mesures spécifiques prises en vertu de l’EO 14086 (352). Au sein de la communauté du renseignement, le CLPO est notamment chargé de veiller à ce que la protection des libertés civiles et de la vie privée soit intégrée de manière appropriée dans les politiques et procédures de l’ODNI et des agences de renseignement; de veiller à ce que l’ODNI respecte les exigences applicables en matière de protection de la vie privée et des libertés civiles; et de procéder à des analyses des incidences sur la vie privée (353). L’ODNI CLPO ne peut être démis de ses fonctions que par le directeur du renseignement national pour un motif valable, c’est-à-dire en cas d’action fautive, de faute de commission, d’atteinte à la sécurité, de négligence ou d’incapacité (354).

(180)

Lors de son examen, l’ODNI CLPO a accès aux informations nécessaires à son évaluation et peut compter sur l’assistance obligatoire des délégués à la protection de la vie privée et des libertés civiles des différentes agences de renseignement (355). Il est interdit aux agences de renseignement d’entraver ou d’influencer indûment les examens de l’ODNI CLPO. Cela inclut le directeur du renseignement national, qui ne doit pas entraver l’examen (356). Lorsqu’il examine une plainte, l’ODNI CLPO doit appliquer la loi «de manière impartiale», en tenant compte à la fois des intérêts de sécurité nationale concernant les activités de renseignement et de la protection de la vie privée (357).

(181)

Dans le cadre de son examen, l’ODNI CLPO détermine s’il y a eu violation du droit américain applicable et, le cas échéant, décide d’une mesure corrective appropriée (358). Il s’agit de mesures qui remédient pleinement à une violation constatée, telles que la cessation de l’obtention illicite de données, la suppression des données collectées illégalement, la suppression des résultats d’interrogations inappropriées de données par ailleurs collectées de manière légale, la limitation de l’accès à des données collectées de manière légale à du personnel dûment formé, ou le rappel des rapports de renseignement contenant des données acquises sans autorisation légale ou qui ont été diffusées de manière illégale (359). Les décisions de l’ODNI CLPO sur les réclamations individuelles (y compris sur les mesures correctives) sont contraignantes pour les agences de renseignement concernées (360).

(182)

L’ODNI CLPO doit conserver la documentation relative à son examen et publier une décision classifiée expliquant le fondement de ses constatations factuelles, l’établissement de l’existence d’une violation couverte et le choix de la mesure corrective appropriée (361). Si l’examen de l’ODNI CLPO révèle une violation commise par une autorité faisant l’objet d’une surveillance de la part du FISC, le CLPO doit également fournir un rapport classifié à l’assistant du procureur général chargé de la sécurité nationale, qui est à son tour tenu de signaler le non-respect au FISC, qui peut prendre d’autres mesures répressives (conformément à la procédure décrite aux considérants 173 et 174) (362).

(183)

Une fois l’examen terminé, l’ODNI CLPO informe le plaignant, par l’intermédiaire de l’autorité nationale, que «l’examen n’a pas mis en évidence de violations couvertes ou que l’ODNI CLPO a rendu une décision exigeant des mesures correctives appropriées» (363). Cela permet de protéger la confidentialité des activités menées afin de protéger la sécurité nationale, tout en fournissant aux personnes concernées une décision confirmant que leur réclamation a été dûment examinée et jugée. Cette décision peut d’ailleurs être contestée par la personne concernée. À cette fin, il/elle sera informé(e) de la possibilité de faire appel auprès de la DPRC pour un réexamen des décisions du CLPO (voir considérants 184 et suivants) et du fait que, dans le cas où la Cour serait saisie, un avocat spécial sera sélectionné pour défendre les intérêts du plaignant (364).

