52013DC0846

COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Rétablir la confiance dans les flux de données entre l'Union européenne et les États-Unis d'Amérique /* COM/2013/0846 final */


1.           Introduction: les transferts de données entre l'UE et les États-Unis dans un environnement en mutation

L'Union européenne et les États-Unis d'Amérique sont des partenaires stratégiques, et ce partenariat est essentiel pour promouvoir nos valeurs communes, notre sécurité et notre leadership commun sur la scène internationale.

Or la confiance dans ce partenariat a été ébranlée et il convient de la rétablir. L'Union européenne, ses États membres et ses citoyens ont exprimé une profonde inquiétude à la suite des révélations sur les programmes américains de collecte de renseignements à grande échelle, notamment en ce qui concerne la protection des données à caractère personnel[1]. Une surveillance généralisée des communications privées, que ce soit de citoyens, d'entreprises ou de dirigeants politiques, est inacceptable.

Les transferts de données à caractère personnel constituent un volet important et nécessaire des relations transatlantiques. Ils font partie intégrante des échanges commerciaux transatlantiques, notamment dans les nouveaux secteurs du numérique en pleine croissance, comme les médias sociaux ou l'informatique en nuage, qui supposent le transfert de grands volumes de données de l'Union européenne vers les États-Unis. Ils sont également une composante fondamentale de la coopération entre les services répressifs européens et américains et de la coopération entre les États membres et les États-Unis dans le domaine de la sécurité nationale. Afin de faciliter les flux de données, tout en garantissant un niveau élevé de protection tel qu'exigé par le droit de l'UE, les États-Unis et l'Union européenne ont mis en place toute une série d'accords et d'arrangements.

Les échanges commerciaux font l'objet de la décision 2000/520/CE[2] (ci-après la «décision relative à la sphère de sécurité»). Cette décision fournit une base juridique aux fins du transfert de données à caractère personnel de l'Union européenne vers des entreprises établies aux États-Unis qui adhèrent aux principes de la sphère de sécurité.

Les échanges de données à caractère personnel entre l'Union européenne et les États-Unis à des fins répressives, notamment la prévention du terrorisme et d'autres formes graves de criminalité et la lutte contre ces phénomènes, sont régis par un certain nombre d'accords à l'échelle de l'UE. Il s'agit de l’accord d’entraide judiciaire[3], de l'accord sur l'utilisation et le transfert des données des dossiers passagers (PNR)[4], de l’accord sur le traitement et le transfert de données de messagerie financière aux fins du programme de surveillance du financement du terrorisme (TFTP)[5] et de l'accord entre Europol et les États-Unis. Ces accords visent à répondre à d'importants défis sécuritaires et à satisfaire les intérêts communs de l’Union et des États-Unis en matière de sécurité, tout en assurant un niveau élevé de protection des données à caractère personnel. En outre, l'Union européenne et les États-Unis négocient actuellement un accord-cadre sur la protection des données dans le domaine de la coopération policière et judiciaire (ci-après l'«accord-cadre»)[6]. L'objectif est de garantir un niveau élevé de protection des données pour les citoyens dont les données sont échangées et d'approfondir ainsi la coopération transatlantique en matière de lutte contre la criminalité et le terrorisme sur la base de valeurs communes et de garanties définies d'un commun accord.

Ces instruments s'appliquent dans un environnement où les flux de données à caractère personnel acquièrent une importance croissante.

D'une part, le développement de l'économie numérique a entraîné une croissance exponentielle de la quantité, de la qualité, de la diversité et de la nature des activités de traitement de données. Les citoyens utilisent de plus en plus les services de communication électronique dans leur vie quotidienne. Les données à caractère personnel sont devenues un bien très précieux: la valeur estimée des données des citoyens de l'UE était de 315 milliards d'EUR en 2011 et ce montant devrait approcher le billion d'EUR par an d'ici à 2020[7]. Le marché de l’analyse de grands ensembles de données enregistre une croissance mondiale annuelle de 40 %[8].De même, les développements technologiques, par exemple relatifs à l'informatique en nuage, mettent en perspective la notion de transfert international de données puisque les flux de données transfrontières sont devenus une réalité quotidienne.[9]

L'utilisation croissante des services de traitement de données et de communications électroniques, notamment l'informatique en nuage, a également considérablement étendu le champ d'application et accru l'importance des transferts transatlantiques de données. Certains éléments, tels que la position centrale qu'occupent les entreprises américaines dans l'économie numérique[10], la transmission transatlantique d'une grande partie des communications électroniques et le volume des flux de données électroniques entre l'Union européenne et les États-Unis, sont devenus encore plus importants.

D'autre part, les méthodes modernes de traitement des données à caractère personnel soulèvent de nouvelles questions fondamentales. Ces questions concernent à la fois les nouveaux moyens de traitement de données à grande échelle dont disposent les entreprises privées pour traiter les données des consommateurs à des fins commerciales et la capacité accrue de surveillance à grande échelle des données de communications que possèdent les agences de renseignement.

