Initiative législative — 52023IP0204

1.

rappelle que le respect de la vie privée et familiale ainsi que la protection des données à caractère personnel sont des droits fondamentaux juridiquement contraignants consacrés par les traités, la charte et la Convention européenne des droits de l’homme, ainsi que par les lois et la jurisprudence; insiste sur le fait que les décisions d’adéquation au titre du RGPD sont des décisions juridiques, non des choix politiques, et que les droits au respect de la vie privée et à la protection des données ne peuvent être mis en balance avec des intérêts commerciaux ou politiques, mais uniquement avec d’autres droits fondamentaux;

2.

prend acte des efforts consentis dans le décret 14086 pour fixer des limites aux activités de renseignement d’origine électromagnétique menées par États-Unis, en appliquant les principes de proportionnalité et de nécessité au cadre juridique des États-Unis relatif au renseignement d’origine électromagnétique et en dressant une liste des objectifs légitimes de ces activités; note que ces principes seraient contraignants pour l’ensemble de la communauté du renseignement des États-Unis et pourraient être invoqués par les personnes concernées dans le cadre de la procédure prévue dans le décret 14086; souligne que ce décret prévoit des améliorations significatives pour garantir que ces principes sont essentiellement équivalents selon le droit de l’Union; souligne, cependant, que ces principes sont des éléments essentiels qui s’inscrivent de longue date dans le régime de protection des données de l’Union européenne et que leurs définitions précises dans le décret 14086 ne sont pas conformes à leurs définitions dans le droit de l’Union ni à leur interprétation par la Cour de justice; souligne, en outre, qu’aux fins du cadre de protection des données UE-États-Unis, ces principes seraient interprétés uniquement en considération du droit et des traditions juridiques des États-Unis et non du droit et des traditions juridiques de l’UE; relève que le décret 14086 répertorie douze objectifs légitimes pouvant être poursuivis lors de la collecte de renseignements d’origine électromagnétique et cinq objectifs dans le cadre desquels la collecte de renseignements d’origine électromagnétique est interdite; note que la liste des objectifs légitimes de sécurité nationale peut être modifiée et élargie par le Président des États-Unis sans obligation de rendre publiques les mises à jour pertinentes ni d’informer l’UE; souligne qu’en vertu du décret 14086, le renseignement d’origine électromagnétique doit avoir lieu d’une manière nécessaire et proportionnée à la «priorité validée en matière de renseignement», ce qui semble être une interprétation large de ces concepts; souligne que pour une évaluation complète des principes de proportionnalité et de nécessité dans le cadre du décret 14086, il convient que ces principes soient concrétisés et mis en œuvre dans les politiques et les procédures des agences de renseignement américaines; s’inquiète, cependant, du fait que les analystes ne soient pas tenus de procéder à une évaluation de la proportionnalité pour chaque décision de surveillance;

3.

prend acte du fait que le décret 14086 autorise dans certains cas la collecte massive de données par le renseignement d’origine électromagnétique, y compris le contenu des communications; dans le même temps, constate que le décret 14086 indique que la collecte ciblée devrait être privilégiée par rapport à la collecte massive; rappelle que, bien que le décret 14086 contienne plusieurs garanties en cas de collecte massive, il ne prévoit aucune autorisation préalable indépendante concernant ce type de collecte, et que cela n’est pas non plus prévu par le décret 12333; rappelle que, dans l’arrêt «Schrems II», la CJUE a expliqué que la surveillance exercée par les États-Unis ne respectait pas le droit de l’Union, car elle ne requérait pas de «critère objectif» susceptible «de justifier l’ingérence du gouvernement dans la vie privée»; souligne que cela porterait atteinte à la finalité des objectifs en tant que garantie qui limite les activités de renseignement menées par les États-Unis; rappelle qu’après l’adoption de la directive présidentielle no 28 (PPD-28), qui a servi de base à la décision relative à l'adéquation du bouclier de protection des données, le Conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board — ci-après, le «PCLOB») a publié un rapport d’examen (12) et conclu que la PPD-28 avait maintenu pour l’essentiel les pratiques existantes de la communauté du renseignement; est convaincu que la PPD-28 ne mettra pas un terme à la surveillance électronique massive des citoyens de l’Union par les autorités américaines;

4.

