III. LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
1. Les règles de principe et leur mise en oeuvre dans les procédures de traitement
La négociation a beaucoup porté sur les exigences de la France s'agissant de la garantie de la protection des droits fondamentaux et des libertés individuelles , ce qui explique leur longueur.
Votre rapporteur tient à rappeler en effet que le transfert de données vers des Etats tiers hors Union européenne est soumis à un régime particulier prévu par les articles 68, 69 et 70 de la loi n°78-17 du 6 janvier 1978 modifiée qui transposent la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, même si celle-ci ne s'applique pas en matière pénale.
Selon le principe de l'article 68 , le transfert n'est possible que vers les Etats qui assurent « un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux ». La Commission européenne estime que les Etats-Unis ne présentent pas un niveau de protection globale adéquat et que l'appréciation du niveau de protection doit se faire au cas par cas. Ainsi en 2001 , la Commission a négocié avec les autorités américaines un ensemble de principes de protection des données personnelles rassemblés sous le terme de « Safe Harbour » (traduit par « sphère de sécurité ») auxquels les entreprises établies aux Etats-Unis ont la possibilité d'adhérer afin d'obtenir l'autorisation de recevoir des données en provenance de l'Union européenne. On peut également citer l'accord conclu entre l'Union européenne et les Etats-Unis sur le transfert des données des passagers des compagnies aériennes ( ou PNR) , entré en vigueur le 1 er juillet 2012 .
L'article 69 alinéa 2 prévoit la possibilité d'échanger des données à caractère personnel avec un Etat dont le niveau de protection n'est pas suffisant, si le transfert est nécessaire à la sauvegarde de l'intérêt public, selon un régime particulier. En conséquence, la France a négocié des garanties importantes qui sont détaillées dans l'article 10.
En réponse à la question de votre rapporteur, les services du ministère de l'intérieur et du ministère des affaires étrangères ont indiqué que la CNIL n'avait pas été spécifiquement associée à la conclusions de cet accord , l'article 11 4° d) de la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée ne prévoyant qu'une simple faculté en matière de négociations internationales « elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel ». Votre rapporteur estime toutefois que le cadre juridique de protection des données personnelles est préservé , puisque la transmission des données personnelles par la Partie française se fera conformément à sa législation nationale, d'une part, et que l'accord comporte des engagements de la Partie américaine de nature à assurer la protection des données communiquées, d'autre part. A cet égard, un considérant de l'accord mentionne les obligations que la France tire de la charte des droits fondamentaux de l'Union européenne du 18 décembre 2000, de la Convention européenne des droits de l'Homme et des libertés fondamentales du 4 novembre 1950 et de la convention n°108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel du 8 novembre 2001.
L'article 10 de l'accord érige en principe le respect de la confidentialité et la protection appropriée des données à caractère personnel transférées. En conséquence, les Parties s'engagent :
- à ne transmettre que les données à caractère personnel « adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont communiquées » ;
- à s'assurer que toute erreur constatée soit signalée à la Partie destinataire en vue de sa rectification par celle-ci ;
- à conserver les données transmises pendant la seule durée d'utilisation nécessaire à la procédure judiciaire pour lesquelles elles ont été demandées.
La législation française prévoit que les délais de conservation des données dans le FNAED et le FNAEG ne peuvent excéder 25 ans.
Certaines limitations dans les procédures de traitement ont également pour finalité de garantir le respect des droits et libertés fondamentaux, notamment ceux de la vie privée :
- les données personnelles sont transmises uniquement aux fins des investigations ou de l'enquête ayant motivé la demande ;
- le consentement préalable de la Partie émettrice est nécessaire pour leur utilisation aux fins de traiter des procédures judiciaires relevant du présent accord et directement liées à la procédure pour lesquelles elles ont été transmises ;
- et enfin, les Parties ne peuvent transmettre que leurs données nationales, la transmission des données obtenues en provenance de l'autre Partie ou d'un Etat tiers est soumise à l'autorisation de la Partie émettrice, quelle qu'elle soit .
L'accord offre une garantie supplémentaire en donnant la possibilité de rectifier, de bloquer ou d'effacer, à la demande de la Partie émettrice, les données reçues si celles-ci sont incorrectes, incomplètes ou si leur collecte ou leur traitement complémentaire enfreint les dispositions de l'accord ou les règles applicables à la Partie émettrice.
