Le CEPD accueille favorablement l’accord-cadre entre l’UE et les États-Unis sur les transferts de données et insiste sur l’importance de prévoir des mesures de sauvegarde effectives
Dans son avis, publié ce jour, le contrôleur européen de la protection des données (CEPD) a exprimé son soutien à l’initiative relative à l’accord-cadre entre l’UE et les États-Unis («EU-US Umbrella Agreement»). Le CEPD a recommandé trois améliorations essentielles à apporter à ce dispositif, qui se veut une première mondiale en matière de partage et de transfert de données à caractère personnel à des fins d’ordre public et vise à renforcer la confiance entre les deux partenaires stratégiques. Le CEPD a également appelé les parties à d’autres clarifications avant la signature de l’accord paraphé.
Giovanni Buttarelli (CEPD): "La mondialisation engendre l’intensification des efforts déployés par les gouvernements en matière de lutte contre la criminalité, ce qui nécessite un partage plus structuré des informations importantes à cet égard. L’accord-cadre entre l’UE et les États-Unis pourrait instaurer une nouvelle norme internationale en la matière. Pour qu’il soit une réussite, nous invitons les parties à l’accord à tenir soigneusement compte des récents développements importants. Ils contribueront à la mise en place d’un dispositif pleinement compatible avec les principes constitutionnels de l’UE, notamment la Charte des droits fondamentaux de l’Union européenne."
Le CEPD salue et appuie l’intention des négociateurs de l'Union européenne et des États-Unis de garantir un niveau élevé de protection des données à caractère personnel dans les transferts effectués à des fins d’ordre public entre les parties à l’accord; il se félicite de leur volonté de prévoir des garanties effectives.
Le dernier cycle de négociations sur cet accord-cadre s’est conclu préalablement à certains développements juridiques récents (notamment l’accord politique sur la réforme du cadre juridique européen de la protection des données et l’arrêt de la Cour de justice de l’Union européenne dans l’affaire Schrems). À la lumière de ce nouveau contexte, certaines améliorations et clarifications sont nécessaires pour garantir que l’accord proposé reflète l’esprit de ces évolutions.
Dans son avis, le CEPD formule des conseils constructifs et objectifs pour clarifier et améliorer l’accord proposé, de sorte que celui-ci garantisse les droits des individus de manière adéquate. Parmi les préoccupations du CEPD figurent en particulier l’efficacité du recours juridictionnel, la prévention du transfert massif de données à caractère sensible et l’importance de veiller à ce que toutes les garanties envisagées valent pour toute personne protégée par la Charte, et non uniquement pour les ressortissants des États membres de l’Union européenne.
Tout en établissant un cadre pour les transferts transatlantiques de données, il importe que l’accord-cadre entre l’UE et les États-Unis montre que l’Union européenne peut donner l’exemple en renforçant les droits au respect de la vie privée et à la protection des données à caractère personnel.
Cadre général
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l’UE. La protection des données est un droit fondamental, protégé par la législation de l’UE et consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
Plus spécifiquement, les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) nº 45/2001. Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui a pour mandat de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation qui ont une influence sur la vie privée et de coopérer avec des autorités similaires afin de garantir une protection cohérente des données.
Giovanni Buttarelli (CEPD) et Wojciech Wiewiórowski (contrôleur adjoint) sont membres de l’institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Nommés pour un mandat de cinq ans, ils sont entrés en fonction le 4 décembre 2014.
Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. À titre d’exemples: noms, dates de naissance, photographies, matériau vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit d'une personne d’être laissée tranquille et de contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), dans la Convention européenne des droits de l’homme (article 8) et dans la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte prévoit également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: aux termes de l’article 2, point b), du règlement (CE) n° 45/2001, on entend par «traitement de données à caractère personnel» toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés et appliqué(e)s à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.» Voir le glossaire figurant sur le site internet du CEPD.