Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Résolution sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis

2016/3018(RSP)

Le Parlement européen a adopté par 306 voix pour, 240 contre et 40 abstentions, une résolution déposée par la commission des libertés civiles, de la justice et des affaires intérieures sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis.

Le bouclier de protection des données UE-États-Unis succède à l’ancienne décision relative à la sphère de sécurité, invalidée par un arrêt de la Cour de justice de l’UE le 6 octobre 2015 (affaire Schrems).

Le Parlement a salué le fait qu’à la suite de nouvelles discussions avec le gouvernement américain, la Commission a adopté sa décision d’exécution (UE) 2016/1250 constatant le niveau adéquat de protection des données personnelles transférées de l’Union à des organisations aux États-Unis au titre du bouclier de protection des données UE-États-Unis.

Au 23 mars 2017, 1.893 organisations américaines participent au bouclier de protection des données UE-États-Unis mais de nombreuses entreprises ne sont pas soumises à ces règles étant donné que le bouclier se fonde sur une autocertification volontaire.

Malgré les assurances données par le gouvernement américain et les améliorations notables vis-à-vis de clarté des normes par rapport à l’ancien régime de la sphère de sécurité, les députés ont fait part de plusieurs sujets de préoccupations en ce qui concerne certains aspects commerciaux, la sécurité nationale et la répression, à savoir notamment:

  • la différence importante entre la protection prévue par la directive 95/46/CE et les principes des dispositions du bouclier de protection des données, notamment le principe «Intégrité des données et limitation des finalités»;
  • l’absence de règles spécifiques sur la prise de décision automatisée et sur un droit général d’opposition, ainsi que le manque de principes clairs sur les modalités d’application du bouclier de protection des données aux sous-traitants (agents);
  • le fait que seule une petite partie des organisations américaines ayant souscrit au bouclier de protection des données ont choisi de faire appel à une autorité de protection des données (APD) européenne pour le mécanisme de règlement des litiges;
  • l’absence d’une définition uniforme de la «surveillance de masse» qui refléterait la compréhension européenne de ce terme et garantirait que l’évaluation des données soit indépendante de leur sélection; les députés ont déploré le fait que le bouclier n’interdit pas la collecte de données en masse à des fins répressives;
  • les récentes révélations concernant les activités d’espionnage conduites par un fournisseur américain de services de communications électroniques, à la demande de  l’Agence de sécurité nationale (NSA) et du FBI en 2015, un an après que la directive présidentielle n°28 a limité la quantité de données pouvant être collectée et traitée;
  • le manque de preuves quant à l’existence de droits de recours effectifs pour les particuliers européens dont les données personnelles sont transférées États-Unis;
  • l’indépendance insuffisante du médiateur mis en place par le département d’État américain et le fait qu’il ne dispose pas de pouvoirs suffisants pour offrir aux particuliers européens des voies de recours efficaces.

Sur la base de ces considérations, la résolution a invité la Commission à prendre toutes les mesures nécessaires pour garantir que le bouclier de protection des données sera entièrement conforme à la charte des droits fondamentaux de l'Union européenne et au règlement général sur la protection des données (règlement (UE) 2016/679) applicable à partir du 16 mai 2018.