H. considérant que la surveillance de masse, y compris la collecte massive indifférenciée des données sans aucune garantie pour limiter les intrusions dans la vie privée des individus , par des acteurs étatiques nuit à la confiance des entreprises et des citoyens européens à l’égard des services numériques et, par extension, de l’économie numérique; que, bien qu’il soit interdit aux agences américaines de collecter les données en masse des citoyens américains qui vivent aux États-Unis, cette interdiction ne s’applique pas aux citoyens de l’Union; que la surveillance de masse par des acteurs étatiques est illégale et se répercute défavorablement sur la confiance des entreprises et des citoyens européens à l’égard des services numériques et, par extension, de l’économie numérique;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

J. considérant qu’il n’existe pas de législation fédérale sur la protection des données et le respect de la vie privée aux États-Unis; que le décret 14086 introduit des définitions de concepts clés en matière de protection des données, tels que les principes de nécessité et de proportionnalité, ce qui constitue une avancée significative par rapport aux mécanismes de transfert précédents; que la manière dont ces principes sont interprétés doit être surveillée de près; qu’une évaluation complète de la mise en œuvre de ces principes dans l’ordre juridique américain pourrait être impossible en raison d’un manque de transparence dans les procédures de la Cour d'examen de la protection des données (Data Protection Review Court - ci-après, la «DPRC»); mis en œuvre dans l’ordre juridique américain et seront interprétés et appliqués doit être surveillée de près;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

2. prend acte des efforts consentis dans le décret 14086 pour fixer des limites aux activités de renseignement d’origine électromagnétique menées par États-Unis, en appliquant les principes de proportionnalité et de nécessité au cadre juridique des États-Unis relatif au renseignement d’origine électromagnétique et en dressant une liste des objectifs légitimes de ces activités; note que ces principes seraient contraignants pour l’ensemble de la communauté du renseignement des États-Unis et pourraient être invoqués par les personnes concernées dans le cadre de la procédure prévue dans le décret 14086; souligne que ce décret prévoit des améliorations significatives pour garantir que ces principes sont essentiellement équivalents selon le droit de l’Union; souligne, cependant, que ces principes sont des éléments essentiels qui s’inscrivent de longue date dans le régime de protection des données de l’Union européenne et que leurs définitions précises dans le décret 14086 ne sont pas conformes à leurs définitions dans le droit de l’Union ni à leur interprétation par la Cour de justice; souligne, en outre, qu’aux fins du cadre de protection des données UE‑États‑Unis, ces principes seraient interprétés uniquement donc interprétés en considération du droit et des traditions juridiques des États-Unis et non du droit et des traditions juridiques de l’UE ; souligne que l’avis connexe n° 5/2023 du comité européen de la protection des données reconnaît expressément les principes de proportionnalité et de nécessité qui sont consacrés dans le décret et souligne la nécessité de surveiller de près l’interprétation et l’application de ces principes par les autorités américaines ; relève que le décret 14086 répertorie douze objectifs légitimes pouvant être poursuivis lors de la collecte de renseignements d’origine électromagnétique et cinq objectifs dans le cadre desquels la collecte de renseignements d’origine électromagnétique est interdite; note que la liste des objectifs légitimes de sécurité nationale peut être modifiée et élargie par le Président des États-Unis sans obligation de rendre publiques les mises à jour pertinentes ni d’informer l’UE; souligne qu’en vertu du décret 14086, le renseignement d’origine électromagnétique doit avoir lieu d’une manière nécessaire et proportionnée à la «priorité validée en matière de renseignement», ce qui semble être une interprétation large de ces concepts; souligne que pour une évaluation complète des principes de proportionnalité et de nécessité dans le cadre du décret 14086, il convient que ces principes soient concrétisés et mis en œuvre dans les politiques et les procédures des agences de renseignement américaines; s’inquiète, cependant, du fait que les analystes ne soient pas tenus de procéder à une évaluation de la proportionnalité pour chaque décision de surveillance;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