Les programmes américains de collecte de renseignements à grande échelle, comme PRISM, ont une incidence sur les droits fondamentaux des Européens et, en particulier, sur leur droit à la vie privée et à la protection des données à caractère personnel les concernant. Ces programmes laissent également penser qu'il pourrait exister un lien entre la surveillance exercée par les autorités publiques et le traitement de données par des entreprises privées, notamment des entreprises américaines du secteur de l'internet, auquel cas ces programmes seraient susceptibles d'avoir des répercussions économiques. Si les citoyens sont inquiets au sujet du traitement à grande échelle de leurs données à caractère personnel par des entreprises privées ou de la surveillance de leurs données par les agences de renseignements lorsqu'ils utilisent des services internet, leur confiance dans l'économie numérique peut en être ébranlée, ce qui peut avoir des conséquences négatives sur la croissance.

Ces évolutions exposent ainsi les flux transatlantiques de données à de nouveaux défis. La présente communication aborde ces défis. Elle explore des pistes pour l'avenir en se basant sur les conclusions figurant dans le rapport des co-présidents de l'UE du groupe de travail ad hoc UE-USA et sur la communication relative à la sphère de sécurité.

Elle vise à tracer une voie qui permette de rétablir la confiance et d'approfondir la coopération transatlantique dans ces domaines et de renforcer les relations transatlantiques en général.

La présente communication part du principe que les normes de protection des données à caractère personnel doivent être examinées dans leur contexte propre, sans que cela n'affecte d'autres dimensions des relations entre l'Union et les États-Unis, notamment les négociations en cours pour un partenariat transatlantique en matière de commerce et d'investissements. C'est pourquoi les normes de protection des données à caractère personnel ne seront pas négociées dans le cadre de ce partenariat, qui respectera pleinement les règles de protection des données.

Il est important de noter qu'alors que l'UE peut prendre des mesures dans des domaines qui relèvent de sa compétence, notamment pour garantir l'application du droit de l'UE[11], la sécurité nationale reste une compétence exclusive de chaque État membre[12].

2.         Les incidences sur les instruments de transfert de données

Tout d'abord, en ce qui concerne les données transférées à des fins commerciales, la sphère de sécurité a démontré qu'elle était un vecteur majeur pour les transferts de données entre l'Union européenne et les États-Unis. Sa dimension commerciale s'est renforcée à mesure que les flux de données gagnaient de l'importance dans les relations commerciales transatlantiques. Au cours des treize dernières années, la sphère de sécurité s'est développée et elle compte aujourd'hui plus de 3 000 entreprises, dont plus de la moitié ont adhéré à ses principes ces cinq dernières années. Toutefois, le niveau de protection des données à caractère personnel des citoyens de l'UE qui sont transférées vers les États-Unis dans le cadre de la sphère de sécurité suscite de plus en plus d'inquiétude. Le caractère volontaire et déclaratoire de la sphère de sécurité a attiré une attention accrue sur sa transparence et sa mise en oeuvre. Alors qu'une majorité d'entreprises américaines appliquent ses principes, certaines entreprises autocertifiées ne les observent pas. Or le non-respect des principes de la sphère de sécurité confère à ces dernières un avantage concurrentiel par rapport aux entreprises européennes actives sur les mêmes marchés. 

En outre, alors que dans le cadre de la sphère de sécurité, des dérogations aux règles de protection des données sont prévues pour des motifs de sécurité nationale[13], la question se pose de savoir si la collecte et le traitement à grande échelle d'informations à caractère personnel au titre de programmes américains de surveillance sont nécessaires et proportionnés pour répondre aux intérêts de la sécurité nationale. Les conclusions du groupe de travail ad hoc UE-USA indiquent aussi clairement que, dans le cadre de ces programmes, les citoyens de l'UE ne jouissent pas des mêmes droits ni des mêmes garanties procédurales que les Américains.

La portée de ces programmes de surveillance, associée au traitement inégal des citoyens de l'UE, remet en question le niveau de protection offert par la sphère de sécurité. Les données à caractère personnel des citoyens de l'UE transférées aux États-Unis dans le cadre de la sphère de sécurité peuvent, en effet, être consultées et traitées par les autorités américaines d'une manière incompatible avec les motifs pour lesquels elles avaient été initialement collectées dans l'UE et avec les finalités de leur transfert vers les États-Unis. La majorité des entreprises américaines du secteur de l'internet, qui semblent être plus directement concernées par ces programmes, sont certifiées dans le cadre de la sphère de sécurité.

Par ailleurs, en ce qui concerne les échanges de données à des fins répressives, les accords existants (PNR et TFTP) se sont révélés être des instruments très précieux pour faire face aux menaces communes pour la sécurité qui sont liées à des formes graves de criminalité transnationale et au terrorisme, tout en établissant des garanties qui assurent un niveau élevé de protection des données[14]. Ces garanties s'appliquent également aux citoyens de l'UE, et les accords prévoient des mécanismes permettant de réexaminer leur mise en œuvre et de remédier aux éventuels problèmes que celle-ci peut poser. De même, l'accord TFTP prévoit un système de contrôle dans lequel des contrôleurs européens indépendants examinent la manière dont les États-Unis effectuent des recherches sur les données couvertes par l'accord.