partage les préoccupations du CEPD concernant le manquement du décret 14086 à fournir des garanties suffisantes dans le cas de la collecte massive de données, à savoir l’absence d’autorisation préalable indépendante, l’absence de règles claires et strictes en matière de conservation des données, la collecte massive «temporaire» et l’absence de garanties plus strictes en ce qui concerne la diffusion des données collectées en masse; souligne notamment la préoccupation spécifique liée au fait que, en l’absence de restrictions supplémentaires concernant la transmission des données aux autorités américaines, les autorités répressives pourraient accéder à des données qu’elles n’auraient autrement pas été autorisées à consulter; rappelle que les transferts ultérieurs multiplient effectivement les risques pour la protection des données; note que le CEPD a demandé l’inclusion d’une obligation juridiquement contraignante d’analyser et de déterminer si un pays tiers offre un niveau minimal acceptable de garanties;

5.

souligne que le décret 14086 ne s’applique pas aux données auxquelles les autorités publiques accèdent par d’autres moyens, par exemple grâce à la loi américaine sur l’informatique en nuage (Cloud Act) ou à la loi antiterroriste (Patriot Act), à l’achat de données commerciales ou à des accords de partage volontaire des données;

6.

souligne que le problème sous-jacent est la surveillance de personnes non américaines en vertu du droit américain et le fait que les citoyens européens ne disposent pas d'un recours judiciaire effectif à cet égard; demande que les citoyens de l’Union bénéficient des mêmes droits et privilèges que les citoyens des États-Unis en ce qui concerne les activités de la communauté du renseignement des États-Unis et l’accès aux juridictions américaines;

7.

comprend que, selon l’interprétation des États-Unis, le «renseignement d’origine électromagnétique» englobe toutes les méthodes d’accès aux données prévues par la loi sur la surveillance et le renseignement étranger (FISA), y compris celles proposées par des prestataires de «services de télétraitement», ajoutées à l’article 1881a de l’acte modificatif du FISA (FISA amendment Act S1881a) en 2008; demande à la Commission de préciser, lors de futures négociations, la définition et le champ d’application du «renseignement d’origine électromagnétique» au sens du décret 14086; rappelle qu’en vertu de l’article 702 du FISA, le gouvernement américain s’arroge toujours le pouvoir de cibler toute personne non américaine se trouvant à l’étranger afin d’obtenir des renseignements étrangers, au sens large;

8.

souligne qu’un nouveau mécanisme de recours a été créé pour permettre aux personnes concernées de l’Union d’introduire une réclamation; souligne dans le même temps que les décisions de la DPRC seraient classées et non rendues publiques ou mises à la disposition du plaignant, qui serait uniquement informé, soit du fait que l’examen n’a révélé aucune violation visée, soit du fait que la DPRC a rendu une décision exigeant une action appropriée, ce qui porterait atteinte à son droit d’accéder à ses données ou de les rectifier; s’inquiète du fait qu’en conséquence, une personne introduisant un recours n’aurait aucune chance d’être informée des résultats concrets de celui-ci et la décision serait définitive; relève que la procédure de recours proposée ne prévoit pas de voie de recours devant une cour fédérale et, partant, ne prévoit pas, entre autres, la possibilité pour le plaignant de réclamer des dommages et intérêts; invite la Commission à poursuivre les négociations avec les États-Unis afin de parvenir aux changements nécessaires pour répondre à ces préoccupations;

9.

considère que le décret 14086 introduit certaines garanties pour assurer l’indépendance des juges de la DPRC, comme le reconnaît le CEPD dans son avis; souligne que la DPRC fait partie du pouvoir exécutif et non du pouvoir judiciaire et que ses juges sont nommés pour une durée fixe de quatre ans; souligne que le Président des États-Unis peut annuler les décisions de la DPRC, même en secret; souligne que, bien que le nouveau mécanisme de recours ne permette pas au procureur général des États-Unis de révoquer ni de superviser les juges de la DPRC, il ne porte pas atteinte aux pouvoirs concernés du Président des États-Unis; souligne que tant que le Président des États-Unis pourra révoquer les juges de la DPRC pendant leur mandat, l’indépendance de ces juges ne sera pas garantie; observe qu’en cas d’adoption, la Commission devrait suivre de près l’application des garanties d’indépendance dans la pratique; souligne qu’un plaignant serait représenté par un «avocat spécial» désigné par la DPRC, pour lequel il n’existe aucune exigence d’indépendance; invite la Commission à veiller à ce qu’une exigence d’indépendance soit introduite en cas d’adoption d’une décision d’adéquation; conclut que, en l’état, la DPRC ne respecte pas les normes d’indépendance et d’impartialité énoncées à l’article 47 de la charte; note que s’il est vrai que le PCLOB examinerait de manière indépendante le fonctionnement de la nouvelle procédure de recours, la portée de cet examen serait limitée;

