Le CEPD donne son avis sur le remplaçant du Privacy Shield
Les transferts de données entre l’Union européenne et les États-Unis sont limités depuis la fin du Privacy Shield en juillet 2020. Mais une nouvelle réglementation concernant les données personnelles vient d’être adoptée aux États-Unis, ravivant l’espoir d’une nouvelle décision d’adéquation. Le Comité Européen à la Protection des Données rend son avis sur la question. On étudie ça ensemble dans cet article !
Sommaire :
Contexte
On vous en parlait récemment, le 25 mars 2022 Joe Biden et Ursula Von De Leyer se rencontraient à Bruxelles afin d’évoquer celui qu’on considère comme le successeur de Privacy Shield. Depuis l’annulation du Privacy Shield, les transferts de données transatlantiques sont limités, faute d’une décision d’adéquation permettant le transfert entre les USA et l’UE. Mais ces transferts, représentant près de 7100 milliards de $, les USA souhaitent pouvoir les ré-instituer grâce à une troisième décision d’adéquation.
À cet effet, le 7 octobre dernier, Joe Biden adoptait un nouveau cadre juridique concernant la protection des données personnelles aux Etats-Unis. Interrogée sur la possibilité d’une nouvelle décision d’adéquation, la Commission européenne (compétente pour l’attribution de la décision d’adéquation) a demandé l’avis au Comité Européen de Protection des Données (CEPD).
Le 28 février dernier, le CEPD a rendu son avis sur la décision d’adéquation, et a émis quelques réserves…
Le Privacy Shield, rappel des faits
En juillet 2020 était rendu le célèbre arrêt Schrems II par la CJUE, invalidant le Privacy Shield. Mais faisons un bref rappel : le Privacy Shield était une décision d’adéquation permettant le transfert de données entre l’UE et les États-Unis. En effet, en vertu de l’article 45 du RGPD, la Commission européenne peut autoriser les transferts de données vers un pays non soumis au RGPD, si celui-ci offre une protection des données adéquate.
Adopté en 2016 et annulé en 2020, le Privacy Shield permettait le transfert de données personnelles entre l’Union européenne et les États-Unis. Même si les transferts peuvent continuer, en étant basés sur une autre base légale, conformément à l’article 46 du RGPD.
Pour en savoir plus sur le Privacy Shield, son historique, son annulation, consultez notre article : https://monexpertdudroit.com/non-classe/accord-ue-usa-transfert-de-donnees/
L’espoir américain d’une protection adéquate des données personnelles
Après le Safe Harbor et le Privacy Shield, ce nouveau cadre est le nouvel espoir d’une décision d’adéquation concernant les transferts de données personnelles entre l’Union et les États-Unis. C’est la promesse américaine d’un renforcement de la sécurité des données personnelles des citoyens, de la confidentialité des informations sensibles et de possibilités de recours.
Une nouvelle réglementation qui prend place après l’annulation du Privacy Shield, mais qui s’inscrit également dans les débats récents liés au droit à l’avortement. Pour en savoir plus, consultez notre article : L’impact de Roe vs Wade, ou comment les américaines redoutent l’utilisation de leurs données personnelles dans leur lutte pour le droit à l’avortement.
Concrètement, cette réglementation implique l’obligation pour les agences gouvernementales de mettre en place des programmes de sécurité des données, d’être vigilantes en matière de cybersécurité, et de signaler toute violation de données.
En somme, c’est l’espoir d’une réglementation plus protectrice des données personnelles.
L’avis du CEPD
La Commission européenne est compétente afin de déterminer si un pays permet une protection adéquate ou non des données personnelles de ses citoyens, afin de pouvoir rendre une décision d’adéquation.
Concernant cet executive order, la Commission a sollicité l’avis du Comité Européen de la Protection des Données. Dans un avis rendu le 28 février, le CEPD souligne et se félicite de quelques progrès, tels que l’introduction des principes de nécessité et de proportionnalité en matière de protection des données personnelles. Mais le CEPD reste cependant prudent, et note quelques dispositions préoccupantes.
En effet, ces préoccupations concernent notamment entre autres les droits des personnes concernées, prévu aux articles 15 et suivants du RGPD, et le fonctionnement pratique des mécanismes de recours.
La présidente du CEPD, Andrea Jelinek a déclaré : “Un niveau élevé de protection des données est essentiel pour protéger les droits et les libertés des citoyens de l’UE. Bien que nous reconnaissions que les améliorations apportées au cadre juridique américain sont importantes, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées pour garantir la pérennité de la décision d’adéquation. Pour la même raison, nous pensons qu’après le premier réexamen de la décision d’adéquation, des réexamens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer ».
Ces préoccupations seront évidemment considérées par la Commission Européenne, qui sera chargée de rendre, ou non, sa décision d’adéquation !
Les Européens ont donc du mal à se passer des États-Unis dans leurs activités,et inversement. Mais la prise de conscience de l’importance de la protection des données personnelles par la population devient de plus en plus forte. Il faut donc trouver un équilibre entre les intérêts économiques et les exigences en matière de protection des données personnelles.
Besoin d’aide pour organiser la protection des données personnelles au sein de votre entreprise ? Cet article est fait pour vous : RGPD : Guide complet de la conformité.
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Articles de loi RGPD
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Le DPO ou Data Protection Officer – Délégué à la Protection des Données en français (DPD) conseille et accompagne les organismes dans leur processus de mise en conformité RGPD. Dans certains cas, sa désignation est obligatoire, au risque de sanctions (jusqu’à 2% du CA annuel !).
Il n’existe pas de profil type du DPO. Le DPO peut être un juriste, avocat, informaticien… Il doit cependant être expert du RGPD et bien connaître son secteur d’activité. Il existe également des DPO certifiés.
Pour désigner le DPO le plus adapté, il faut étudier son domaine d’activité et d’expertise. Il faut également vérifier sa disponibilité, et enfin son expérience dans la fonction.
Un DPO externe peut manquer d’information sur l’entreprise, ce qui peut l’empêcher d’exercer correctement sa fonction. Il peut également exister des conflits d’intérêt avec d’autres entreprises. Enfin, le manque de disponibilité et d’implication peuvent freiner le processus de conformité RGPD.
Le coût d’un DPO externe prend en compte plusieurs facteurs : son modèle de facturation (forfait ou temps passé), son niveau d’expertise et de compétences, et les besoins de l’entreprise.
