logo Sparlann chargement...

Actualités juridiques

RGPD : pourquoi recourir à des solutions US pose problème ?

Le transfert de données personnelles vers un pays situé en dehors de l’Union Européenne (UE) est possible. Il doit être sécurisé par un mécanisme de transfert prévu par le RGPD, par exemple, une décision d’adéquation.

Qu’est-ce qu’une décision d’adéquation ?

Il s’agit d’une décision par laquelle l’Europe (je simplifie) considère qu’un pays dispose d’une règlementation qui assure un niveau de protection des données personnelles adéquat (c’est-à-dire équivalent à ce qui est mis en place au sein de l’UE).

Le 10 juillet dernier, la Commission Européenne a adopté une nouvelle décision d’adéquation pour les États-Unis, appelée « Data Privacy Framework (DPF) ».

Elle a considéré, malgré les alertes des eurodéputés notamment, que les garanties et modifications apportées par les autorités américaines à leur législation, spécialement, sur le renseignement électronique, étaient suffisantes.

Quelles garanties ont été adoptées ?

Notamment, la possibilité pour le citoyen européen la mise en place d’un recours effectif à la suite d’un accès par les autorités de renseignement US à ses données personnelles.

La législation américaine protègerait désormais davantage les données personnelles et la vie privée des citoyens européens en cas d’accès par les autorités de renseignement américaines à leurs données.

Conséquences ?

Les transferts de données vers les sociétés américaines qui s’engageront à respecter le DPF pourront s’effectuer sur la base de ce mécanisme d’adéquation.

Mais…

Les critiques pleuvent sur cette décision.

D’une part, le recours prévu ne permettrait pas aux citoyens européens d’être effectivement « associés » à la procédure. Ils ne seront qu’informés.

D’autre part, les engagements pris par le président Biden dans son Executive Order ne seraient pas suffisants pour garantir le respect des principes fondamentaux prévus par le RGPD (ex. limitation des finalités, proportionnalité et nécessité de la collecte des données, lutte contre la collecte massive, conservation des données limitées, encadrement des transferts ultérieurs, etc.).

Il faut donc s’attendre à des actions contre cette décision DPF, spécialement par Monsieur SCHREMS, avocat et militant, (et son association Non Of Your Business [NOYB]), à l’origine de l’annulation des deux premières décisions d’adéquation EU-US, Safe Harbor (en 2015) et Privacy Shiled (en 2020).

A suivre donc…

De Laëtitia Le Métayer

17/07/2023