Face aux inquiétudes suscitées dans l'UE par les programmes de surveillance américains, la Commission européenne a eu recours à ces mécanismes pour contrôler l'application des accords. Pour ce qui est de l'accord PNR, un réexamen conjoint de sa mise en œuvre a été réalisé en association avec des experts européens et américains en protection des données[15]. Ce réexamen n'a, en aucune façon, montré que les programmes américains de surveillance s'étendent aux données des dossiers passagers couvertes par l'accord PNR ni qu'ils ont une incidence sur celles-ci. Dans le cas de l'accord TFTP, la Commission a ouvert des consultations officielles à la suite d'allégations selon lesquelles les agences américaines de renseignement accédaient directement à des données à caractère personnel dans l'UE, contrairement aux dispositions de l'accord. S'il n'est ressorti de ces consultations aucun élément prouvant l'existence d'une violation de l'accord TFTP, elles ont amené les États-Unis à donner l'assurance écrite qu'aucune collecte directe de données n'avait lieu en violation des dispositions de l'accord.

La collecte et le traitement à grande échelle d'informations à caractère personnel dans le cadre de programmes américains de surveillance nécessitent toutefois de poursuivre à l'avenir un contrôle très étroit de la mise en œuvre des accords PNR et TFTP. L'UE et les États-Unis ont dès lors convenu d'avancer le prochain réexamen conjoint de l'accord TFTP, qui se tiendra au printemps 2014. Dans le cadre de ce réexamen et des réexamens conjoints suivants, le fonctionnement du système de contrôle et la protection qu'il offre aux données des citoyens de l'UE feront l'objet d'une transparence accrue.  En parallèle, des mesures seront prises pour garantir que le traitement des données transférées vers les États-Unis en application de l'accord, notamment l'échange de ces données entre les autorités américaines, continue de faire l'objet d'une grande attention dans le cadre du système de contrôle.

Enfin, face à l'augmentation des volumes de données à caractère personnel collectées et traitées, les garanties juridiques et administratives applicables revêtent une importance d'autant plus grande. L'un des objectifs du groupe de travail ad hoc UE-USA consistait à définir les garanties à appliquer pour réduire au minimum l'incidence du traitement des données à caractère personnel sur les droits fondamentaux des citoyens de l'UE. Il convient également de disposer de garanties pour protéger les entreprises. En vertu de certaines lois américaines, comme le Patriot Act, les autorités américaines peuvent directement s'adresser à des entreprises pour solliciter l'accès à des données stockées dans l'UE. En conséquence, des entreprises européennes, et des entreprises américaines établies dans l'UE, peuvent se voir contraintes de transférer des données vers les États-Unis en violation du droit de l'UE et des législations des États membres et se trouvent ainsi confrontées à un conflit d'obligations juridiques. L'insécurité juridique découlant de cette situation peut entraver le développement de nouveaux services numériques, comme l'informatique en nuage, qui permettent d'offrir des solutions efficaces et moins coûteuses aux citoyens et aux entreprises.

 3.         Garantir l'efficacité de la protection des données

Les transferts de données à caractère personnel entre l'Union européenne et les États-Unis constituent une composante essentielle des relations commerciales transatlantiques. Les échanges d'informations font également partie intégrante de la coopération transatlantique en matière de sécurité; ils sont cruciaux pour poursuivre l'objectif commun de prévention des formes graves de criminalité et du terrorisme et de lutte contre ces phénomènes. Toutefois, les récentes révélations concernant les programmes américains de collecte de renseignements ont mis à mal la confiance sur laquelle cette coopération est fondée. En particulier, la confiance dans les méthodes de traitement de ces données a été ébranlée. Il conviendrait dès lors de prendre les mesures suivantes pour rétablir la confiance dans les transferts de données, dans l'intérêt de l'économie numérique, de la sécurité à la fois dans l'UE et aux États-Unis et des relations transatlantiques en général.

3.1.      La réforme des règles de l'UE en matière de protection des données

La réforme de la protection des données proposée en janvier 2012 par la Commission[16] apporte des réponses essentielles en ce qui concerne la protection des données à caractère personnel. Cinq éléments du train de mesures proposé sont particulièrement importants.

Premièrement, en ce qui concerne le champ d'application territorial, la proposition de règlement dispose clairement que les entreprises qui ne sont pas établies dans l'Union sont tenues d'appliquer le droit de l'UE en matière de protection des données lorsqu'elles offrent des biens ou des services aux consommateurs européens ou lorsqu'elles observent leur comportement. Autrement dit, le droit fondamental à la protection des données sera respecté, indépendamment du lieu d'établissement de l'entreprise ou de son service de traitement des données[17].

Deuxièmement, en ce qui concerne les transferts internationaux, la proposition de règlement fixe les conditions auxquelles sont subordonnés les transferts de données vers des pays tiers. Les transferts ne peuvent être autorisés que lorsque ces conditions, qui garantissent un niveau élevé de protection des droits des personnes, sont remplies[18].

Troisièmement, en ce qui concerne le contrôle de l'application des règles, les dispositions proposées prévoient des sanctions proportionnées et dissuasives (jusqu'à concurrence de 2 % du chiffre d’affaires annuel mondial de l'entreprise) afin de garantir que les entreprises respectent le droit de l'UE[19]. L'existence de sanctions crédibles incitera davantage les entreprises à se conformer au droit de l'UE.

