Cependant, les députés ont adopté une résolution appelant à la suspension de Privacy Shield. Le Parlement européen explique que :
- considérant que les transferts de données à caractère personnel entre les organisations commerciales de l’UE et des États-Unis constituent un élément important des relations transatlantiques, au vu de la numérisation toujours croissante de l’économie mondiale; que ces transferts devraient être menés dans le strict respect du droit à la protection des données à caractère personnel et du droit au respect de la vie privée; que l’un des objectifs fondamentaux de l’Union est la protection des droits fondamentaux consacrés dans la charte;
- considérant que Facebook, signataire du bouclier de protection des données, a confirmé que les données de 2,7 millions de citoyens de l’UE figuraient parmi les données utilisées de manière abusive par le consultant politique Cambridge Analytica;
- considérant que le bouclier de protection des données UE-États-Unis est assorti de plusieurs engagements et assurances unilatéraux de la part de l’administration américaine, explicitant, entre autres, les principes de la protection des données, le fonctionnement de la surveillance, de la mise en application de la loi et des voies de recours, et les protections et garanties en vertu desquelles les agences de sécurité peuvent avoir accès aux données à caractère personnel et traiter ces dernières;
- considérant que le groupe de travail «article 29» a recensé un certain nombre de questions en suspens, importantes et très préoccupantes, concernant à la fois le commerce et l’accès des autorités publiques américaines aux données transférées aux États-Unis au titre du bouclier de protection des données (que ce soit à des fins de répression ou de sécurité nationale), qui doivent être abordées aussi bien par la Commission que par les autorités américaines; qu’il a demandé la mise en place immédiate d’un plan d’action pour démontrer que toutes ces questions seront abordées, au plus tard lors du deuxième examen conjoint;
- considérant que le 11 janvier 2018, le Congrès américain a modifié et réautorisé pour six ans la section 702 du FISA sans répondre aux préoccupations que la Commission exprime dans son rapport d’examen conjoint et de l’avis du groupe de travail «article 29» ;
- considérant que, dans le cadre de la législation budgétaire générale promulguée le 23 mars 2018, le Congrès américain a promulgué le «Clarifying Overseas Use of Data (‘CLOUD’) Act», qui facilite l’accès à des fins répressives au contenu des communications et autres données liées en permettant aux autorités répressives des États-Unis d’imposer la production de données de communication même si elles sont stockées en dehors des États-Unis, et en permettant à certains pays étrangers de conclure des accords exécutifs avec les États-Unis de manière à permettre aux fournisseurs de services américains de répondre à certaines décisions de justice étrangères réclamant un accès à des données de communication;
- considérant que Facebook Inc., Cambridge Analytica and SCL Elections Ltd sont des entreprises certifiées dans le cadre du bouclier de protection des données et qu’en tant que telles, elles ont bénéficié de la décision d’adéquation comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l’Union européenne vers les États-unis.
Aspects institutionnels / Nominations
Le Parlement européen souligne que les récentes révélations concernant les pratiques de Facebook et de Cambridge Analytica mettent en exergue la nécessité d’une surveillance en amont ainsi que de mesures d’exécution qui ne se fondent pas exclusivement sur des plaintes et qui prévoient des contrôles systématiques de la conformité pratique des politiques de protection de la vie privée avec les principes du bouclier de protection des données tout au long de la durée de vie de la certification; invite les autorités compétentes de l’Union en matière de protection des données à prendre des mesures appropriées et à suspendre les transferts en cas d’absence de conformité.
Aspects commerciaux
Le Parlement estime que les différentes procédures de recours offertes aux citoyens de l’Union européenne peuvent s’avérer trop complexes, difficiles à utiliser et, partant, moins efficaces; note que, comme le soulignent les entreprises qui proposent des mécanismes de recours indépendants (IRM), la plupart des plaintes sont déposées directement auprès des entreprises par des personnes cherchant des informations générales sur le bouclier des données et le traitement de leurs données; plaide donc pour que les autorités américaines donnent, sur le site Internet du bouclier de protection des données, des informations plus concrètes sur les divers droits et les voies de recours existantes, et ce sous une forme accessible et facilement compréhensible;
Il s’est montré vivement préoccupé par les conséquences de la révision des conditions d’utilisation de Facebook pour les utilisateurs de pays tiers résidant hors des États-Unis et du Canada, qui ont jusqu’à présent bénéficié des droits octroyés par la législation européenne sur la protection des données, et qui doivent désormais accepter que le responsable du traitement des données ne soit plus Facebook Irlande mais Facebook États-unis. Le Parlement considère que cette pratique constitue un transfert de données à caractère personnel d’environ 1,5 milliard d’utilisateurs vers un pays tiers et doute sérieusement qu’une telle limitation à grande échelle et sans précédent des droits fondamentaux des utilisateurs d’une plateforme, de fait monopolistique, corresponde au but recherché par le bouclier de protection des données. Aussi, il invite les autorités de protection des données de l’UE à enquêter sur cette question.
