LIBE : Rési­stance à l’a­dé­qua­ti­on du TADPF

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, ,
Ven­te à emporter (AI)
  • Le Par­le­ment euro­pé­en rejet­te la décis­i­on d’a­dé­qua­ti­on pour le cad­re UE-USA sur la pro­tec­tion des don­nées ; il n’y a pas d’é­qui­va­lence réel­le du niveau de pro­tec­tion des données.
  • La com­mis­si­on LIBE invi­te la Com­mis­si­on à pour­suiv­re les négo­cia­ti­ons avec les États-Unis et insi­ste pour que la pro­cé­du­re d’a­dé­qua­ti­on ne soit pas adoptée.

La com­mis­si­on des liber­tés civi­les, de la justi­ce et des affai­res inté­ri­eu­res du Par­le­ment euro­pé­en (LIBE) a adop­té le 14 février 2023 le Pro­jet de réso­lu­ti­on en rap­port avec le Pri­va­cy Shield 2.0, le “Cad­re de pro­tec­tion des don­nées UE-USA” (éga­le­ment “Trans-Atlan­tic Data Pri­va­cy Frame­work”, TADPF), a été adop­té à l’at­ten­ti­on du Par­le­ment. Le pro­jet se base sur l’ar­tic­le 132(2) du règle­ment du Par­le­ment euro­pé­en, qui pré­voit que celui-ci peut adop­ter une réso­lu­ti­on en con­clu­si­on d’un débat – c’est ce que deman­de la LIBE.

Si le pro­jet est adop­té, le Par­le­ment euro­pé­en se pro­non­cera cont­re une décis­i­on d’a­dé­qua­ti­on pour le Data Pri­va­cy Frame­work déci­der. A l’in­star des cri­ti­ques for­mulées par noyb à l’en­cont­re du TADPF, le LIBE déplo­re prin­ci­pa­le­ment les points suivants :

  • des noti­ons cen­tra­les tel­les que la pro­por­ti­on­na­li­té sont inter­pré­tées dif­fé­rem­ment dans le droit amé­ri­cain que dans le RGPD ;
  • le Ord­re exé­cu­tif 14086 – Le TADPF ne s’ap­pli­que pas aux don­nées que les auto­ri­tés amé­ri­cai­nes obti­en­nent par d’aut­res moy­ens, par exemp­le par le biais de l’US CLOUD Act, par la divul­ga­ti­on volon­tai­re, par l’achat de don­nées ou par d’aut­res moyens ;
  • les décis­i­ons de la Data Pro­tec­tion Review Court (DPRC) ne sont pas publiées
  • le DPRC fait par­tie de l’exécutif ;
  • les per­son­nes con­cer­nées ne sont pas repré­sen­tées par un con­seil­ler juri­di­que indé­pen­dant devant le DPRC, mais par un “avo­cat spécial” ;
  • les per­son­nes con­cer­nées ne sont pas infor­mées du trai­te­ment de leurs don­nées et n’ont pas la pos­si­bi­li­té de deman­der des dom­mages et inté­rêts, par exemple ;
  • la pro­tec­tion juri­di­que cont­re les ent­re­pri­ses qui par­ti­ci­pent au TADPF est insuffisante ;
  • les ent­re­pri­ses euro­pé­en­nes méri­tent la sécu­ri­té juri­di­que (c’est-à-dire : ne pas adop­ter un TADPF qui serait ensuite annulé par la CJCE) ;
  • les États-Unis n’ont tou­jours pas de loi fédé­ra­le sur la pro­tec­tion des données ;
  • l’APG n’est pas suf­fi­sam­ment clai­re et peut être modi­fi­ée à tout moment par le pré­si­dent des États-Unis.

Le Par­le­ment dev­rait donc déci­der com­me suit :

11. con­clut que le cad­re de pro­tec­tion des don­nées UE-États-Unis ne par­vi­ent pas à cré­er une équi­va­lence réel­le dans le niveau de pro­tec­tion ; appel­le la Com­mis­si­on à pour­suiv­re les négo­cia­ti­ons avec ses homo­lo­gues amé­ri­cains dans le but de cré­er un méca­nis­me qui assur­erait une tel­le équi­va­lence et qui four­ni­rait le niveau de pro­tec­tion adé­quat requis par la légis­la­ti­on de l’U­ni­on en matiè­re de pro­tec­tion des don­nées et par la Char­te tel­le qu’­in­ter­pré­tée par le CJUE ; deman­de à la Com­mis­si­on de ne pas
adop­te le cons­tat d’a­dé­qua­ti­on;

12) Instruit son Pré­si­dent de trans­mett­re la pré­sen­te réso­lu­ti­on au Con­seil, à la Com­mis­si­on et au Pré­si­dent et au Con­grès des États-Unis d’Amérique.