Quatrièmement, la proposition de règlement contient des règles claires concernant les obligations et les responsabilités des sous-traitants, tels que les fournisseurs de services informatiques en nuage, notamment en matière de sécurité[20]. Comme l'ont montré les révélations sur les programmes américains de collecte de renseignements, il s'agit d'un point crucial car ces programmes concernent les données stockées dans le nuage. En outre, les entreprises qui fournissent de l'espace de stockage dans le nuage et auxquelles des autorités étrangères demandent des données à caractère personnel ne seront pas en mesure d'échapper à leurs responsabilités en invoquant leur qualité de simple «sous-traitant» et non de «responsable du traitement de données».

Cinquièmement, le train de mesures proposé permettra d'établir un ensemble complet de règles pour protéger les données à caractère personnel traitées à des fins répressives.

Ce train de mesures devrait être adopté en temps voulu au cours de l'année 2014[21].

 3.2.     Rendre la «sphère de sécurité» plus sûre

La sphère de sécurité constitue une composante importante des relations commerciales entre l’Union européenne et les États-Unis, sur laquelle comptent les entreprises des deux côtés de l’Atlantique.

Le rapport de la Commission sur le fonctionnement de la sphère de sécurité met en évidence un certain nombre d'insuffisances. En raison d’un manque de transparence et de contrôle de sa mise en œuvre, certains membres de la sphère de sécurité ayant déclaré leur adhésion à ses principes ne les respectent pas dans la pratique. Cette situation a une incidence négative sur les droits fondamentaux des citoyens de l’UE. Elle désavantage aussi les entreprises européennes par rapport à leurs concurrents américains qui exercent leur activité dans le cadre de la sphère de sécurité mais qui, dans la pratique, n'observent pas ses principes. Ce déséquilibre affecte également la majorité des entreprises américaines qui appliquent correctement lesdits principes. La sphère de sécurité sert également d'interface pour le transfert de données à caractère personnel de citoyens européens, de l’Union européenne vers les États-Unis, par les entreprises qui sont tenues de remettre des données aux agences américaines de renseignement dans le cadre de programmes américains de collecte de renseignements. À moins d'y remédier, ces insuffisances entraînent donc un désavantage concurrentiel pour les entreprises de l’UE et ont une incidence négative sur le droit fondamental à la protection des données des citoyens de l’Union.

Les lacunes de la sphère de sécurité ont été soulignées par la réaction des autorités européennes chargées de la protection des données aux récentes révélations sur les programmes américains de surveillance. L’article 3 de la décision relative à la sphère de sécurité autorise ces autorités à suspendre, sous certaines conditions, les flux de données vers des entreprises adhérant aux principes de la sphère de sécurité.[22] Des commissaires allemands à la protection des données ont décidé de ne plus délivrer d'autorisations de transfert de données vers des pays tiers (par exemple, pour l’utilisation de certains services en nuage). Ils examineront également s'il convient de suspendre les transferts de données dans le cadre de la sphère de sécurité.[23] Le risque est que de telles mesures, prises au niveau national, créent des disparités dans l'application de la sphère de sécurité et, partant, que cette dernière cesse d’être un mécanisme commun de transfert de données à caractère personnel entre l’Union européenne et les États-Unis.

La Commission a, en vertu de la directive 95/46/CE, compétence pour suspendre ou abroger la décision relative à la sphère de sécurité si cette dernière ne permet plus d'assurer un niveau de protection adéquat. En outre, l’article 3 de la décision relative à la sphère de sécurité prévoit que la Commission peut abroger ou suspendre ladite décision ou en limiter la portée, tandis que l’article 4 dispose qu'elle peut l'adapter à tout moment à la lumière de l’expérience acquise durant sa mise en œuvre.

Dans ce contexte, plusieurs options peuvent être envisagées, notamment:

le maintien du statu quo, le renforcement de la sphère de sécurité et la révision approfondie de son fonctionnement; la suspension ou l'abrogation de la décision relative à la sphère de sécurité.

Compte tenu des insuffisances recensées, la sphère de sécurité ne peut plus être mise en œuvre telle qu'elle l'est actuellement. Toutefois, sa suppression porterait préjudice aux intérêts des entreprises qui en sont membres dans l’Union européenne et aux États-Unis. La Commission considère qu'il conviendrait plutôt de renforcer la sphère de sécurité.

Ces améliorations devraient concerner à la fois les lacunes structurelles liées à la transparence et au contrôle de la mise en œuvre, les principes matériels de la sphère de sécurité et l'application de la dérogation pour motif de sécurité nationale.

Concrètement, pour que la sphère de sécurité fonctionne comme prévu, le contrôle et la surveillance par les autorités américaines du respect des principes de la sphère de sécurité par les entreprises qui ont déclaré y adhérer doit être plus efficace et plus systématique. Il y a lieu d'améliorer la transparence des politiques desdites entreprises en matière de protection de la vie privée. L'existence et l’accessibilité de mécanismes de règlement des litiges doivent également être garanties aux citoyens de l’UE. 