(184)

Tout plaignant, ainsi que chaque composante de la communauté du renseignement, peut demander le réexamen de la décision de l’ODNI CLPO devant la Cour chargée du contrôle de la protection des données (DPRC). Ces demandes de réexamen doivent être soumises dans les 60 jours suivant la réception de la notification de l’ODNI CLPO indiquant que son examen est terminé et inclure toute information que la personne concernée souhaite communiquer à la DPRC (par exemple, des arguments sur des questions de droit ou sur l’application du droit aux circonstances de l’espèce) (365). Les personnes concernées de l’Union peuvent à nouveau soumettre leur demande à l’APD compétente (voir considérant 177).

(185)

La DPRC est un tribunal indépendant établi par le procureur général sur la base de l’EO 14086 (366). Elle est composée d’au moins six juges, nommés par le procureur général en consultation avec le PCLOB, le secrétaire d’État américain au commerce et le directeur du renseignement national pour des mandats renouvelables de quatre ans (367). La nomination des juges par le procureur général s’appuie sur les critères utilisés par le pouvoir exécutif pour évaluer les candidats à la magistrature fédérale, en tenant compte de leur expérience judiciaire antérieure (368). En outre, les juges doivent être des praticiens du droit (c’est-à-dire des membres actifs en règle du barreau et dûment autorisés à pratiquer le droit) et avoir une expérience appropriée en matière de droit de la protection de la vie privée et de la sécurité nationale. Le procureur général doit veiller à ce qu’au moins la moitié des juges aient une expérience judiciaire antérieure et tous les juges doivent être titulaires d’une habilitation de sécurité afin de pouvoir accéder à des informations classifiées relatives à la sécurité nationale (369).

(186)

Seules les personnes qui satisfont aux qualifications mentionnées au considérant 185 et qui ne sont pas employées du pouvoir exécutif au moment de leur nomination ou ne l’ont pas été au cours des deux années précédentes peuvent être nommées à la DPRC. De même, pendant la durée de leur mandat à la DPRC, les juges ne peuvent exercer aucune fonction officielle ni aucun emploi au sein du gouvernement des États-Unis (autre que celui de juge à la DPRC) (370).

(187)

L’indépendance du processus de sélection est assurée par un certain nombre de garanties. En particulier, il est interdit au pouvoir exécutif (le procureur général et les agences de renseignement) d’entraver ou d’influencer indûment l’examen de la DPRC (371). La DPRC elle-même est tenue de statuer de manière impartiale (372) et fonctionne selon son propre règlement intérieur (adopté à la majorité). En outre, les juges de la DPRC ne peuvent être révoqués que par le procureur général et uniquement pour un motif valable (action fautive, faute de commission, atteinte à la sécurité, négligence ou incapacité), après avoir dûment pris en compte les normes applicables aux juges fédéraux énoncées dans les règles relatives à la déontologie judiciaire et à la procédure d’incapacité judiciaire (373).

(188)

Les demandes adressées à la DPRC sont examinées par des panels de trois juges, dont un juge président, qui doivent agir conformément au code de conduite des juges américains (374). Chaque panel est assisté d’un avocat spécial (375), qui a accès à toutes les informations relatives à l’affaire, y compris aux informations classifiées (376). Le rôle de cet avocat est de veiller à ce que les intérêts du plaignant soient représentés et à ce que le panel de juges de la DPRC soit bien informé de toutes les questions de droit et de fait pertinentes (377). Afin d’éclairer sa position sur une demande de réexamen introduite par une personne auprès de la DPRC, l’avocat spécial peut demander des informations au plaignant en lui posant des questions écrites (378).

(189)

La DPRC examine les décisions prises par l’ODNI CLPO (tant en ce qui concerne l’existence d’une violation du droit américain applicable qu’en ce qui concerne les mesures correctives appropriées) en se fondant, au minimum, sur le dossier de l’enquête de l’ODNI CLPO, ainsi que sur les informations et observations fournies par le plaignant, l’avocat spécial ou une agence de renseignement (379). Un panel de juges de la DPRC a accès à toutes les informations nécessaires à la conduite d’un examen, qu’il peut obtenir par l’intermédiaire de l’ODNI CLPO (le panel de juges peut, par exemple, demander au CLPO de compléter son dossier par des informations supplémentaires ou des constatations factuelles si cela est nécessaire pour mener à bien son examen) (380).

