Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Accord UE/États-Unis: protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière

2016/0126(NLE)

La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Jan Philipp ALBRECHT sur le projet de décision du Conseil concernant la conclusion, au nom de l’Union européenne, d’un accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière.

La commission parlementaire a recommandé que le Parlement européen donne son approbation à la conclusion de l’accord.

Dans la justification succincte accompagnant le projet de résolution, il est rappelé que, suite aux appels lancés par le Parlement européen, le 3 décembre 2010, le Conseil a adopté une décision autorisant la Commission à entamer des négociations en vue de la conclusion d’un accord entre l’Union européenne et les États-Unis relatif à la protection des données à caractère personnel lors de leur transfert et de leur traitement à des fins de prévention et de détection des infractions pénales, dont le terrorisme, d’enquêtes et de poursuites en la matière, dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale.

Le 28 mars 2011, la Commission a entamé les négociations avec le ministère de la justice des États-Unis. Le Parlement a été régulièrement tenu informé de l’évolution des négociations. Le texte de l’accord a été paraphé le 8 septembre 2015.

À la suite de l’adoption, le 24 février 2016, du «Judicial Redress Act» par le Congrès américain, le Conseil a décidé, le 18 juillet 2016, de demander l’approbation du Parlement européen à la conclusion de l’accord.

L’accord a pour objectif d’assurer un niveau élevé de protection des libertés et des droits fondamentaux des personnes, notamment le droit à la vie privée en ce qui concerne le traitement des données à caractère personnel lorsque ces données sont transférées aux autorités compétentes de l’Union européenne et de ses États membres et des États-Unis à ces fins.

L’accord contient des dispositions exposant les principes fondamentaux relatifs à la protection des données, à savoir :

  • limitation des finalités et de l’utilisation des données à caractère personnel transférées;
  • préservation de la qualité et de l’intégrité des informations et durée de conservation ;
  • règles relatives aux transferts ultérieurs, à la fois aux autorités nationales de la partie contractante et aux autorités de pays tiers ou à une organisation internationale non liée par l’accord. Dans ce dernier cas, l’autorisation préalable de l’autorité répressive ayant transféré initialement les données est requise.

L’une des principales nouveautés de l’accord-cadre est qu’il permet aux citoyens de chaque partie de former un recours juridictionnel contre i) le refus d’accès, ii) le refus de rectification ou iii) la divulgation illicite par les autorités de l’autre partie. Ces droits s’exercent selon la loi de l’État où ils sont invoqués.

Afin de remédier à l’absence de droits pour les ressortissants non américains, le Congrès américain a adopté le «Judicial Redress Act» le 24 février 2016. Cet acte étendra aux citoyens des «pays couverts» (par exemple, les États membres) certains motifs de recours juridictionnel prévus par le «Privacy Act» américain de 1974.

En ce qui concerne les dérogations possibles au titre de la section 552a, paragraphe j), point 2), du «Privacy Act» américain, les droits des personnes concernées conférés par l’accord-cadre sont formulés de manière inconditionnelle. Par conséquent, les autorités américaines ne peuvent pas invoquer de dérogations au titre du «Privacy Act» pour les bases de données en matière de répression pour refuser aux citoyens de l’Union un recours juridictionnel effectif, comme c’est actuellement le cas pour les bases de données en matière de répression pour les données PNR ou TFTP.

L’accord-cadre dispose que les Parties mettent en place une ou plusieurs autorités publiques de contrôle qui exercent en toute indépendance des fonctions et des pouvoirs de contrôle, y compris de réexamen, d’enquête et d’intervention, le cas échéant de leur propre initiative. Il est également soumis à des réexamens périodiques conjoints.

Le rapporteur conclut que l’accord constitue une avancée considérable pour la protection des données à caractère personnel lors de leur transfert entre l’Union et les États-Unis dans un contexte répressif.