La Commission entend entamer de toute urgence un dialogue avec les autorités américaines afin d'examiner les lacunes mises en évidence. Il conviendrait de définir les mesures à prendre pour combler ces lacunes d'ici à l'été 2014 et de les mettre en œuvre le plus rapidement possible. Sur cette base, la Commission dressera un bilan complet du fonctionnement de la sphère de sécurité. Ce processus plus large de réexamen devrait impliquer une consultation ouverte et un débat au sein du Parlement européen et du Conseil ainsi que des discussions avec les autorités américaines. 

Il importe aussi que la dérogation pour motif de sécurité nationale, prévue par la décision relative à la sphère de sécurité, ne soit appliquée que dans la mesure où cela est strictement nécessaire et proportionné.

3.3.      Renforcer les garanties en matière de protection des données dans le cadre de la coopération entre les services répressifs

L’Union européenne et les États-Unis négocient actuellement un accord-cadre sur la protection des données relatif au transfert et au traitement d'informations à caractère personnel dans le cadre de la coopération policière et judiciaire en matière pénale. La conclusion d’un tel accord assurant un niveau élevé de protection des données à caractère personnel contribuerait grandement au renforcement de la confiance de part et d’autre de l’Atlantique. Tout en améliorant la protection des droits des citoyens de l’UE dans ce domaine, il aiderait à renforcer la coopération transatlantique destinée à prévenir et à combattre la criminalité et le terrorisme.

Conformément à la décision autorisant la Commission à négocier cet accord-cadre, l’objectif des négociations devrait être d’assurer un niveau élevé de protection en conformité avec l’acquis de l’UE sur la protection des données. Cela devrait se traduire par l'adoption de règles et de garanties portant, entre autres, sur la limitation des finalités, les conditions et la durée de conservation des données. Dans le cadre des négociations, la Commission devrait également obtenir des engagements sur les droits opposables, y compris les mécanismes de recours juridictionnel ouverts aux citoyens de l’UE ne résidant pas aux États-Unis[24]. L'étroite coopération entre l’Union européenne et les États-Unis pour relever les défis communs touchant à la sécurité devrait se refléter dans les efforts déployés pour veiller à ce que les citoyens bénéficient des mêmes droits des deux côtés de l’Atlantique, lorsque les mêmes données sont traitées aux mêmes fins. Il importe également de définir d'une manière restrictive les dérogations fondées sur des motifs de sécurité nationale. Des garanties et des limitations devraient être convenues à cet égard.

Ces négociations offrent l’occasion de préciser que les données à caractère personnel détenues par des entreprises privées situées dans l’Union ne seront pas directement accessibles aux services répressifs américains ni ne leur seront transférées en dehors des canaux officiels de coopération, tels que les accords d'entraide judiciaire ou les accords sectoriels UE-USA autorisant ce type de transferts. Tout accès par d’autres moyens doit être exclu, à moins qu'il ne s'agisse de cas exceptionnels clairement définis et susceptibles de faire l'objet d'un contrôle juridictionnel. Les États-Unis devraient prendre des engagements à cet égard.[25].

Un accord-cadre allant dans ce sens devrait fournir le cadre général nécessaire pour assurer un niveau élevé de protection des données à caractère personnel, lorsque de telles données sont transférées aux États-Unis aux fins de la prévention de la criminalité et du terrorisme ou de la lutte contre ces phénomènes. Des accords sectoriels devraient, s’il y a lieu en raison de la nature du transfert de données concerné, établir des règles et des garanties supplémentaires, sur le modèle des accords PNR et TFTP conclus entre l'Union européenne et les États-Unis, qui fixent des conditions strictes pour le transfert de données et prévoient des garanties pour les citoyens de l’UE.   

3.4.      Répondre aux préoccupations européennes dans le cadre de la réforme en cours aux États-Unis 

Le président américain Barack Obama a annoncé un réexamen des activités des autorités américaines chargées de la sécurité nationale, y compris du cadre juridique applicable. Ce processus constitue une occasion importante de répondre aux préoccupations de l’Union européenne suscitées par les récentes révélations sur les programmes américains de collecte de renseignements. Les modifications les plus importantes consisteraient dans l'application aux citoyens de l’UE ne résidant pas aux États-Unis des mêmes garanties que celles dont bénéficient les ressortissants et résidents américains, l’amélioration de la transparence des activités de renseignement et le renforcement des contrôles. Ces modifications permettraient de rétablir la confiance dans les échanges de données entre l’Union européenne et les États‑Unis, et de promouvoir l’utilisation des services internet par les Européens.

En ce qui concerne l'extension aux citoyens de l’UE des garanties offertes aux ressortissants et résidents américains, les normes juridiques relatives aux programmes américains de surveillance qui établissent une distinction entre ressortissants et résidents américains et citoyens de l'UE devraient être réexaminées, notamment au regard des principes de nécessité et de proportionnalité, en gardant à l’esprit l'étroit partenariat transatlantique pour la sécurité, fondé sur les valeurs, les libertés et les droits qui nous sont communs. Les Européens seraient ainsi moins affectés par les programmes américains de collecte de renseignements.

Une plus grande transparence est requise en ce qui concerne, d'une part, le cadre juridique des programmes américains de collecte de renseignements et son interprétation par les tribunaux américains et, d'autre part, la dimension quantitative desdits programmes. Les citoyens de l’UE bénéficieraient également de ces modifications.

