Le Parlement européen a adopté une résolution au sujet du projet de décision d’adéquation concernant les transferts de données personnelles vers les Etats-Unis. Pour le Parlement, les garanties avancées par les Etats-Unis sont largement insuffisantes.
Pour rappel, la Cour de justice de l’Union européenne a, dans une décision « Schrems II » du 16 juillet 2020, invalidé le Privacy Shield et a fortement restreint les possibilités de transfert de données personnelles vers les Etats-Unis. Cette décision était motivée par les lois et pratiques américaines, lesquelles permettent des accès par les autorités de surveillance américaines aux données personnelles jugés trop larges.
Suite à la signature d’un décret présidentiel par les Etats-Unis, visant à renforcer les garanties portant sur les activités de renseignement des Etats-Unis, notamment en les soumettant à des exigences de proportionnalité et de nécessité, la Commission européenne a, le 13 décembre 2022, amorcé le processus tendant à l’adoption d’une décision d’adéquation concernant les transferts de données entre l’Union européenne et les Etats-Unis.
Dans ce cadre, la Commission a soumis son projet de décision d’adéquation au Parlement européen, qui dispose d’un droit de regard.
Le 14 février 2023, le Parlement européen a adopté une résolution portant sur le projet de décision de la Commission européenne, qui se révèle très critique à l’égard des positions prises par la Commission. Il y est notamment indiqué que :
- les Etats-Unis ne disposent pas de loi fédérale, applicable à l’ensemble du pays, concernant la vie privée et la protection des données personnelles, au contraire de l’intégralité des autres pays du Monde ayant bénéficié d’une décision d’adéquation ;
- les notions de « nécessité » et de « proportionnalité », mentionnées par le décret présidentiel américain, font l’objet de définitions différentes de part et d’autre de l’Atlantique, et seront ici interprétées uniquement à la lumière de la loi américaine ;
- le décret présidentiel américain ne prohibe pas la collecte massive de données ;
- la liste des « objectifs de sécurité nationale légitimes », justifiant la collecte de données personnelles, peut être étendue par le Président des Etats-Unis, qui peut choisir de ne pas révéler cette extension au public ;
- le décret présidentiel américain ne s’applique pas aux accès aux données collectées par des autorités publiques par le biais du Cloud Act ou du Patriot Act, ni aux moyen d’opérations d’achat ou de partage de données.
Par ailleurs, de façon générale, pour le Parlement européen, le décret présidentiel américain n’est ni clair, ni précis, ni prévisible quant à son application.
Le Parlement européen met également en exergue les limites du mécanisme de recours ouvert aux citoyens européens, devant la « Data Protection Review Court » (« DPRC »), en relevant que :
- les décisions de la DPRC seront classifiées et inaccessibles au public ou au plaignant ;
- la DPRC est rattachée au pouvoir exécutif, et non au pouvoir judiciaire ;
- le plaignant sera représentée par un « special advocate » désigné par la DPRC elle-même, pour lequel il n’existe aucune exigence d’indépendance ;
- les décisions de la DPRC ne peuvent octroyer de dommages et intérêts au plaignant et ne peuvent pas faire l’objet d’appel devant une cour fédérale.
En raison de ces différents éléments, le Parlement européen a estimé que la DPRC ne remplit pas les conditions d’indépendance et d’impartialité de l’article 47 de la Charte des droits fondamentaux de l’UE.
La conclusion globale du Parlement européen est que le projet de décision d’adéquation de la Commission européenne ne permet pas d’assurer une équivalence en matière de protection des données personnelles. Le Parlement demande donc à la Commission de ne pas adopter le projet de décision et de continuer ses négociations avec ses interlocuteurs américains afin de créer un mécanisme aboutissant à une telle équivalence.
Source : ici