Échanges de données à caractère personnel entre l’Union européenne et les États-Unis

SYNTHÈSE DU DOCUMENT

Communication de la Commission [COM(2016) 117 final] – Flux de données transatlantiques: rétablir la confiance grâce à des garanties solides

QUEL EST L’OBJET DE CETTE COMMUNICATION?

Elle fait le point sur les mesures prises par l’Union européenne (UE) pour atteindre les objectifs établis dans la communication de 2013 sur le rétablissement de la confiance dans les flux de données entre l’Union européenne et les États-Unis. Cette communication de la Commission européenne faisait suite à des révélations concernant l’existence de programmes de collecte massive de renseignements aux États-Unis.

POINTS CLÉS

La communication de 2013 prévoit trois mesures clés visant à redonner confiance dans les transferts de données entre l’Union européenne et les États-Unis:

• adopter le train de réformes sur la protection des données proposé par la Commission en 2012 (voir le point 1 ci-dessous);
• rendre la «sphère de sécurité»* (ensemble des règles relatives aux flux de données transatlantiques) plus sûre, sur la base des 13 recommandations énoncées dans la communication de 2013 sur la sphère de sécurité;
• renforcer les garanties en matière de protection des données pour la coopération entre les services répressifs, notamment par la conclusion des négociations sur l’accord-cadre sur la protection des données entre l’UE et les États-Unis.

• 1.

  Train de réformes sur la protection des données de l’Union européenne

Le train de réformes est composé de deux instruments:

• le règlement général sur la protection des données qui établit un cadre européen commun pour la protection des données;
• la directive sur la protection des données («la directive sur la police») qui établit un cadre européen commun pour la protection des données dans le domaine de la coopération policière et judiciaire.

Le train de réformes a été officiellement adopté en avril 2016.

• 2.

  Bouclier vie privée UE-États-Unis

La communication de 2013 relative à la «sphère de sécurité» a mis en évidence plusieurs défaillances relatives au fonctionnement de l’accord, notamment des insuffisances relatives aux domaines suivants:

• la transparence des sociétés concernant le respect de l’accord;
• la mise en œuvre effective, par les autorités américaines, du respect des principes de confidentialité de l’accord par ces sociétés.

Les aspects du «bouclier vie privée UE-États-Unis» – le nouvel ensemble de règles qui remplace la sphère de sécurité – sont regroupés dans la communication en quatre catégories:

• des obligations strictes imposées aux entreprises et une application rigoureuse;
• des limites et garanties précises concernant l’accès par le gouvernement;
• une protection efficace du droit à la vie privée des citoyens européens avec plusieurs possibilités de recours;
• un mécanisme de réexamen conjoint annuel.

• 3.

  Accord-cadre sur la protection des données entre l’Union européenne et les États-Unis

La communication déclare que l’accord-cadre prévoit un ensemble harmonisé et complet de mesures de protection des données applicables à tous les échanges transatlantiques entre les autorités compétentes dans le domaine répressif (ou, sinon, entre des entités privées et des services répressifs en vertu d’un accord international, tel que l’accord sur les données des dossiers passagers ou le programme de surveillance du financement du terrorisme). Plus particulièrement, l’accord-cadre:

• couvre tous les échanges de données effectués dans le cadre de la coopération transatlantique des services répressifs en matière pénale;
• couvre toutes les règles fondamentales de protection des données de l’UE en ce qui concerne:
  • les normes de traitement (par exemple la qualité et l’intégrité des données, la sécurité des données),
  • les garanties et les limitations (par exemple la limitation des finalités et de l’utilisation, la conservation des données),
  • les droits des personnes (l’accès, la rectification, les recours administratifs et judiciaires);
• garantit le droit à un recours juridictionnel en cas de refus d’accès, de refus de rectification et de divulgation illicite;
• généralise et étend à tout le domaine répressif le principe qui veut que le contrôle indépendant soit une exigence fondamentale pour la protection des données (y compris les pouvoirs d’examiner et de statuer sur les plaintes individuelles portant sur le non-respect de l’accord);
• sera soumis à des vérifications conjointes périodiques.

L’accord-cadre a été signé par l’Union européenne et les États-Unis le 2 juin 2016.

CONTEXTE

Pour de plus amples informations, veuillez consulter:

• la page consacrée au communiqué de presse (communication);
• la page consacrée au communiqué de presse (bouclier vie privée);
• la page consacrée à la déclaration (signature de l’accord-cadre).

* TERMES CLÉS

DOCUMENT PRINCIPAL

Communication de la Commission au Parlement européen et au Conseil intitulée «Flux de données transatlantiques: rétablir la confiance grâce à des garanties solides» [COM(2016) 117 finaldu29 février 2016]

DOCUMENTS LIÉS

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)

dernière modification 28.11.2016