L’accord-cadre entre l’UE et les États-Unis sur les transferts de données personnelles à des fins répressives a été adopté.

Publié le par

L’accord-cadre met en place un certains nombres de garanties afin d’assurer que les transferts et les traitements de données à caractère personnel par les autorités compétentes dans le cadre de la coopération en matière pénale respectent les droits fondamentaux des citoyens en la matière.

L’accord-cadre négocié entre l’Union européenne et les Etats-Unis concernant le transferts des données à caractère personnel effectués entre les autorités policières et judiciaires américaines et européennes a été adopté par le Conseil de l’Union européenne le 2 décembre 2016 suite à son approbation par le Parlement européen le jeudi 1er décembre 2016 (publié au Journal officiel de l’Union européenne du 10 décembre 2016).

Le texte de l’accord, fruit de quatre années de négociations (de 2011 à septembre 2015), a été signé en juin 2016 par la Commission européenne et les autorités américaines suite à l’adoption en février 2016 du « Judicial Redress Act » par le Congrès américain accordant aux ressortissants européens le droit d’introduire un recours juridictionnel aux Etats-Unis.

Un pas important dans le domaine de la coopération en matière pénale

L’accord-cadre porte exclusivement sur les échanges de données à caractère personnel entre autorités répressives, à l’exclusion des transferts de données à caractère personnel réalisés à des fins commerciales. Celles-ci relèvent en effet du champ d’application de l’accord « Privacy Shield », adopté définitivement par l’UE le 12 juillet 2016.

Concrètement, l’accord-cadre a vocation à s’appliquer à tout transfert transatlantique de données à caractère personnel (comme le nom, l’adresse ou le casier judiciaire) effectués aux fins de prévenir ou de détecter des infractions pénales (dont le terrorisme), mener des enquêtes ou des poursuites.

L’accord établit en réalité un cadre de protection des informations à caractère personnel lors de leur transfert entre les Etats-Unis et l’Union européenne (ou ses Etats membres) mais ne constitue pas la base juridique des transferts en tant que tel. L’accord complète donc, le cas échéant, les accords internationaux entre les Etats-Unis et l’Union européenne ou un Etat membre existants ou à venir.

Des normes élevées et contraignantes ainsi que des droits pour les citoyens des deux côtés de l’Atlantique

Comme l’a déclaré l’eurodéputé Jan Philipp Albrecht, l’accord-cadre devrait protéger davantage les droits fondamentaux des citoyens dès lors qu’il élève, à un nouveau niveau la protection des données dans le cadre de la coopération policière et judiciaire avec les Etats-Unis.

L’accord-cadre met en place un certains nombres de garanties afin d’assurer que les transferts et les traitements de données à caractère personnel par les autorités compétentes dans le cadre de la coopération en matière pénale respectent les droits fondamentaux des citoyens en la matière.

D’une part, l’accord consacre les grands principes de la règlementation en matière de protection des données tels que par exemple :

  • Le principe de proportionnalité : seules peuvent être transférées entre l’UE et les Etats-Unis les informations à caractère personnel qui sont pertinentes et nécessaires au regard des finalités du transfert ;
  • La limitation des finalités et de l’utilisation : concernant la limitation des finalités, un transfert d’informations à caractère personnel entre l’UE et les Etats-Unis ne peut être réalisé que pour un usage déterminé et légitime (c’est-à-dire, autorisé par la base juridique du transfert). S’agissant de la limitation de l’utilisation, les données à caractère personnel transférées ne peuvent être utilisées que pour prévenir, enquêter, détecter ou poursuivre les infractions pénales et ne peuvent être traitées au-delà des fins compatibles ;
  • La durée de conservation : les données à caractère personnel ne peuvent être conservées plus longtemps que ce qui est nécessaire et approprié compte tenu notamment de la finalité du traitement, de la nature des données, de l’autorité qui les traite et des droits et intérêts des personnes touchées ;
  • Les limitations en ce qui concerne les transferts ultérieurs des données : pour tout transfert ultérieur vers une organisation internationale ou un pays non américain ou non membre de l’UE, le consentement préalable de l’autorité compétente du pays qui a initialement transféré des données à caractère personnel est requis ;

D’autre part, l’accord prévoit tant pour les citoyens européens qu’américains, un certain nombre de droits. Ceux-ci auront notamment :

  • Le droit d’être informés en cas de violation en matière de sécurité de leurs données (perte, destruction accidentelle, accès non autorité, divulgation, etc.) ;
  • Le droit d’accès et de rectification des informations incorrectes : toute personne aura le droit d’accéder à ses données personnelles – sous réserve de certaines restrictions prévues par l’accord – et de demander à ce qu’elles soient corrigées si elles sont inexactes ;

Enfin et parallèlement à la consécration d’autorités publiques de contrôles indépendantes, les citoyens européens et américains bénéficieront de recours administratifs et juridictionnels. Désormais, les citoyens européens auront le droit de demander réparation devant les tribunaux américains dans les cas où les autorités américaines refuseraient l’accès ou la rectification ou divulgueraient illégalement leurs données personnelles.

Comment l’accord fonctionnera-t-il en pratique ?

Prenons un exemple. Un citoyen de l’Union européenne (n°1), suspecté d’avoir participé à des actes terroristes, fait l’objet d’une enquête criminelle transatlantique. Ses données sont transférées de l’UE vers les Etats-Unis et sont inscrites sur « liste noire ». Cependant, il s’avère que ces données ont été collectées et transférées par erreur, puisqu’il s’agit en réalité de données relatives à un autre citoyen européen (n°2) ayant le même nom que le suspect. Cette personne peut à cause de cela se voir refuser un visa d’entrée ou encore se faire arrêter.

Les données relatives au citoyen de l’UE (n°2) doivent pouvoir être effacées par les autorités – si nécessaire par un juge – une fois l’erreur découverte. Ces droits étaient jusqu’à présent reconnus aux citoyens européens et américains dans l’UE. L’idée de l’accord-cadre est qu’ils puissent jouir de ces mêmes droits lorsque leurs données sont échangées avec les États-Unis. Le citoyen dont les données seraient inexactes peut également charger, si la législation nationale qui lui est applicable l’y autorise, une autorité (par exemple une autorité de protection des données) ou un autre représentant de demander que ses données soient corrigées ou rectifiées en son nom.

Si le citoyen de l’UE n°2 se voit refuser la correction ou la rectification (qui peut consister en l’effacement de données) de ses données ou que celle-ci est restreinte, l’autorité américaine traitant les données devra fournir à la personne ou à l’autorité de protection des données agissant en son nom une réponse expliquant les raisons du refus ou de la restriction de la correction ou de la rectification (recours administratif). Il dispose en outre, après épuisement des voies de recours administratifs, du droit d’introduire un recours juridictionnel aux Etats-Unis.

(Source : Rapid)

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK