Le Parlement européen n’a pas apporté son soutien, jeudi 11 mai, à la décision d’adéquation de la Commission européenne pour les transferts de données à caractère personnel entre l’Union européenne et les États-Unis (EUROPE 13161/2). Dans une résolution adoptée avec 306 votes pour, 27 contre et 231 abstentions en plénière, les eurodéputés ont reconnu les améliorations du nouveau cadre, mais les ont jugées insuffisantes pour résister aux contestations juridiques.
En effet, il s’agit du troisième cadre légal autorisant le transfert des données entre l’UE et les États-Unis. Les précédents, Safe Harbour (EUROPE 11404/1) et Privacy Shield (EUROPE 12529/2), ont tous deux été invalidés par la Cour de Justice de l’UE (CJUE).
Des lacunes
« Il manque encore des éléments sur l'indépendance judiciaire, la transparence, l'accès à la justice et les voies de recours. Nous demandons à la Commission de poursuivre les négociations et de répondre correctement à ces préoccupations », a résumé le rapporteur Juan Fernando López Aguilar (S&D, espagnol).
La résolution du PE conteste notamment le fonctionnement de la Cour de révision de la protection des données. Si cette instance permettra aux citoyens de l’UE d’introduire des recours, ses décisions seront secrètes, violant dès lors le droit des personnes à accéder et rectifier leurs données. Le texte remet également en question son indépendance vis-à-vis de l’exécutif américain.
Par ailleurs, la résolution note que le nouveau cadre continue d’autoriser la collecte en masse de données personnelles et ne fournit pas de règles claires sur leur rétention.
Présent lors d’un débat sur le sujet la veille, le commissaire à la Justice, Didier Reynders, quant à lui, a défendu le cadre. Pour lui, il comble les lacunes précédemment identifiées par la CJUE, à savoir « des garanties insuffisantes en termes de nécessité et de proportionnalité en ce qui concerne l'accès aux données personnelles par les agences de renseignement américaines » et « des garanties insuffisantes en terme de recours ».
Petite majorité
En effet, un des arguments avancés par toutes les parties lors du débat est la nécessité d’assurer la continuité de la protection pour les citoyens, d’une part, et la sécurité juridique pour les entreprises, d’autre part.
Or, ceux qui défendent le cadre estiment qu’il parvient à un juste équilibre entre protection des données et poursuite d’objectifs d’intérêt public (comme la sécurité nationale), lui permettant d’être accepté par la CJUE. Son aboutissement, défendent-ils, assurera donc cette sécurité juridique. Au contraire, ceux qui demandent à la Commission de revoir sa copie doutent que le cadre résiste au test de la Cour de justice et, selon eux, finaliser son adoption engendrerait donc plus d’incertitude.
Le groupe PPE a ainsi proposé une série d’amendements visant à nuancer la résolution initiale, appelant surtout la Commission à suivre la mise en œuvre du cadre sans le remettre en question. Si ces amendements ont finalement été rejetés, l’absence de soutien du PE à la décision s’est joué à une mince majorité, une grande proportion des groupes PPE et CRE, ainsi qu’une partie des groupes Renew Europe et ID, s’étant abstenus.
Voir la résolution : https://aeur.eu/f/6u7 (Hélène Seynaeve)