2. La tenue d'un registre des données reçues ou transmises et la sécurité des données
L'article 10 oblige chacune des Parties à tenir un registre des données reçues ou transmises en application du présent accord où sont mentionnés :
- le motif de la transmission ;
- les informations relatives aux données transmises ;
- la date de transmission ;
- l'ensemble des destinataires.
Ce registre permet, outre la traçabilité des échanges et la sécurité des données, le contrôle effectif des dispositions de l'accord relatives aux consultations automatisées des deux types de fichier, d'une part, et de la législation nationale des Parties relative à la protection des données personnelles, d'autre part.
Les données du registre, dont l'accès est protégé sont conservées pendant deux ans.
Les Parties doivent aussi s'assurer des mesures techniques employées pour « protéger les données contre la destruction accidentelle ou illicite, la perte accidentelle ou la divulgation, l'altération, l'accès ou toute autre forme de traitement non autorisé ».
3. L'instauration d'un mécanisme de contrôle par une autorité indépendante
L'article 10 instaure un contrôle du respect des règles applicables à la transmission ou à la réception des données personnelles par des autorités indépendantes en charge de la protection des données ou, le cas échéant, par des autorités compétentes en la matière de la Partie concernée, comme la CNIL en France. Les Etats-Unis n'ayant pas à ce stade d'autorité homologue, cette désignation doit faire l'objet d'arrangements administratifs ultérieurs.
4. Une exigence de transparence et d'information des personnes concernées à laquelle s'ajoute un droit de recours
La transparence et l'information des personnes concernées « sur les finalités du traitement, l'identité de l'autorité de contrôle, les destinataires ou catégories de destinataires, l'existence du droit d'accès, de rectification, de mise à jour ou de suppression des données la concernant » sont également exigées par l'article 10.
Ces informations liées à la transparence peuvent toutefois ne pas être communiquées si leur transmission risque de compromettre les finalités du traitement, les enquêtes ou les poursuites judiciaires menées par les autorités compétentes des Parties ou les droits et liberté des tierces parties.
Un droit de recours approprié est également garanti à toute victime d'une violation de ses droits à la protection des données à caractère personnel, indépendamment de la nationalité ou du pays de résidence de l'intéressé.
L'effectivité de ce recours suppose une adaptation de la législation américaine en vue d'étendre aux Français et plus généralement aux Européens le droit de recours judiciaire prévu par le « Privacy Act » de 1974, actuellement réservé aux citoyens américains et aux résidents aux Etats-Unis. Cette extension nécessite l'adoption, par le Congrès, d'un texte législatif, qui n'a toujours pas eu lieu, en dépit des annonces du Président Obama, en janvier 2014, et de l'ancien Procureur général des Etats-Unis et ministre de la justice américain Eric Holder, en juin 2014.
5. Le suivi et la consultation réciproque des Parties en lien avec la protection des données personnelles
Aux termes de l'article 12 , un an après la mise en oeuvre de l'accord, les Parties se consulteront pour dresser un bilan de son application , « en prêtant particulièrement attention à la protection des données à caractère personnel ».
Une consultation est expressément prévue en cas d'évolution des négociations de l'accord dit « accord parapluie » entre l'Union européenne et les Etats-Unis relatif à la protection des données personnelles lors de leur transfert et de leur traitement aux fins de prévenir les infractions pénales, dont les actes terroristes.
Compte tenu du mandat de négociation confié par le Conseil à la Commission, le 3 décembre 2010, qui fixe quatre objectifs à atteindre : garantir un niveau élevé de protection des libertés, apporter un cadre juridique cohérent et contraignant des normes régissant la protection des données, assurer un degré élevé de protection des données, favoriser la coopération judiciaire et policière, la conclusion de cet accord paraît difficile dans un avenir proche , d'autant que la question de l'octroi d'un recours juridictionnel aux citoyens européens n'est toujours pas réglée, tout comme celle de la rétroactivité de l'accord.
6. La suspension de l'accord en cas de manquement substantiel aux obligations fixées
L'article 14 prévoit que l'accord peut être suspendu, en cas de manquement substantiel et après consultation bilatérale des Parties .
Votre rapporteur considère qu'un travail scrupuleux de vérification de l'application de l'accord par chacune des parties, qui ont un intérêt mutuel à ce qu'il fonctionne dans le respect des exigences posées, sera nécessaire.