4. partage les prend acte des préoccupations du CEPD concernant le manquement du décret 14086 à fournir des garanties suffisantes dans le cas de la collecte massive de données, à savoir l’absence d’autorisation préalable indépendante, l’absence de règles claires et strictes en matière de conservation des données, la collecte massive «temporaire» et l’absence de garanties plus strictes en ce qui concerne la diffusion des données collectées en masse; souligne notamment la préoccupation spécifique liée au fait que, en l’absence de restrictions supplémentaires concernant la transmission des données aux autorités américaines, les autorités répressives pourraient accéder à des données qu’elles n’auraient autrement pas été autorisées à consulter; rappelle que les transferts ultérieurs multiplient effectivement les risques pour la protection des données; note que le CEPD a demandé l’inclusion d’une obligation juridiquement contraignante d’analyser et de déterminer si un pays tiers offre un niveau minimal acceptable suffisant de garanties;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

6. souligne que le problème sous- jacent est la s’ils sont soumis aux activités de surveillance de personnes non américaines en vertu du droit américain et le fait que les citoyens européens ne disposent pas d'un recours judiciaire effectif à cet égard; demande que , les citoyens de l’Union bénéficient devraient bénéficier des mêmes droits et privilèges que les citoyens des États-Unis en ce qui concerne les activités de la communauté du renseignement des États-Unis et l’accès aux juridictions américaines ; se félicite de la création d’un nouveau mécanisme de recours pour les citoyens de l’Union au-delà de l’accès aux juridictions américaines, y compris l’exigence de qualité pour agir ;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

7. comprend que, selon l’interprétation des États-Unis, le «renseignement d’origine électromagnétique» englobe toutes les méthodes d’accès aux données prévues par la loi sur la surveillance et le renseignement étranger (FISA), y compris celles proposées par des prestataires de «services de télétraitement», ajoutées à l’article 1881a de l’acte modificatif du FISA (FISA amendment Act S1881a) en 2008; demande à la Commission de préciser, lors de futures négociations, la définition et le champ d’application du «renseignement d’origine électromagnétique» au sens du décret 14086; rappelle qu’en vertu de l’article 702 du FISA, le gouvernement américain s’arroge toujours le pouvoir de cibler toute personne non américaine se trouvant à l’étranger afin d’obtenir des renseignements étrangers, au sens large que les garanties du décret viennent s’ajouter aux exigences légales existantes, par exemple en vertu de l’article 702 du FISA, et invite la Commission à suivre de près la manière dont les nouvelles garanties seront mises en œuvre dans la pratique ;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

8. souligne qu’un nouveau mécanisme de recours a été créé pour permettre aux personnes concernées de l’Union d’introduire une réclamation; souligne dans le même temps que les décisions de la DPRC seraient classées et non rendues publiques ou mises à la disposition du plaignant, qui serait uniquement informé, soit du fait que l’examen n’a révélé aucune violation visée, soit du fait que la DPRC a rendu une décision exigeant une action appropriée , ce qui porterait atteinte à son droit d’accéder à ses données ou de les rectifier; s’inquiète du fait qu’en conséquence, une personne introduisant un recours n’aurait aucune chance d’être informée des résultats concrets de celui-ci et la décision serait définitive ; relève toutefois que le plaignant a accès à la décision motivée de la DPRC après que les informations figurant dans la décision de la DPRC ont été déclassifiées à la suite de la fin du risque pour la sécurité nationale, et que le plaignant sera informé de la déclassification ; relève que si la procédure de recours proposée ne prévoit pas de voie de recours devant une cour fédérale et, partant, ne prévoit pas, entre autres, la possibilité pour le plaignant de réclamer des dommages et intérêts; invite la Commission à poursuivre les négociations avec les États- Unis afin de parvenir aux changements nécessaires pour répondre à , le Conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board - ci-après, le «PCLOB») examinera de manière indépendante le fonctionnement du nouveau mécanisme de recours; invite la Commission à suivre de près le fonctionnement de ce mécanisme de recours compte tenu de ces préoccupations;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