(190)

Au terme de son examen, la DPRC peut 1) décider qu’il n’existe aucun élément de preuve indiquant que des activités de renseignement d’origine électromagnétique impliquant des données à caractère personnel du plaignant ont eu lieu, 2) décider que les décisions de l’ODNI CLPO étaient juridiquement correctes et étayées par des preuves substantielles, ou 3) si la DPRC est en désaccord avec les décisions de l’ODNI CLPO (sur la question de savoir s’il y a eu violation du droit américain applicable ou sur les mesures correctives appropriées), rendre ses propres décisions (381).

(191)

Dans tous les cas, la DPRC adopte une décision écrite à la majorité. Si l’examen révèle une violation des règles applicables, la décision précisera les mesures correctives appropriées, telles que la suppression des données collectées illégalement, la suppression des résultats d’interrogations inappropriées de données, la limitation de l’accès à des données collectées de manière légale à du personnel dûment formé, ou le rappel des rapports de renseignement contenant des données acquises sans autorisation légale ou qui ont été diffusées de manière illégale (382). La décision de la DPRC est contraignante et définitive en ce qui concerne la plainte dont elle est saisie (383). En outre, si l’examen révèle une violation commise par une autorité faisant l’objet d’une surveillance de la part du FISC, la DPRC doit également fournir un rapport classifié à l’assistant du procureur général chargé de la sécurité nationale, qui est à son tour tenu de signaler le non-respect au FISC, qui peut prendre d’autres mesures répressives (conformément à la procédure décrite aux considérants 173 et 174) (384).

(192)

Toute décision d’un panel de juges de la DPRC est transmise à l’ODNI CLPO (385). Dans les cas où l’examen de la DPRC a été déclenché par une demande du plaignant, ce dernier est informé par l’intermédiaire de l’autorité nationale que la DPRC a achevé son examen et que «l’examen n’a pas mis en évidence de violations couvertes ou que la DPRC a rendu une décision exigeant des mesures correctives appropriées» (386). Le bureau des libertés civiles et de la vie privée du ministère de la justice conserve une archive de toutes les informations examinées par la DPRC et de toutes les décisions rendues, qui est mise à la disposition des futurs panels de juges de la DPRC en tant que précédent non contraignant (387).

(193)

Le ministère du commerce est également tenu de conserver une archive pour chaque plaignant ayant déposé une plainte (388). Afin d’améliorer la transparence, le ministère du commerce doit, au moins tous les cinq ans, contacter les agences de renseignement concernées pour vérifier si les informations relatives à un examen par la DPRC ont été déclassifiées (389). Si tel est le cas, la personne concernée sera informée que ces informations peuvent être disponibles en vertu du droit applicable (c’est-à-dire qu’elle peut demander d’y avoir accès en vertu de la loi sur la liberté de l’information, voir considérant 199).

(194)

Enfin, le bon fonctionnement de ce mécanisme de recours fera l’objet d’une évaluation régulière et indépendante. Plus précisément, conformément à l’EO 14086, le fonctionnement du mécanisme de recours fait l’objet d’un examen annuel par le PCLOB, un organe indépendant (voir considérant 110) (390). Dans le cadre de cet examen, le PCLOB évaluera notamment si l’ODNI CLPO et la DPRC ont traité les réclamations dans les délais impartis; s’ils ont eu pleinement accès aux informations nécessaires; si les garanties substantielles de l’EO 14086 ont été correctement prises en compte dans la procédure d’examen; et si la communauté du renseignement s’est pleinement conformée aux décisions prises par l’ODNI CLPO et la DPRC. Le PCLOB présentera un rapport sur les résultats de son examen au président, au procureur général, au directeur du renseignement national, aux chefs des agences de renseignement, à l’ODNI CLPO et aux commissions du renseignement du Congrès, qui sera également rendu public dans une version non classifiée — et alimentera à son tour le réexamen périodique du fonctionnement de la présente décision qui sera effectué par la Commission. Le procureur général, le directeur du renseignement national, l’ODNI CLPO et les chefs des agences de renseignement sont tenus de mettre en œuvre toutes les recommandations figurant dans ces rapports ou d’y donner suite d’une autre manière. En outre, le PCLOB certifiera publiquement chaque année que le mécanisme de recours traite les réclamations conformément aux exigences de l’EO 14086.

