Le projet de cadre de confidentialité n’est pas “à l’épreuve du temps”, selon les députés
Français
Le Parlement européen ne veut pas examiner un autre projet de loi réglementant les flux de données entre l’UE et les États-Unis, affirmant que le cadre de confidentialité proposé n’est pas suffisamment “à l’épreuve du temps”.
Fondamentalement, le conseil des députés – et ils ont voté 306 contre 27 – est qu’ils ne veulent pas que la Commission européenne, le bras exécutif de l’UE, accorde aux États-Unis la décision d’adéquation qui déclencherait la mise en œuvre du nouvel accord.
Vous ne pouvez pas les blâmer, car il s’agit maintenant de prendre 3 sur un mécanisme simple pour réglementer le traitement des données entre les États-Unis et après que Safe Harbor et Privacy Shield (Take 2, à ne pas confondre avec Privacy Framework, Take 3) ont tous deux été gouvernés invalide.
Le Parlement a déclaré qu’il “souligne que les décisions d’adéquation doivent inclure des mécanismes clairs et stricts de suivi et de révision afin de garantir que les décisions sont à l’épreuve du temps ou abrogées ou modifiées si nécessaire, et que le droit fondamental des citoyens de l’UE à la protection des données est garanti à tout moment .”
Il a également réitéré qu’il n’y a pas de législation fédérale sur la protection de la vie privée et des données aux États-Unis, par conséquent, une “évaluation complète de la manière dont ces principes sont mis en œuvre dans l’ordre juridique américain pourrait ne pas être possible en raison d’un manque de transparence dans les procédures de la Cour de révision de la protection des données”.
La Cour de révision de la protection des données est un mécanisme mis en place par les États-Unis pour donner aux citoyens européens le même droit de recours qu’ils auraient chez eux.
Sommaire
Qu’en est-il des clauses contractuelles types ?
Selon la Commission européenne, les clauses types sont actuellement le mécanisme de transfert de données le plus utilisé, l’organisme adoptant des clauses contractuelles types modernisées, ou SCC, pour faciliter leur utilisation, “à la lumière des exigences fixées par la Cour de justice dans le Schrems II jugement.”
Depuis la suppression du Privacy Shield, les entreprises ont été contraintes de se rabattre sur les CSC pour se couvrir lors du partage de données entre l’UE et les États-Unis. En plus d’être longs à mettre en œuvre, les CSC peuvent ne pas être étanches.
L’aigle juridique Neil Brown nous a déjà dit que “lorsqu’un transfert est basé sur une décision d’adéquation, il n’est pas nécessaire d’évaluer les risques de transfert – la destination est adéquate, du point de vue de la protection des données de l’UE – et donc le transfert est plus simple et moins cher. “
Quelle est la prochaine étape pour le Framework ?
La nouvelle selon laquelle les députés déconseillent une décision d’adéquation pour les États-Unis intervient trois mois après que la commission des libertés civiles, de la justice et des affaires intérieures d’EuroParl a publié un projet d’avis non contraignant [PDF] plaidant contre la signature du pacte américain de transfert de données. À l’époque, il avait déclaré ne pas souhaiter que le processus de plainte soit traité dans le plus grand secret. Il a demandé un mécanisme de recours.
Le commissaire à la justice Didier Reynders, quant à lui, a plaidé avec acharnement pour l’accord cette semaine, qui rendra la vie un peu plus facile (et, Le Reg a entendu parler, moins cher) pour les entreprises important et exportant des données.
Plus de problèmes se dirigent vers les fournisseurs de services de communication américains
Un nouveau projet de règle faisant le tour de l’agence européenne de cybersécurité ENISA indiquerait que les fournisseurs de services cloud qui ne sont pas basés en Europe – comme AWS, Google et Microsoft – pourraient devoir s’associer à une entreprise qui exploite et entretient un cloud à partir de l’UE s’ils souhaitent que l’agence les certifie pour le traitement de données sensibles.
Le nouveau cadre de confidentialité a nécessité plus d’un an de négociations entre les États-Unis et l’UE, avec des discussions dirigées respectivement par la secrétaire au commerce Gina Raimondo et Reynders. Reynders a également travaillé avec le secrétaire américain au commerce Wilbur Ross à la suite de l’arrêt de juillet 2020 de la Cour de justice de l’Union européenne dans l’affaire Schrem II cas qui a effectivement pris une hache de guerre au cadre de Privacy Shield. Ce mécanisme de flux de données a été tué en raison de programmes de surveillance américains invasifs qui ont rendu illégaux les transferts de données personnelles sur la base de la décision Privacy Shield.
Des milliers d’entreprises s’étaient appuyées sur le Privacy Shield et avant cette sphère de sécurité pour les protéger avant que le plus haut tribunal européen ne les invalide tous les deux.
En décembre de l’année dernière, la branche exécutive de l’UE a déclaré qu’elle estimait que le cadre de confidentialité était suffisamment bon, publiant un projet de décision convenant que les mesures prises par les États garantissent une protection suffisante pour que les données personnelles soient transférées de la région vers des entreprises américaines.
Comme l’écrivait ici à l’époque l’expert en confidentialité Peter Houpermanns, les petites organisations “sans beaucoup de connaissances et de ressources informatiques sont particulièrement exposées et peuvent être prises au dépourvu. L’utilisation de services tels que Gmail ou Microsoft Office 365 nécessite désormais une attention particulière. -examen de leurs Termes & Conditions.”
La Commission européenne devrait voter prochainement sur l’opportunité d’adopter son remplaçant.
L’aigle juridique Neil Brown a déclaré que s’il devait deviner, il prédirait qu’il y aurait un vote, pour maintenir l’élan, mais que cela ne passerait pas.
Il a ajouté: “Cela dit, je ne sais pas à quoi ressemblerait” assez “ici, pour survivre au défi, à moins de modifications de la loi américaine que je doute que les États-Unis soient pressés d’apporter.” ®