Appréciation de la loi et sécurité nationale
Le Parlement estime que la définition de l’expression «sécurité nationale» dans le mécanisme du bouclier de protection des données n’est pas suffisamment circonscrite pour s’assurer que les violations de la protection des données peuvent être effectivement examinées par les tribunaux sur la base d’un contrôle strict de ce qui est nécessaire et proportionné; demande par conséquent une définition claire de la «sécurité nationale».
Il réitère ses préoccupations concernant le décret présidentiel 12333, qui permet à la NSA de partager de vastes quantités de données privées, recueillies sans mandat, ordonnance de justice ou autorisation du Congrès, avec 16 autres organismes, dont le FBI, l’agence de lutte contre la drogue et le ministère de la sécurité intérieure; regrette l’absence de tout contrôle juridictionnel des activités de surveillance fondées sur le décret présidentiel 12333.
Il exprime ses vives préoccupations concernant l’adoption récente de la loi CLOUD [Clarifying Lawful Overseas Use of Data Act] (H.R. 4943) visant à clarifier les règles relatives aux réquisitions des autorités américaines sur les données stockées en dehors de leur territoire, qui étend les compétences des services répressifs américains et étrangers en leur permettant de cibler et d’accéder aux données des personnes au-delà des frontières internationales sans recourir aux instruments d’entraide judiciaire (MLAT), qui eux prévoient des garanties appropriées et respectent les compétences judiciaires des pays sur le territoire desquels l’information est stockée; fait observer que la loi CLOUD pourrait avoir de graves conséquences pour l’UE car elle a une grande portée et est source de conflit potentiel avec la législation de l’UE sur la protection des donnée.
Conclusions
Le Parlement :
- invite la Commission à prendre toutes les mesures nécessaires pour garantir que le bouclier de protection des données sera entièrement conforme au règlement (UE) 2016/679, applicable à partir du 25 mai 2018, et à la charte des droits fondamentaux de l’UE pour éviter ainsi que les critères d’adéquation ne se traduisent par des lacunes ou par un avantage concurrentiel pour les entreprises américaines;
- rappelle que la protection des données et de la vie privée sont des droits fondamentaux juridiquement contraignants, consacrés par les traités, par la charte des droits fondamentaux et par la convention européenne des droits de l’homme, ainsi que par le droit et la jurisprudence; souligne qu’ils doivent être appliqués d’une manière qui n’entrave pas inutilement le commerce ou les relations internationales, mais qu’ils ne peuvent pas être «mis en balance» avec les intérêts commerciaux ou politiques;
- est d’avis que l’actuel bouclier de protection des données n’offre pas le niveau de protection adéquat requis par le droit de l’Union en matière de protection des données et par la charte des droits fondamentaux de l’Union européenne, telle qu’interprétée par la Cour de justice de l’Union européenne.
Source : proposition de résolution
Voir aussi :
Des pays d'Europe utiliseraient les données téléphoniques des migrants pour valider ou rejeter leurs demandes d'asile, pour ou contre cette pratique ?
Wikipédia Italie ferme son service pour dénoncer la réforme sur le droit d'auteur en Europe, dont l'adoption pourrait être accélérée le 5 juillet
Un mois après l'entrée en vigueur du RGPD, personne ne respecte vraiment le règlement européen qui est interprété différemment d'un acteur à l'autre
La CJUE estime que la marque « France.com » ne peut être déposée en Europe, et évoque un risque de confusion avec une marque déjà déposée
UE : 62 associations saisissent la Commission européenne sur la conservation généralisée des données par les opérateurs de télécoms dans 17 pays