Le contrôle des programmes américains de collecte de renseignements pourrait être amélioré en renforçant le rôle de la Foreign Intelligence Surveillance Court américaine et en instaurant des voies de recours pour les particuliers. Ces mécanismes pourraient réduire le traitement des données à caractère personnel concernant des Européens qui ne sont pas pertinentes aux fins de la protection de la sécurité nationale.

3.5.        Promouvoir des normes internationales de protection de la vie privée

Les questions que soulèvent les méthodes modernes de protection des données ne se limitent pas aux transferts de données entre l’Union européenne et les États-Unis. Toute personne devrait également se voir garantir un niveau élevé de protection des données la concernant. Il conviendrait de promouvoir au niveau international les règles de l’UE en matière de collecte, de traitement et de transfert de données.

Plusieurs initiatives ont récemment été proposées en vue de promouvoir la protection de la vie privée, notamment sur l'internet[26]. L’Union européenne devrait veiller à ce que ces initiatives, si elles sont poursuivies, tiennent pleinement compte des principes visant à protéger les droits fondamentaux, la liberté d’expression, les données à caractère personnel et la vie privée, conformément au droit de l’UE et à la stratégie de l’UE en matière de cybersécurité, et ne portent pas atteinte à la liberté, à l’ouverture et à la sécurité du cyberespace. Cela inclut un modèle de gouvernance pluripartite, démocratique et efficient.

Les réformes en cours de la législation sur la protection des données des deux côtés de l’Atlantique offrent en outre, à l’Union européenne et aux États-Unis, une occasion unique d'établir la norme internationale. Les échanges transatlantiques de données et autres échanges internationaux de données bénéficieraient grandement d'un durcissement du cadre juridique national américain, notamment de l'adoption de la «Consumer Privacy Bill of Rights» (déclaration de droits sur la protection de la vie privée des consommateurs) présentée par le président Barack Obama en février 2012 dans le cadre d'un programme global destiné à améliorer la protection de la vie privée des consommateurs. Des règles strictes et opposables en matière de protection des données, inscrites à la fois dans le droit de l'UE et la législation américaine, constitueraient une base solide pour les flux transfrontières de données.

En vue de promouvoir des normes internationales de protection de la vie privée, il conviendrait également de favoriser l'adhésion à la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel («convention 108»), qui est ouverte aux pays qui ne sont pas membres du Conseil de l'Europe[27]. Les garanties définies d'un commun accord dans les enceintes internationales devraient se traduire par un niveau élevé de protection, compatible avec les exigences du droit de l’UE.

4.            Conclusions et recommandations

Les questions soulevées dans la présente communication requièrent que des mesures soient prises, d'une part, par les États-Unis et, d'autre part, par l’Union européenne et ses États membres.

Les préoccupations entourant les échanges transatlantiques de données ont, tout d’abord, fait prendre conscience à l’Union et à ses États membres qu'il y avait lieu de progresser rapidement et avec ambition dans la réforme de la protection des données. Il en ressort qu’un cadre législatif solide, fondé sur des règles claires également opposables en cas de transfert de données à l'étranger, est plus que jamais une nécessité. Les institutions européennes devraient dès lors poursuivre les efforts engagés et s'attacher à réformer les règles de l'UE en matière de protection de données d'ici au printemps 2014, afin de faire en sorte que les données à caractère personnel soient protégées d'une manière effective et complète.

Compte tenu de l’importance des flux transatlantiques de données, il est essentiel que les instruments sur lesquels ces échanges sont fondés répondent dûment aux défis posés par l’ère numérique et les derniers développements technologiques, comme l’informatique en nuage, ainsi qu'aux possibilités qu'ils offrent. Il conviendrait que les arrangements et accords, existants et futurs, garantissent la continuité d’un niveau élevé de protection pour les données passant d'une rive à l'autre de l’Atlantique.

Une sphère de sécurité solide est dans l'intérêt à la fois des citoyens et des entreprises de l'Union européenne et des États-Unis. Il conviendrait de la renforcer en en améliorant le contrôle et la mise en œuvre à court terme et en procédant, sur cette base, à un réexamen plus large de son fonctionnement. Des améliorations s'imposent pour poursuivre la réalisation des objectifs initiaux de la décision relative à la sphère de sécurité, à savoir la continuité de la protection des données, la sécurité juridique et la libre circulation des données entre l’Union européenne et les États-Unis. 

Ces améliorations devraient essentiellement porter sur la nécessité pour les autorités américaines de mieux contrôler le respect des principes de la sphère de sécurité par les entreprises qui ont déclaré y souscrire.

Il importe aussi que la dérogation pour motif de sécurité nationale, prévue par la décision relative à la sphère de sécurité, ne soit appliquée que dans la mesure où cela est strictement nécessaire et proportionné.

