Le prolongement et le durcissement proposé de la loi FISA remettent-ils en cause la signature du DPF par la Commission?

Objet: Le prolongement et le durcissement proposé de la loi FISA remettent-ils en cause la signature du DPF par la Commission?

Le 28 février dernier, le comité européen à la protection des données (EDPB) s’interrogeait sur la capacité des États-Unis à protéger les données personnelles des Européens1. Or, le 22 décembre 2023, la section 702 de la loi FISA2, qui permet aux agences de renseignement américain d’accéder aux courriels et aux conversations téléphoniques des Européens3, a été prolongée jusqu’à fin avril 2024. En outre, la section 504 d’un des projets de réforme du texte4, le FRRA5, propose une extension du champ d’application de cette loi6. Celle-ci prévoit d’augmenter la liste des sociétés devant répondre aux exigences des agences américaines et d’y inclure le «cross connect». Les centres de données (de droit américain) seraient aussi contraints d’installer des modules d’interception.

Tous ces éléments sont en contradiction avec le EUCS7, en cours de négociation8, alors que la Commission souhaite que les fournisseurs de services d’informatique en nuage soient tenus de démontrer leur immunité juridique vis-à-vis des juridictions étrangères.

La Commission avait signé le DPF9, accord sur les données entre les États-Unis et l’Europe10, en expliquant que la loi FISA allait être modérée.

1. Comment la Commission juge-t-elle cette évolution?

2. Estime-t-elle qu’il serait souhaitable de réexaminer urgemment le DPF?

Dépôt:19.1.2024

1 «Avis 5/2023 relatif au projet de décision d’exécution de la Commission européenne constatant le niveau de

protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE– États-Unis», site de l’EDPB, 28 février 2023.

2 Foreign Intelligence Surveillance Act.

3 «The Spy Law That Big Tech Wants to Limit», Bloomberg, 22 mars 2023.

4 «H.R.6611 - FISA Reform and Reauthorization Act of 2023», site internet du Congrès américain.

5 FISA Reform and Reauthorization Act.

6 «The FISA Reform and Reauthorization Act: A Wolf in Sheep’s Clothing», TechPolicy.press, 12 décembre


7 European Cybersecurity Certification Scheme for Cloud Services.

8 «EU cloud scheme slightly tones down sovereignty requirements», Euractiv, 22 novembre 2023.

9 Data Privacy Framework.

10 «Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data

flows», site internet de la Commission, 10 juillet 2023.

Réponse donnée par la vice-présidente Jourová au nom de la Commission européenne (23 avril 2024)

En décembre 2023, le Congrès des États-Unis a prolongé la section 702 de la loi sur la surveillance et le renseignement étranger (loi FISA, titre 50, article 1881a, du US Code) sans changements jusqu'en avril 2024, date à laquelle une éventuelle nouvelle prolongation sera à nouveau discutée. La Commission suit de près l'évolution de la situation, y compris la question de savoir si cette nouvelle autorisation peut conduire à de nouvelles réformes. Dans le même temps, il importe de souligner que les garanties en matière de nécessité et de proportionnalité mises en place par le décret présidentiel no 14086 dans le contexte du cadre de protection des données UE–États-Unis s'appliquent pleinement à la surveillance au titre de la section 702 de la loi FISA (11). Le fonctionnement et la mise en œuvre de ces garanties seront évalués lors du premier réexamen du cadre, qui aura lieu en 2024 (12). Plus généralement, la Commission a le pouvoir de suspendre, de modifier ou d'abroger la décision d'adéquation si elle conclut que le niveau de protection requis n'est plus assuré (13).

1 ∙ ⸱ «Avis 5/2023 relatif au projet de décision d'exécution de la Commission européenne constatant le niveau de protection adéquat des données à caractère

personnel assuré par le cadre de protection des données UE–États-Unis», site de l'EDPB, 28 février 2023. 2 ∙ ⸱ Foreign Intelligence Surveillance Act. 3 ∙ ⸱

«The Spy Law That Big Tech Wants to Limit», Bloomberg, 22 mars 2023. 4 ∙ ⸱ «H.R.6611 — FISA Reform and Reauthorization Act of 2023», site internet du Congrès américain. 5 ∙ ⸱ FISA Reform and Reauthorization Act. 6 ∙ ⸱

«The FISA Reform and Reauthorization Act: A Wolf in Sheep's Clothing», TechPolicy.press, 12 décembre 2023. 7 ∙ ⸱ European Cybersecurity Certification Scheme for Cloud Services. 8 ∙ ⸱

«EU cloud scheme slightly tones down sovereignty requirements», Euractiv, 22 novembre 2023. 9 ∙ ⸱ Data Privacy Framework. 10 ∙ ⸱

«Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows», site internet de la Commission, 10 juillet 2023. 11 ∙ ⸱

Voir les considérants 124 et 125 de la décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE–États-Unis. 12 ∙ ⸱

Voir le considérant 211 et l'article 3, paragraphe 4, de la décision d'exécution (UE) 2023/1795 de la Commission. 13 ∙ ⸱ Voir l'article 3, paragraphe 5, de la décision d'exécution (UE) 2023/1795 de la Commission et l'article 45, paragraphe 5, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).