10.

constate que, si les États-Unis ont prévu un nouveau mécanisme de recours pour les questions liées à l’accès des autorités publiques aux données, des questions subsistent quant au caractère effectif des voies de recours disponibles en matière commerciale, qui demeurent inchangées en vertu de la décision d’adéquation; note que les mécanismes qui visent à résoudre ces questions sont largement laissés à l’appréciation des entreprises, qui peuvent choisir des voies de recours alternatives, telles que les mécanismes de règlement des litiges ou le recours aux programmes de protection de la vie privée proposés par les entreprises; invite la Commission, en cas d’adoption d’une décision d’adéquation, à analyser de près le caractère effectif de ces mécanismes de recours;

11.

constate que les entreprises européennes ont besoin de sécurité juridique et méritent d’en bénéficier; souligne que la succession de mécanismes de transfert de données, qui ont ensuite été abrogés par la CJUE, a entraîné des coûts supplémentaires pour les entreprises européennes; constate donc la nécessité d’assurer la sécurité juridique et d’éviter une situation où les entreprises doivent constamment s’adapter à de nouvelles solutions juridiques, ce qui pourrait être particulièrement contraignant pour les micro, petites et moyennes entreprises; craint que la décision d’adéquation, si elle est adoptée, ne soit (comme les précédentes) invalidée par la CJUE, ce qui entraînerait un manque persistant de sécurité juridique, des coûts supplémentaires ainsi que des perturbations pour les entreprises et les citoyens européens;

12.

souligne que, contrairement à tous les autres pays tiers qui ont reçu une décision d’adéquation au titre du RGPD, les États-Unis ne disposent toujours pas d’une loi fédérale sur la protection des données; souligne que l’application du décret 14086 n’est pas claire, précise, ni prévisible, étant donné qu’il peut être modifié ou révoqué à tout moment par le Président des États-Unis, qui est également habilité à promulguer des décrets secrets; note qu’un réexamen du constat d’adéquation serait effectué un an après la date de notification de la décision d’adéquation aux États membres et, par la suite, au moins tous les quatre ans; invite la Commission, au cas où une future décision d’adéquation serait adoptée, à procéder à des examens ultérieurs au moins tous les trois ans, comme le demande l’avis du CEPD; s’inquiète de l’absence d’une clause de caducité en vertu de laquelle la décision expirerait automatiquement quatre ans après son entrée en vigueur, après quoi la Commission devrait prendre une nouvelle décision; craint que cette absence de clause de caducité dans cette décision d’adéquation ne reflète une plus grande indulgence envers les États-Unis, bien que le cadre américain en matière de protection de la vie privée soit fondé sur un décret qui autorise les modifications secrètes et peut être modifié sans consulter le Congrès ni informer les homologues de l’Union; invite donc la Commission à introduire une telle clause;

13.

partage les préoccupations exprimées par le CEPD pour ce qui est des droits des personnes concernées, de l’absence de définitions clés et de règles spécifiques sur la prise de décisions automatisée et le profilage, du manque de clarté quant à l’application des principes du cadre de protection des données aux sous-traitants, et de la nécessité d’éviter des transferts ultérieurs qui affaiblissent le niveau de protection;

14.

insiste sur le fait que les décisions d’adéquation doivent inclure des mécanismes clairs et stricts de suivi et de réexamen afin de garantir que les décisions sont adaptées aux évolutions futures, ou peuvent être abrogées ou modifiées si nécessaire, et que le droit fondamental des citoyens de l’Union à la protection des données est garanti en toutes circonstances; précise que toute future décision d’adéquation devrait faire l’objet d’un réexamen continu, tenant compte des évolutions juridiques et pratiques aux États-Unis;