9. considère que le décret 14086 introduit certaines garanties pour assurer l’indépendance des juges de la DPRC, comme le reconnaît le CEPD dans son avis; souligne que la DPRC fait partie du pouvoir exécutif et non du pouvoir judiciaire et que ses juges sont nommés pour une durée fixe de quatre ans; souligne que le Président des États-Unis peut annuler les décisions de la DPRC, même en secret; souligne que, bien que le nouveau mécanisme de recours ne permette pas au procureur général des États-Unis de révoquer ni de superviser les juges de la DPRC, il ne porte pas atteinte aux pouvoirs concernés du Président des États-Unis; souligne que tant que le fait observer que le pouvoir du Président des États-Unis pourra de révoquer les juges de la DPRC pendant leur mandat , l’indépendance de ces juges ne sera pas garantie n’existe pas et demande à la Commission de le rappeler clairement dans la décision d’adéquation ; observe qu’en cas d’adoption, la Commission devrait suivre de près l’application des garanties d’indépendance dans la pratique; souligne se félicite du fait qu’un plaignant serait représenté par un «avocat spécial» désigné par la DPRC, pour lequel il n’existe aucune exigence d’indépendance; invite la Commission à veiller à ce qu’une exigence d’indépendance soit introduite en cas d’adoption d’une décision d’adéquation; conclut que, en l’état, la DPRC ne respecte pas les normes d’indépendance et d’impartialité énoncées à l’article 47 qui doit être un membre actif du barreau en règle et avoir une expérience en matière de confidentialité des données et de sécurité nationale; rappelle que, dans son avis, le CEPD conclut que les garanties fournies ne permettent pas de douter de l’indépendance de la charte DPRC ; note que s’il est vrai que le PCLOB examinerait de manière indépendante le fonctionnement de la nouvelle procédure de recours, la portée de cet examen serait limitée;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

10. constate que, si les États-Unis ont prévu un nouveau mécanisme de recours pour les questions liées à l’accès des autorités publiques aux données, des questions subsistent quant au caractère effectif des voies de recours disponibles en matière commerciale, qui demeurent inchangées en vertu de la décision d’adéquation sont fondées sur la précédente partie non contestée du bouclier de protection des données ; note que les mécanismes qui visent à résoudre ces questions sont largement laissés à l’appréciation des entreprises, qui peuvent choisir des voies de recours alternatives, telles que les mécanismes de règlement des litiges ou le recours aux programmes de protection de la vie privée proposés par les entreprises; invite la Commission, en cas d’adoption d’une décision d’adéquation, à analyser de près le caractère effectif de ces mécanismes de recours;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

12 . souligne que, contrairement à tous les autres pays tiers qui ont reçu une décision d’adéquation au titre du RGPD, les États-Unis ne disposent toujours pas d’une loi fédérale sur la protection des données; souligne que l’application du décret 14086 n’est pas claire, précise, ni prévisible, étant donné qu’il peut être modifié ou révoqué à tout moment par le Président des États - - Unis, qui est également habilité à promulguer des décrets secrets; note qu’un réexamen du constat d’adéquation serait effectué un an après la date de notification de la décision d’adéquation aux États membres et, par la suite, au moins tous les quatre ans; invite la Commission, au cas où une future décision d’adéquation serait adoptée, à procéder à des examens ultérieurs au moins tous les trois ans, comme le demande l’avis du CEPD; s’inquiète de l’absence d’une clause de caducité en vertu se félicite que le projet de décision d’adéquation prévoie la possibilité de suspendre, d’abroger ou de laquelle modifier la décision expirerait automatiquement quatre ans après son entrée en vigueur, après quoi la Commission devrait prendre une nouvelle décision; craint que cette absence de clause de caducité dans cette décision d’adéquation ne reflète une plus grande indulgence envers les États-Unis, bien que le cadre américain en matière de protection de la vie privée soit fondé sur un décret qui autorise les modifications secrètes et peut être modifié sans consulter le Congrès ni informer les homologues de l’Union; invite donc la Commission à introduire une telle clause avec effet immédiat si le décret est révoqué ou modifié d’une manière qui limite les garanties qu’il contient; attend de la Commission qu’elle fasse usage de ce pouvoir si le décret est révoqué ou ainsi modifié; invite la Commission à envisager d’inclure une clause de caducité en vertu de laquelle la décision pourrait expirer automatiquement quatre ans après son entrée en vigueur, après quoi la Commission devrait prendre une nouvelle décision ;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