(195)

Outre le mécanisme de recours spécifique établi par l’EO 14086, des voies de recours devant les juridictions américaines ordinaires sont à la disposition de toutes les personnes concernées (quelle que soit leur nationalité ou leur lieu de résidence) (391).

(196)

En particulier, le FISA et une loi connexe prévoient la possibilité pour les personnes concernées: d’intenter un recours civil pour demander des dommages et intérêts aux États-Unis lorsque des informations à leur sujet ont été utilisées ou divulguées illégalement et volontairement (392); de poursuivre des fonctionnaires de l’État américain à titre personnel pour obtenir des dommages et intérêts (393); et de contester la légalité de la surveillance (et tenter de supprimer les informations) dans le cas où l’État américain envisagerait d’utiliser ou de divulguer toute information obtenue ou découlant de la surveillance électronique, à l’encontre de la personne visée par une procédure judiciaire ou administrative aux États-Unis (394). Plus généralement, si le gouvernement envisage d’utiliser des informations obtenues au cours d’opérations de renseignement contre un suspect dans une affaire pénale, les exigences constitutionnelles et légales (395) imposent l’obligation de divulguer certaines informations afin que le défendeur puisse contester la légalité de la collecte et de l’utilisation des données par le gouvernement.

(197)

En outre, il existe plusieurs voies de recours pour former un recours en justice contre des fonctionnaires de l’État en raison d’un accès ou d’un usage illégal de données à caractère personnel, y compris à des fins prétendues de sécurité nationale [à savoir le Computer Fraud and Abuse Act (396); le Electronic Communications Privacy Act (397); et le Right to Financial Privacy Act (398)]. Tous ces recours juridictionnels portent sur des données, des cibles et/ou des types d’accès spécifiques (par exemple l’accès à distance à un ordinateur via l’internet) et peuvent être invoqués dans certaines conditions (notamment un acte intentionnel/délibéré, un acte commis en état d’incapacité, un préjudice subi).

(198)

Une possibilité plus générale de recours est contenue dans l’APA (399), selon lequel «toute personne subissant un dommage du fait d’une décision d’une agence ou qui est affectée ou lésée par la décision d’une agence» peut former un recours juridictionnel (400). Cela inclut la possibilité de demander au tribunal de «déclarer illégales et d’annuler la décision, les constatations et les conclusions de l’agence jugées […] arbitraires, capricieuses, constitutives d’un abus du pouvoir d’appréciation ou non conformes à la loi pour une autre raison» (401). Par exemple, une cour d’appel fédérale a statué en 2015 sur une demande de l’APA selon laquelle la collecte en vrac de métadonnées téléphoniques par le gouvernement américain n’était pas autorisée par l’article 501 du FISA (402).

(199)

Enfin, outre les voies de recours mentionnées aux considérants 176 à 198, toute personne a le droit de demander l’accès aux archives existantes des agences fédérales en vertu de la loi sur l’accès à l’information, notamment lorsque ces archives contiennent des données à caractère personnel de la personne concernée (403). L’obtention de cet accès peut également faciliter l’introduction de procédures devant les juridictions ordinaires, notamment pour démontrer sa qualité à agir. Les agences peuvent ne pas divulguer les informations qui relèvent de certaines exceptions énumérées, notamment l’accès à des informations classifiées relatives à la sécurité nationale et à des informations concernant les enquêtes des autorités répressives (404), mais les plaignants qui ne sont pas satisfaits de la réponse ont la possibilité de la contester en demandant un contrôle administratif et, par la suite, un contrôle juridictionnel (devant les juridictions fédérales) (405).