Dans le domaine du contrôle de l'application, les négociations en cours concernant un accord-cadre devraient se traduire par un niveau élevé de protection pour les citoyens des deux côtés de l’Atlantique. Un tel accord renforcerait la confiance des Européens dans les échanges de données entre l’Union européenne et les États-Unis, et servirait de base pour développer encore le partenariat UE-USA pour la sécurité et la coopération transatlantique dans ce domaine. Dans le cadre de ces négociations, il conviendrait que des engagements soient pris afin que les Européens ne résidant pas aux États-Unis puissent bénéficier des garanties procédurales, y compris les voies de recours juridictionnel.

Il conviendrait d'obtenir des autorités américaines qu'elles s'engagent à veiller à ce que les données à caractère personnel détenues par des entités privées dans l’Union ne soient pas directement accessibles aux services répressifs américains en dehors des canaux officiels de coopération (tels que les accords sur l’entraide judiciaire et les accords sectoriels conclus entre l’Union européenne et les États-Unis comme les accords PNR et TFTP autorisant ces transferts sous réserve du respect de conditions strictes), sauf dans des cas exceptionnels clairement définis et susceptibles de faire l'objet d'un contrôle juridictionnel.  

Les États-Unis devraient également étendre aux citoyens de l'UE ne résidant pas sur leur territoire les garanties offertes à leurs ressortissants et résidents, veiller à ce que leurs programmes respectent les principes de nécessité et de proportionnalité, et renforcer la transparence et le contrôle du cadre juridique applicable aux autorités américaines chargées de la sécurité nationale.

Les domaines d'action recensés dans la présente communication appellent un engagement constructif de part et d’autre de l’Atlantique. En agissant de concert, l'Union européenne et les États-Unis, en tant que partenaires stratégiques, seront à même de surmonter leurs tensions actuelles et de rétablir la confiance dans les flux transatlantiques de données. Les relations transatlantiques en général seront renforcées par les engagements politiques et juridiques communs qui seront pris aux fins de l'approfondissement de la coopération dans ces domaines.

[1]               Aux fins de la présente communication, le terme «citoyens de l'UE» désigne également les personnes concernées ressortissantes de pays tiers qui relèvent du champ d'application du droit de l'UE en matière de protection de données.

[2]               Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique, JO L 215 du 25.8.2000, p. 7.

[3]               Décision 2009/820/PESC du Conseil du 23 octobre 2009 concernant la conclusion, au nom de l’Union européenne, de l’accord d’extradition entre l’Union européenne et les États-Unis d’Amérique et de l’accord d’entraide judiciaire entre l’Union européenne et les États-Unis d’Amérique, JO L 291 du 7.11.2009, p. 40.

[4]               Décision 2012/472/UE du Conseil du 26 avril 2012 relative à la conclusion de l'accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation des données des dossiers passagers et leur transfert au ministère américain de la sécurité intérieure, JO L 215 du 11.8.2012, p. 4.

[5]               Décision du Conseil du 13 juillet 2010 relative à la conclusion de l’accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme, JO L 195 du 27.7.2010, p. 3.

[6]               Le Conseil a adopté, le 3 décembre 2010, la décision autorisant la Commission à négocier cet accord. Voir IP/10/1661 du 3 décembre 2010.

[7]               Voir Boston Consulting Group, «The Value of our Digital Identity», novembre 2012.

[8]               Voir McKinsey, «Big data: The next frontier for innovation, competition, and productivity», 2011.

[9]               Communication de la Commission intitulée «Exploiter le potentiel de l'informatique en nuage en Europe», COM(2012) 529 final.

[10]             Par exemple, en juin 2012, le nombre cumulé des visiteurs uniques sur Microsoft Hotmail, Google Gmail et Yahoo! Mail provenant des pays européens dépassait les 227 millions, éclipsant ainsi tous les autres fournisseurs. En mars 2012, le nombre cumulé d'utilisateurs uniques européens accédant à Facebook et à Facebook Mobile était de 196,5 millions, faisant de Facebook le premier réseau social en Europe. Utilisé par 90,2 % des internautes dans le monde, Google est le principal moteur de recherche internet. En juin 2013, le service de messagerie What's App était utilisé par 91 % des usagers d'iPhone en Allemagne.

[11]             Voir l'arrêt de la Cour de justice de l'Union européenne dans l'affaire C-300/1, ZZ contre Secretary of State for the Home Department.

[12]             Article 4, paragraphe 2, du TUE.

[13]             Voir, par exemple, l'annexe I de la décision relative à la sphère de sécurité.

[14]             Voir le rapport conjoint de la Commission et du département du Trésor des États-Unis relatif à la valeur des données fournies dans le cadre du TFTP conformément à l'article 6, paragraphe 6, de l'accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis d’Amérique aux fins du programme de surveillance du financement du terrorisme.

[15]             Voir le rapport de la Commission intitulé «Réexamen conjoint de la mise en œuvre de l’accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert des données des dossiers passagers au ministère américain de la sécurité intérieure».

[16]             COM(2012) 10 final: proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, Bruxelles, le 25.1.2012, et COM(2012) 11 final: proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

[17]             La Commission prend acte du fait que le Parlement européen a confirmé et consolidé ce principe majeur, inscrit à l'article 3 de la proposition de règlement, lors de son vote du 21 octobre 2013 sur les rapports relatifs à la réforme de la protection des données, de MM. Jan-Philipp Albrecht et Dimitrios Droutsas, membres du Parlement européen, au sein de la commission des libertés civiles, de la justice et des affaires intérieures (LIBE).