13. partage les prend acte des préoccupations exprimées par le CEPD pour ce qui est des droits des personnes concernées, de l’absence de définitions clés et de règles spécifiques sur la prise de décisions automatisée et le profilage, du manque de clarté quant à l’application des principes du cadre de protection des données aux sous- traitants, et de la nécessité d’éviter des transferts ultérieurs qui affaiblissent le niveau de protection;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

15. rappelle que, dans sa résolution du 20 mai 2021, le Parlement a invité la Commission à ne pas adopter de nouvelle décision d’adéquation à l’égard des États- Unis, à moins que des réformes significatives ne soient mises en place, en particulier à des fins de sécurité nationale et de renseignement; estime que le décret 14086 n’est pas suffisamment constructif se félicite des améliorations apportées au cadre juridique précédent par le décret 14086 et rappelle que la Commission doit vérifier en permanence si le nouveau cadre américain fonctionne bien dans la pratique, y compris dans le cadre des examens périodiques ; réaffirme que la Commission ne devrait pas laisser à la Cour de justice de l’Union européenne la mission de protéger les droits fondamentaux des citoyens de l’UE à la suite de plaintes déposées par ces citoyens à titre individuel;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

17. constate que les principes du cadre de protection des données publiés par le ministère du commerce des États-Unis n’ont pas été suffisamment modifiés, par rapport à ceux du bouclier de protection des données, pour offrir une protection essentiellement équivalente à celle prévue par le RGPD étant donné que les principes du cadre de protection des données n’ont pas été mis en question par la CJUE dans l’affaire Schrems II ;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

18. note que, si les États-Unis prennent l’engagement important d’améliorer l’accès aux voies de recours et les règles relatives au traitement des données par les autorités publiques, la communauté du renseignement des États-Unis a jusqu’à octobre 2023 pour mettre à jour ses politiques et ses pratiques conformément à l’engagement pris dans le décret 14086 et l’avocat général des États-Unis n’a pas encore désigné l’Union et ses États membres comme des pays pouvant prétendre à l’accès aux voies de recours disponibles au titre de la DPRC; souligne que cela signifie invite la Commission à évaluer ces politiques et procédures mises à jour; souligne, dans le droit-fil de l’avis du comité européen de la protection des données, qu’il convient de subordonner tant l’entrée en vigueur que l’adoption de la décision d’adéquation à l’adoption, par tous les services de renseignement américains, de politiques et de procédures mises à jour en ce qui concerne la mise en application du décret 14086 et à l’achèvement de la mise en place du mécanisme de recours; souligne que la Commission n’a pas encore été en mesure d’évaluer le caractère effectif des voies de recours et des mesures proposées en matière d’accès aux données «dans la pratique»; conclut donc que la Commission ne pourra passer à l’étape suivante d’une décision d’adéquation qu’une fois que invite dès lors la Commission à suivre de près la mise en œuvre des politiques et procédures mises à jour par les services de renseignement américains dans la pratique et le fonctionnement du mécanisme de recours, y compris dans le cadre des examens périodiques; attend de la Commission qu’elle n’adopte pas la décision d’adéquation si les États-Unis auront respecté ne respectent pas ces délais et franchi ces jalons, afin de s’assurer que les engagements ont ne franchissent pas ces jalons et si les engagements n’ont pas été tenus dans la pratique;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source

19. conclut que si le cadre de protection des données UE–États-Unis ne crée pas d’équivalence substantielle du niveau de protection; invite la Commission à poursuivre les négociations avec ses homologues américains dans le but de créer un mécanisme qui garantirait cette équivalence et assurerait apporte des améliorations significatives aux citoyens de l’Union, des questions et des préoccupations subsistent quant au niveau de protection; invite la Commission à répondre à ces questions et préoccupations afin de donner plus de certitude aux citoyens et aux entreprises européens et d’assurer le niveau de protection adéquat requis par le droit de l’Union en matière de protection des données et la charte telle qu’interprétée par la CJUE; invite la Commission à ne pas adopter le constat d’adéquation tant que donner suite à toutes les recommandations formulées dans la présente résolution et dans l’avis du CEPD n’auront pas été pleinement mises en œuvre avant l’adoption du constat d’adéquation ;

Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)

🔗 Voir la source