(200)

Il ressort de ce qui précède que lorsque les autorités répressives ou les autorités de sécurité nationale américaines accèdent à des données à caractère personnel relevant du champ d’application de la présente décision, cet accès est régi par un cadre juridique qui définit les conditions dans lesquelles il peut avoir lieu et qui garantit que l’accès à ces données et leur utilisation ultérieure sont limités à ce qui est nécessaire et proportionné à l’objectif d’intérêt public poursuivi. Ces garanties peuvent être invoquées par les personnes qui bénéficient de droits de recours effectifs.

(201)

La Commission considère que les États-Unis — dans le cadre des principes publiés par le CPD UE - États-Unis — garantissent un niveau de protection des données à caractère personnel transférées de l’Union vers des organisations certifiées aux États-Unis en vertu du cadre de protection des données UE - États-Unis essentiellement équivalent à celui garanti par le règlement (UE) 2016/679.

(202)

De plus, la Commission estime que l’application effective des principes est garantie par les obligations de transparence et par le fait que le ministère du commerce gère le CPD. En outre, pris dans leur ensemble, les mécanismes de surveillance et les voies de recours prévus dans le droit américain permettent de détecter et de sanctionner, en pratique, les violations des règles en matière de protection des données et offrent aux personnes concernées des voies de recours pour accéder aux données à caractère personnel les concernant et, in fine, obtenir leur rectification ou leur suppression.

(203)

Enfin, sur la base des informations disponibles concernant l’ordre juridique américain, y compris les informations figurant aux annexes VI et VII, la Commission considère que toute atteinte aux droits fondamentaux des particuliers dont les données à caractère personnel sont transférées de l’Union européenne vers les États-Unis en vertu du cadre de protection des données UE - États-Unis pour des motifs d’intérêt public, en particulier à des fins répressives et à des fins de sécurité nationale, sera limitée à ce qui est strictement nécessaire pour atteindre l’objectif légitime visé et qu’il existe une protection juridique effective contre les atteintes de cette nature. Par conséquent, à la lumière des constatations ci-dessus, il convient de décider que les États-Unis assurent un niveau de protection adéquat, au sens de l’article 45 du règlement (UE) 2016/679, interprété à la lumière de la Charte des droits fondamentaux de l’Union européenne, des données à caractère personnel transférées de l’Union européenne vers des organisations certifiées en vertu du cadre de protection des données UE - États-Unis.

(204)

Étant donné que les limitations, les garanties et le mécanisme de recours établis par l’EO 14086 sont des éléments essentiels du cadre juridique américain sur lequel se fonde l’évaluation de la Commission, l’adoption de la présente décision est notamment fondée sur l’adoption, par toutes les agences de renseignement américaines, des politiques et de procédures actualisées pour mettre en œuvre l’EO 14086 et la désignation de l’Union en tant qu’organisation remplissant les conditions requises aux fins du mécanisme de recours, qui ont eu lieu respectivement le 3 juillet 2023 (voir considérant 126) et le 30 juin 2023 (voir considérant 176).

(205)

Les États membres et leurs organes sont tenus de prendre les mesures nécessaires pour se conformer aux actes des institutions de l’Union, car ces derniers jouissent d’une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés à la suite d’un recours en annulation ou déclarés invalides à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité.

(206)

En conséquence, une décision d’adéquation de la Commission adoptée en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 a un caractère contraignant pour tous les organes des États membres destinataires, y compris leurs autorités de contrôle indépendantes. En particulier, les transferts d’un responsable du traitement ou d’un sous-traitant situé dans l’Union à des organisations certifiées situées aux États-Unis peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation supplémentaire.

(207)

Il convient de rappeler que, comme prévu à l’article 58, paragraphe 5, du règlement (UE) 2016/679 et ainsi que la Cour de justice l’a expliqué dans l’arrêt Schrems (406), lorsqu’une autorité nationale chargée de la protection des données met en cause, notamment après avoir été saisie d’une plainte, la compatibilité d’une décision d’adéquation de la Commission avec la protection des droits fondamentaux que constituent le respect de la vie privée et la protection des données, le droit national doit prévoir des voies de recours lui permettant de faire valoir ces griefs devant les juridictions nationales, qui, en cas de doute, doivent surseoir à statuer et procéder à un renvoi préjudiciel devant la Cour de justice (407).

