Le Parlement européen appelle à la suspension du Privacy Shield

Estimant qu'il n'offre pas le niveau de protection requis par le droit européen

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur depuis le 1er août 2016.

Cependant, les députés ont adopté une résolution appelant à la suspension de Privacy Shield. Le Parlement européen explique que :

• considérant que les transferts de données à caractère personnel entre les organisations commerciales de l’UE et des États-Unis constituent un élément important des relations transatlantiques, au vu de la numérisation toujours croissante de l’économie mondiale; que ces transferts devraient être menés dans le strict respect du droit à la protection des données à caractère personnel et du droit au respect de la vie privée; que l’un des objectifs fondamentaux de l’Union est la protection des droits fondamentaux consacrés dans la charte;
• considérant que Facebook, signataire du bouclier de protection des données, a confirmé que les données de 2,7 millions de citoyens de l’UE figuraient parmi les données utilisées de manière abusive par le consultant politique Cambridge Analytica;
• considérant que le bouclier de protection des données UE-États-Unis est assorti de plusieurs engagements et assurances unilatéraux de la part de l’administration américaine, explicitant, entre autres, les principes de la protection des données, le fonctionnement de la surveillance, de la mise en application de la loi et des voies de recours, et les protections et garanties en vertu desquelles les agences de sécurité peuvent avoir accès aux données à caractère personnel et traiter ces dernières;
• considérant que le groupe de travail «article 29» a recensé un certain nombre de questions en suspens, importantes et très préoccupantes, concernant à la fois le commerce et l’accès des autorités publiques américaines aux données transférées aux États-Unis au titre du bouclier de protection des données (que ce soit à des fins de répression ou de sécurité nationale), qui doivent être abordées aussi bien par la Commission que par les autorités américaines; qu’il a demandé la mise en place immédiate d’un plan d’action pour démontrer que toutes ces questions seront abordées, au plus tard lors du deuxième examen conjoint;
  
  
  
• considérant que le 11 janvier 2018, le Congrès américain a modifié et réautorisé pour six ans la section 702 du FISA sans répondre aux préoccupations que la Commission exprime dans son rapport d’examen conjoint et de l’avis du groupe de travail «article 29» ;
• considérant que, dans le cadre de la législation budgétaire générale promulguée le 23 mars 2018, le Congrès américain a promulgué le «Clarifying Overseas Use of Data (‘CLOUD’) Act», qui facilite l’accès à des fins répressives au contenu des communications et autres données liées en permettant aux autorités répressives des États-Unis d’imposer la production de données de communication même si elles sont stockées en dehors des États-Unis, et en permettant à certains pays étrangers de conclure des accords exécutifs avec les États-Unis de manière à permettre aux fournisseurs de services américains de répondre à certaines décisions de justice étrangères réclamant un accès à des données de communication;
• considérant que Facebook Inc., Cambridge Analytica and SCL Elections Ltd sont des entreprises certifiées dans le cadre du bouclier de protection des données et qu’en tant que telles, elles ont bénéficié de la décision d’adéquation comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l’Union européenne vers les États-unis.

Aspects institutionnels / Nominations

Le Parlement européen souligne que les récentes révélations concernant les pratiques de Facebook et de Cambridge Analytica mettent en exergue la nécessité d’une surveillance en amont ainsi que de mesures d’exécution qui ne se fondent pas exclusivement sur des plaintes et qui prévoient des contrôles systématiques de la conformité pratique des politiques de protection de la vie privée avec les principes du bouclier de protection des données tout au long de la durée de vie de la certification; invite les autorités compétentes de l’Union en matière de...