[18]             La Commission prend acte du fait que, lors de son vote du 21 octobre 2013, la commission LIBE du Parlement européen a proposé d'ajouter au futur règlement une disposition qui imposerait que les demandes d'autorités étrangères pour accéder à des données à caractère personnel collectées dans l'UE soient préalablement autorisées par une autorité nationale chargée de la protection des données, lorsque ces demandes seraient effectuées en dehors du cadre d'un traité d'entraide judiciaire ou d'un autre accord international. 

[19]             La Commission prend acte du fait que, dans son vote du 21 octobre 2013, la commission LIBE a proposé de renforcer la proposition de la Commission en prévoyant des amendes pouvant atteindre 5 % du chiffre d'affaires annuel mondial de l'entreprise.

[20]             La Commission prend acte du fait que, lors de son vote du 21 octobre 2013, la commission LIBE a soutenu le durcissement des obligations et des responsabilités des sous-traitants, et notamment les dispositions de l'article 26 de la proposition de règlement.

[21]             Les conclusions du Conseil européen d'octobre 2013 indiquent que: «Il est important de renforcer la confiance des citoyens et des entreprises dans l'économie numérique. L'adoption en temps voulu d'un cadre général rigoureux de l'UE sur la protection des données et de la directive relative à la cybersécurité est essentielle pour l'achèvement du marché unique numérique d'ici 2015».

[22]             En particulier, en vertu de l'article 3 de la décision relative à la sphère de sécurité, ce type de suspensions peuvent être appliquées dans les cas où il est fort probable que les principes sont violés; où il y a tout lieu de croire que l'instance d'application concernée ne prend pas ou ne prendra pas en temps voulu les mesures qui s'imposent en vue de régler l'affaire en question; où la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves; et où les autorités compétentes des États membres se sont raisonnablement efforcées, compte tenu des circonstances, d'avertir l'organisation et de lui donner la possibilité de répondre.

[23]             Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, communiqué de presse du 24 juillet 2013.

[24]             Voir le passage pertinent du communiqué de presse commun publié à la suite de la réunion ministérielle «Justice et affaires intérieures» UE-USA du 18 novembre 2013 à Washington: «We are therefore, as a matter of urgency, committed to advancing rapidly in the negotiations on a meaningful and comprehensive data protection umbrella agreement in the field of law enforcement. [Nous nous sommes donc, d'urgence, engagés à progresser rapidement dans les négociations en vue d'un accord-cadre constructif et global sur la protection des données dans le domaine répressif.] The agreement would act as a basis to facilitate transfers of data in the context of police and judicial cooperation in criminal matters by ensuring a high level of personal data protection for U.S. and EU citizens. [Cet accord devrait servir de base pour faciliter les transferts de données dans le cadre de la coopération policière et judiciaire en matière pénale, tout en garantissant aux ressortissants américains et aux citoyens de l’UE un niveau élevé de protection des données à caractère personnel.] We are committed to working to resolve the remaining issues raised by both sides, including judicial redress (a critical issue for the EU). [Nous sommes déterminés à résoudre les dernières questions soulevées par les deux parties, y compris celle des voies de recours juridictionnel (question cruciale pour l’UE).] Our aim is to complete the negotiations on the agreement ahead of summer 2014.» [Notre objectif est d'achever les négociations relatives à cet accord avant l'été 2014.]

[25]             Voir le passage pertinent du communiqué de presse commun publié à la suite de la réunion ministérielle «Justice et affaires intérieures» UE-USA du 18 novembre 2013 à Washington: «We also underline the value of the EU-U.S. Mutual Legal Assistance Agreement. [Nous soulignons également la valeur de l'accord UE-USA relatif à l'entraide judiciaire.] We reiterate our commitment to ensure that it is used broadly and effectively for evidence purposes in criminal proceedings. [Nous réaffirmons notre engagement à faire en sorte qu’il soit appliqué largement et efficacement à des fins d'obtention de preuves dans le cadre des procédures pénales.] There were also discussions on the need to clarify that personal data held by private entities in the territory of the other party will not be accessed by law enforcement agencies outside of legally authorized channels. [Des discussions ont également porté sur la nécessité de préciser que les données à caractère personnel détenues par des entités privées sur le territoire de l’autre partie ne seraient pas accessibles aux services répressifs en dehors des voies légales autorisées.] We also agree to review the functioning of the Mutual Legal Assistance Agreement, as contemplated in the Agreement, and to consult each other whenever needed.» [Nous convenons également de réexaminer le fonctionnement de l’accord sur l'entraide judiciaire, ainsi que ce dernier le prévoit, et de nous consulter chaque fois que cela sera nécessaire.]

[26]          Voir, à cet égard, le projet de résolution proposé à l’Assemblée générale des Nations unies, par l’Allemagne et le Brésil, appelant à la protection de la vie privée aussi bien en ligne que hors ligne.

[27]          Les États-Unis sont déjà partie à une autre convention du Conseil de l'Europe, à savoir la convention de 2001 sur la cybercriminalité (également dénommée la «convention de Budapest»).