(208)

Conformément à la jurisprudence de la Cour de justice (408), et comme consacré par l’article 45, paragraphe 4, du règlement (UE) 2016/679, la Commission devrait suivre, de manière permanente, les évolutions dans le pays tiers après l’adoption d’une décision d’adéquation, afin de déterminer si le pays tiers continue de garantir un niveau de protection essentiellement équivalent. Une telle vérification s’impose, en tout état de cause, lorsque la Commission reçoit des informations faisant naître un doute justifié à cet égard.

(209)

Par conséquent, la Commission devrait surveiller de manière permanente la situation aux États-Unis en ce qui concerne le cadre juridique et la pratique proprement dite de traitement des données à caractère personnel tels qu’évalués dans la présente décision. Pour faciliter ce processus, les autorités américaines devraient informer rapidement la Commission de toute évolution importante de l’ordre juridique américain ayant une incidence sur le cadre juridique qui fait l’objet de la présente décision, ainsi que de toute évolution des pratiques relatives au traitement des données à caractère personnel évaluées dans la présente décision, en ce qui concerne tant le traitement des données à caractère personnel par les organisations certifiées aux États-Unis que les limitations et garanties applicables à l’accès des autorités publiques aux données à caractère personnel.

(210)

En outre, afin de permettre à la Commission d’accomplir efficacement sa mission de suivi, les États membres devraient l’informer de toute mesure pertinente prise par les autorités nationales chargées de la protection des données, en particulier en ce qui concerne les questions ou les réclamations des personnes concernées de l’Union au sujet du transfert de données à caractère personnel des autorités compétentes de l’Union vers des organisations certifiées aux États-Unis. La Commission devrait également être informée de tout élément indiquant que les actions des autorités publiques américaines responsables de la prévention, de la détection, des enquêtes et des poursuites en matière d’infractions pénales, ou de la sécurité nationale, y compris de tout organisme de surveillance, n’assurent pas le niveau de protection requis.

(211)

En application de l’article 45, paragraphe 3, du règlement (UE) 2016/679 (409), la Commission, après l’adoption de la présente décision, devrait vérifier de manière périodique si les conclusions relatives au niveau adéquat de la protection assurée par les États-Unis en vertu du CPD UE - États-Unis sont toujours justifiées en fait et en droit. Étant donné que l’EO 14086 et le règlement AG exigent notamment la création de nouveaux mécanismes et la mise en œuvre de nouvelles garanties, la présente décision doit faire l’objet d’un premier examen dans un délai d’un an à compter de son entrée en vigueur, afin de vérifier si tous les éléments pertinents ont été pleinement mis en œuvre et fonctionnent efficacement dans la pratique. Après ce premier examen, et en fonction de son résultat, la Commission se prononcera, en étroite concertation avec le comité institué en vertu de l’article 93, paragraphe 1, du règlement (UE) 2016/679 et le comité européen de la protection des données, sur la périodicité des futurs examens (410).

(212)

En vue de la réalisation de ces examens, la Commission devrait rencontrer le ministère du commerce, la FTC et le ministère des transports, accompagnés, s’il y a lieu, d’autres services et agences participant à la mise en œuvre du CPD UE - États-Unis, ainsi que, pour les questions ayant trait à l’accès des pouvoirs publics aux données, des représentants du ministère de la justice, de l’ODNI (notamment le CLPO), d’autres composantes de la communauté du renseignement, de la DPRC et des avocats spéciaux. La participation à cette réunion devrait être ouverte aux représentants des membres du comité européen de la protection des données.

