Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Accord UE/États-Unis: protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière

2016/0126(NLE)

OBJECTIF : conclure, au nom de l’Union européenne, d’un accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière.

ACTE PROPOSÉ : décision du Conseil.

RÔLE DU PARLEMENT EUROPÉEN : le Conseil ne peut adopter l’acte que si le Parlement européen a approuvé celui-ci.

CONTEXTE : en 2006, un groupe de contact à haut niveau (HLCG), composé de hauts fonctionnaires de la Commission, de représentants de la présidence du Conseil et des ministères de la justice, de la sécurité intérieure et des affaires étrangères des États-Unis, a été mis sur pied en vue d’étudier les moyens qui permettraient à l’UE et aux États-Unis de coopérer plus efficacement dans le domaine de l’échange d’informations en matière répressive, tout en veillant à garantir la protection des données à caractère personnel et de la vie privée.

Dans son rapport final présenté en octobre 2009, le HLCG a conclu qu’un accord international engageant tant l’UE que les États-Unis à appliquer des principes communs reconnus en matière de protection des données pour les transferts de données transatlantiques dans le domaine répressif constituait la meilleure option.

Le 3 décembre 2010, le Conseil a adopté une décision autorisant la Commission à ouvrir des négociations en vue d’un tel accord-cadre entre l’Union européenne et les États-Unis. La Commission a engagé les négociations le 28 mars 2011. Le 8 septembre 2015, les Parties ont paraphé le texte.

L’accord devrait maintenant être approuvé au nom de l’Union européenne.

CONTENU : la Commission propose que le Conseil adopte une décision approuvant, au nom de l’Union européenne, un accord entre les États-Unis et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière.

L’accord vise à établir un cadre complet de principes et de garanties en matière de protection des données lors du transfert d’informations à caractère personnel à des fins d’application du droit pénal entre les États-Unis, d’une part, et l’Union européenne ou ses États membres, d’autre part. Son objectif est de garantir un niveau élevé de protection des données à caractère personnel des personnes concernées de l’Union lors de leur échange avec les États-Unis à des fins d’application du droit pénal et, partant, d’améliorer la coopération entre les Parties.

Bien qu’il ne constitue pas en soi la base juridique de transferts d’informations à caractère personnel vers les États-Unis, l’accord-cadre devrait compléter les garanties en matière de protection des données figurant dans les accords existants et futurs relatifs au transfert de données ou les dispositions nationales autorisant ce type de transfert.

1) Champ d’application et objectifs généraux : l’accord vise à mettre en place pour la première fois un instrument de protection des données couvrant de manière exhaustive et cohérente tous les transferts de données dans un domaine déterminé (c’est-à-dire les échanges transatlantiques de données dans le domaine de la coopération policière et judiciaire en matière pénale) ;

De plus, l’accord vise à soutenir dans le contexte transatlantique, les exigences générales relatives aux transferts internationaux de données figurant dans la future directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales, et à la libre circulation de ces données, adoptée le 27 avril 2016.

2) Principes et garanties en matière de protection des données : l’accord couvre d’importants principes régissant le traitement des données à caractère personnel, ainsi que des garanties et restrictions essentielles :

Limitation des finalités et de l’utilisation : le traitement (qui inclut le transfert) pourrait uniquement avoir lieu pour des finalités explicites et légitimes relevant du champ d’application de l’accord-cadre, à savoir à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d’enquêtes et de poursuites en la matière.

Les garanties s’appliqueraient au «cycle de vie» complet d’un ensemble de données considéré, depuis son transfert initial au départ de l’UE jusqu’à son traitement par une autorité compétente des États-Unis et vice-versa, y compris son éventuel transfert ultérieur à une autre autorité des États-Unis ou, dans le cas d’un transfert de données au départ des États-Unis vers une autorité compétente de l’Union ou de (l’un de) ses États membres, son transfert ultérieur éventuel à une autre autorité de l’UE.

Transfert ultérieur : si une autorité américaine a l’intention de transférer à son tour des données qu’elle a reçues de l’UE ou de l’un de ses États membres à un pays tiers/une organisation internationale non liés par l’accord, elle devrait au préalable obtenir l’autorisation de l’autorité répressive de l’UE ayant transféré initialement les données vers les États-Unis. Cette règle s’appliquerait également dans le cas où une autorité de l’UE ou de l’un de ses États membres a l’intention de transférer des données qu’elle a reçues des États-Unis à un pays tiers/une organisation internationale.

L’accord prend expressément en compte le caractère particulièrement sensible du transfert en masse des données de personnes non soupçonnées (par exemple les données PNR de tous les passagers prenant un vol, indépendamment de tout soupçon concret à leur égard). L’accord dispose ainsi que tout transfert ultérieur d’informations à caractère personnel autres que des informations se rapportant à des affaires précises serait subordonné au respect de certaines conditions définies dans l’accord justifiant dûment ledit transfert.

En outre, les Parties à l’accord devraient prendre des mesures pour assurer :

  • la préservation de la qualité et de l’intégrité des informations ;
  • la sécurité des informations et la notification d’un incident relatif à la sécurité des informations ;
  • la mise en place de méthodes efficaces (tels que des journaux) pour démontrer la licéité du traitement et de l’utilisation des informations à caractère personnel ;
  • la fixation de durées de conservation précises, pour garantir que les données ne seront pas conservées plus longtemps que ce qui est nécessaire et approprié ; les durées de conservation seraient réexaminées périodiquement et devraient être publiées ou portées à la connaissance du grand public.

Catégories particulières de données : le traitement de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou autres, l’appartenance à un syndicat, ou le traitement d’informations à caractère personnel relatives à la santé ou à la vie sexuelle, ne pourrait avoir lieu que lorsque des garanties appropriées sont établies conformément à la législation (par exemple en masquant les informations une fois atteinte la finalité pour laquelle le traitement a eu lieu ou en exigeant que l’accès à ces informations soit subordonné à l’autorisation d’une autorité de contrôle).

3) Droits individuels : les personnes concernées seraient en mesure de se prévaloir de droits de portée générale au regard de tout transfert transatlantique de données à caractère personnel dans le domaine répressif, à savoir :

  • le droit d’accès aux données et le droit de rectification des données les concernant;
  • le droit d’introduire un recours administratif si une personne n’accepte pas le résultat de sa demande d’accès/de rectification portant sur des données à caractère personnel la concernant;
  • le droit de former un recours juridictionnel contre i) le refus d’accès, ii) le refus de rectification ou iii) la divulgation illicite par les autorités de l’autre Partie.

4) Aspects liés à l’application de l’accord-cadre et contrôle : des mesures devraient être mises en place afin :

  • de promouvoir l’obligation de rendre compte des autorités qui traitent des données à caractère personnel couvertes par l’accord-cadre;
  • de mettre en place une ou plusieurs autorités publiques qui exercent en toute indépendance des fonctions et des pouvoirs de contrôle, y compris de réexamen, d’enquête et d’intervention;
  • d’assurer la coopération entre les autorités de contrôle ; des points de contact nationaux seraient établis pour aider à déterminer l’autorité de contrôle à laquelle s’adresser dans une affaire donnée;
  • de procéder à des réexamens périodiques conjoints de la mise en œuvre et de l’efficacité de l’accord-cadre.

L’accord aurait une durée illimitée (justifiée d’une part par la nature de l’accord, qui est un cadre offrant protection et garanties, et d’autre part par la possibilité de suspendre et de dénoncer l’accord).