Les États membres de l'Union européenne (UE), à l'exception de la Bulgarie, de Chypre et de la Roumanie, participent au programme d'exemption de visa (en anglais : "Visa Waiver Program") des États-Unis. Ce programme permet aux ressortissants des pays listés de se rendre aux États-Unis sans visa, pour une durée de 90 jours maximum, à des fins touristiques ou professionnelles. Une autorisation électronique de voyage (ESTA) doit simplement être demandée au préalable.
Des accords bilatéraux ont déjà été conclus entre les États-Unis et des États membres de l'UE, afin de renforcer leur coopération en matière de prévention et de lutte contre la grande criminalité. Ces accords prévoient des échanges d'informations, y compris de données biométriques, sur les personnes soupçonnées ou condamnées pour des infractions terroristes ou des crimes graves.
En 2022, les États-Unis ont ajouté une nouvelle condition pour qu'un pays puisse être intégré au programme d'exemption de visa. Un "partenariat renforcé pour la sécurité des frontières" (PRSF), en anglais "Enhanced Border Security Partnership" (EBSP), devra être signé avec le département de la sécurité intérieure des États-Unis. Celui-ci exigera désormais, pour permettre à un État d'accéder au programme "Visa Waiver", d'avoir accès à plusieurs informations sur :
- les voyageurs susceptibles d'avoir un lien avec le pays partenaire du programme d'exemption de visa ;
- les personnes qui demandent à bénéficier de la protection humanitaire des États-Unis ou des avantages liés à l'immigration ;
- les individus détectés par les services répressifs du ministère de la sécurité intérieure dans le cadre des contrôles frontaliers et de l'immigration aux États-Unis.
C'est dans ce contexte que la signature d'un accord-cadre entre l'UE et les États-Unis est envisagée, afin de réglementer le cadre des procédures à la frontière et des demandes de visa. L'UE dispose en effet d'une compétence exclusive pour conclure un accord international en la matière (article 3 § 2 du Traité sur le fonctionnement de l'Union européenne). Cet accord-cadre prévoira l'échange de données afin de faciliter le contrôle et la vérification de l'identité des voyageurs et de déterminer si leur entrée ou leur séjour présenterait un risque pour le sécurité et l'ordre publics.
L'accord pourra prévoir le partage de données à caractère personnel, y compris les données biométriques (empreintes digitales...), stockées dans les bases de données des États membres de l'Union. Contrairement aux accords bilatéraux déjà conclus avec les États-Unis à des fins de prévention et de lutte contre la grande criminalité, les échanges d'information des PRSF n'ont pas seulement une visée sécuritaire. Comme ces partenariats permettent plus largement de gérer les frontières et la politique des visas, un partage d'informations plus large est envisagé dans le cadre du futur accord.
Des données sensibles sur les personnes pourraient ainsi être transférées, notamment sur leurs origines ethniques, leurs opinions politiques, leurs croyances religieuses ou philosophiques, leur appartenance syndicale, leur santé, leur vie sexuelle et leur orientation sexuelle, ainsi que des informations génétiques ou biométriques.
La teneur de l'échange d'informations devra être précisée au cours des négociations : catégories et types de données, types de personnes, types d'infractions...
Que dit le droit de l'Union en matière de protection des données à caractère personnel ?
Le traitement des données à caractère personnel par les États membres de l'Union est régi par le Règlement général sur la protection des données (RGPD), adopté en 2016 et entré en application en 2018. Des conditions strictes y sont édictées pour le transfert de données personnelles vers des pays tiers : décision d'adéquation nécessaire, instrument prévoyant des garanties appropriées ou évaluation attestant de l'existence de telles garanties dans le pays tiers... Une directive de 2016 précise les modalités d'appréciation du caractère approprié des garanties mises en place.
Le 12 juin 2024, les représentants permanents des États membres réunis au sein du Comité du Conseil de l'Union européenne (Coreper) avaient donné leur soutien à la mise en œuvre d'un cadre commun aux États-Unis et à l'Union pour l'échange d'informations au titre des PRSF.
Le 23 juillet 2025, la Commission européenne a recommandé au Conseil d'adopter une décision pour l'autoriser à ouvrir des négociations en vue de la conclusion d'un accord-cadre entre l'UE et les États-Unis.
Mi-décembre 2025, le Conseil des affaires générales, composé des ministres des affaires européennes des États membres de l'UE, a autorisé "sans débat" la Commission européenne à entamer des négociations avec les États-Unis pour conclure l'accord-cadre.
La Commission va donc pouvoir entamer les négociations en 2026. Si un accord-cadre est conclu par l'Union, il constituera le cadre juridique pour les négociations bilatérales que chaque État membre devra ensuite engager avec les États-Unis. La Commission a précisé que les accords prévus par les PRSF devraient être conclus d'ici la fin de l'année 2026.
Dans sa recommandation de juillet 2025, la Commission européenne a précisé que l'accord-cadre devra intégrer plusieurs garanties, notamment :
- respecter le cadre juridique de l'UE en matière de protection des données à caractère personnel (RGPD et directive de 2016) ;
- préciser les finalités du traitement des données à caractère personnel avec clarté et précision (détermination de risques pour la sécurité publique ou l'ordre public, prévention et détection d'infractions pénales...) ;
- limiter le partage de données à ce qui est "nécessaire et proportionné" ;
- s'assurer que les autorités ayant accès aux données garantissent un niveau de protection équivalent à celui garanti par l'accord-cadre, sauf exceptions (par exemple : transfert nécessaire à la prévention d'une menace grave et imminente pour la sécurité publique) ;
- préciser les conditions dans lesquelles une requête concernant un voyageur pourra être effectuée : interdiction de lancer une requête sans suspicion préalable ou de lancer une requête concernant l'ensemble des personnes voyageant entre l'Union et les États-Unis ;
- respecter le principe de réciprocité dans l'échange d'informations avec les États-Unis.
L'avis du Contrôleur européen de la protection des données
Dans un avis du 17 septembre 2025, le Contrôleur européen de la protection des données a affirmé que cet accord-cadre "créerait un précédent important" au regard du partage à grande échelle de données à caractère personnel qui y est prévu. Il estime "nécessaire de procéder à une analyse approfondie de l'impact sur les droits fondamentaux de l'accord-cadre proposé et des partenariats renforcés avec les États-Unis en matière de sécurité aux frontières".