(213)

Les examens devraient couvrir tous les aspects relatifs au fonctionnement de la présente décision concernant le traitement des données à caractère personnel aux États-Unis et, en particulier, l’application et la mise en œuvre des principes, en accordant une attention particulière aux protections accordées en cas de transferts ultérieurs; les évolutions pertinentes de la jurisprudence; le caractère effectif de l’exercice des droits individuels; la surveillance du respect des principes et la mise en conformité avec ceux-ci; ainsi que les limitations et garanties en ce qui concerne l’accès des pouvoirs publics aux données, notamment la mise en œuvre et l’application des garanties introduites par l’EO 14086, y compris au moyen de politiques et de procédures élaborées par les agences de renseignement; l’interaction entre l’EO 14086 et l’article 702 du FISA et l’EO 12333; et l’efficacité des mécanismes de surveillance et des voies de recours (y compris le fonctionnement du nouveau mécanisme de recours établi au titre de l’EO 14086). Dans le cadre de ces examens, une attention particulière sera également accordée à la coopération entre les APD et les autorités compétentes des États-Unis, prévoyant notamment l’élaboration d’orientations et d’autres outils d’interprétation sur l’application des principes ainsi que sur d’autres aspects du fonctionnement du cadre.

(214)

Sur la base de l’examen, la Commission devrait élaborer un rapport public qui sera présenté au Parlement européen et au Conseil.

(215)

Lorsque des informations disponibles, en particulier les informations résultant du suivi de la présente décision ou fournies par les autorités américaines ou des États membres, révèlent que le niveau de protection conféré aux données transférées en vertu de la présente décision pourrait ne plus être adéquat, la Commission devrait en informer rapidement les autorités américaines compétentes et demander que des mesures appropriées soient prises dans un délai raisonnable bien défini.

(216)

Si, à l’expiration de la période précisée, les autorités américaines compétentes n’ont pas pris ces mesures ou échouent à démontrer de manière satisfaisante que la présente décision reste fondée sur un niveau de protection adéquat, la Commission lancera la procédure visée à l’article 93, paragraphe 2, du règlement (UE) 2016/679 en vue de la suspension partielle ou complète ou de l’abrogation de la présente décision.

(217)

À défaut, la Commission lancera cette procédure visant à modifier la présente décision, notamment en soumettant les transferts de données à des conditions supplémentaires ou en limitant le constat d’adéquation aux seuls transferts de données pour lesquels un niveau de protection adéquat continue à être garanti.

(218)

Plus particulièrement, la Commission devrait lancer la procédure de suspension ou d’abrogation en présence:

(219)

La Commission devrait également envisager de lancer la procédure conduisant à la modification, à la suspension ou à l’abrogation de la présente décision si les autorités américaines compétentes ne fournissent pas les informations ou les clarifications nécessaires pour apprécier le niveau de protection conféré aux données à caractère personnel transférées de l’Union européenne vers les États-Unis, ou concernant le respect de la présente décision. À cet égard, la Commission devrait prendre en compte la mesure dans laquelle les informations concernées peuvent être obtenues auprès d’autres sources.

(220)

Pour des raisons d’urgence impérieuse dûment justifiées, par exemple si l’EO 14086 ou le règlement AG étaient modifiés d’une manière qui compromettrait le niveau de protection décrit dans la présente décision ou si la désignation, par le procureur général, de l’Union en tant qu’organisation remplissant les conditions requises aux fins du mécanisme de recours est retirée, la Commission aura recours à la possibilité d’adopter, conformément à la procédure visée à l’article 93, paragraphe 3, du règlement (UE) 2016/679, des actes d’exécution immédiatement applicables suspendant, abrogeant ou modifiant la décision.

(221)

Le comité européen de la protection des données a publié son avis (411), dont il a été tenu compte dans l’élaboration de la présente décision.

(222)

Le Parlement européen a adopté une résolution sur l’adéquation de la protection assurée par le cadre de protection des données UE - États-Unis (412).

(223)

Les mesures prévues dans la présente décision sont conformes à l’avis du comité institué par l’article 93, paragraphe 1, du règlement (UE) 2016/679,