Le Parlement européen réuni en plénière le 1_^er décembre 2016 a donné son feu vert à la conclusion de l’accord-cadre entre l’UE et les États-Unis sur la protection des données personnelles échangées à des fins répressives. L’accord a été soutenu par 481 voix pour, 75 voix contre et 88 abstentions. L’accord garantira des normes de protection des données élevées et contraignantes pour les échanges de données transatlantiques entre les autorités policières et répressives. Tous les eurodéputés luxembourgeois présents lors du vote se sont exprimé en faveur de ce texte.

Cet accord-cadre, connu sous le nom d’umbrella agreement, couvre le transfert de toutes les données à caractère personnel, comme le nom, l’adresse ou le casier judiciaire, échangées entre l’UE et les États-Unis à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, dont le terrorisme. Il couvre par exemple le transfert des données PNR ou l’accord SWIFT/TFTP sur les données bancaires.

Suite aux demandes du Parlement européen, le Conseil avait autorisé la Commission, en 2010, à ouvrir les négociations sur un accord entre l’Union européenne et les États-Unis concernant la protection des données à caractère personnel lorsqu’elles sont transférées dans le cadre de la coopération policière et judiciaire. Les négociations ont débuté en mars 2011. Un accord a été conclu le 8 septembre 2015, sous présidence luxembourgeoise. Après l’adoption du "Judicial Redress Act" par le Congrès américain en février 2016, qui donne aux citoyens européens le droit d’introduire un recours en justice aux États-Unis, l’accord a été signé par la Commission européenne et les autorités américaines le 2 juin 2016. Le 18 juillet 2016, le Conseil a décidé de demander au Parlement de donner son approbation à l’accord.

"Les grandes lignes de la protection des données transatlantiques deviennent claires", a déclaré le député responsable du dossier, Jan Philipp Albrecht (Verts/ALE), après le vote. "Lors de l’échange de données entre agences policières et répressives, nous obtiendrons au final des normes élevées et contraignantes ainsi que des droits solides pour les citoyens des deux côtés de l’Atlantique. Après six ans de négociations, nous avons élevé à un nouveau niveau la protection des données avec les États-Unis. Les droits fondamentaux des citoyens seront mieux protégés qu’ils ne le sont actuellement par une simple reconnaissance mutuelle de normes peu élevées", a-t-il expliqué.

"L’accord ne représente pas une base juridique pour les transferts de données, mais protège celles qui sont déjà échangées légalement. Les autorités de protection des données pourront vérifier le respect des normes à tout moment", a-t-il conclu.

L’accord garantira que les citoyens des deux côtés de l’Atlantique auront le droit:

• d’être informés en cas de violation en matière de sécurité de leurs données;
• de demander la rectification d’informations incorrectes; et
• d’introduire un recours en justice.

L’accord prévoit également des limites sur les transferts ultérieurs des données et les périodes de conservation.

Les propositions des groupes ADLE et GUE demandant l’avis de la Cour de justice européenne sur la compatibilité de l’accord-cadre avec les traités de l’UE ont été rejetées.

L'ALDE a d’ailleurs réagi par voie de communiqué en faisant part de ses inquiétudes quant aux lacunes de l’accord. Le groupe libéral, qui s’appuie sur les préoccupations exprimées par les experts juridiques du groupe de travail "article 29" et le service juridique du Parlement européen, continue en effet de s’interroger sur la compatibilité de cet accord avec les traités. "La Commission européenne considère que l'engagement du gouvernement des États-Unis à respecter l'accord est suffisant. Cependant, les chances que tous les éléments de l'accord soient effectivement promulgués sont presque nulles ", a notamment relevé l’eurodéputée Sophie in 't Veld. Par ailleurs, l’ADLE souligne que le droit de recours juridictionnel dans l'accord est conditionné par le fait que l'UE autorise le transfert de données à des fins commerciales et exclut les résidents de l'UE qui ne sont pas citoyens de l'UE.