Avis du Contrôleur européen de la protection des données sur la proposition de décision du Conseil relative à la conclusion de l’accord UE-USA sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme (TFTP II)
Dans son avis, le CEPD se félicite d’avoir été consulté et recommande que son avis soit mentionné dans les considérants de la proposition. Il se réjouit surtout que suite à la décision du Parlement européen du 11 février 2010 de s’opposer à l’accord intérimaire signé le 30 novembre 2009, le nouveau projet vise notamment à répondre aux préoccupations en matière de protection des données à caractère personnel, un droit fondamental qui, après l’entrée en vigueur du traité de Lisbonne, a acquis encore plus d’importance dans le cadre juridique de l’Union européenne.
Le CEPD estime toutefois que la proposition présente certaines lacunes et exprime son avis comme suit :
S’il reconnaît que la proposition envisage certaines améliorations substantielles par rapport à l’accord intérimaire TFTP I (en particulier, exclusion de données SEPA (Single Euro Payments Area), définition plus limitée du terrorisme, dispositions plus détaillées sur les droits des personnes concernées), il fait observer qu’une condition préalable essentielle à l’appréciation de la légitimité d’un nouvel accord TFTP fait encore défaut : la nécessité du mécanisme par rapport aux instruments européens et internationaux déjà existants.
Ainsi, il souhaite que l’on améliore le dispositif proposé de la manière suivante :
§ en veillant à ce que les missions et le rôle de la personnalité désignée par la Commission européenne et des représentants des autorités européennes chargées de la protection des données soient bien définis et à ce qu’ils soient mis en mesure d’agir indépendamment et de mener à bien leurs missions de contrôle;
§ en veillant à ce que des réexamens conjoints se tiennent régulièrement et que leur résultat soit lié à la durée de l’accord au moyen d’une clause de suspension;
§ en transmettant les informations disponibles à des contrôleurs indépendants et des autorités chargées de la protection des données;
§ en évitant que l’accord limite les compétences des autorités européennes chargées de la protection des données.