Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Suites des affaires Schrems : l’AFCDP satisfaite par une résolution du Parlement européen

mai 2021 par AFCDP

Au-delà d’une demande de sanction contre la CNIL irlandaise, le Parlement européen adresse des critiques sévères aux autorités de contrôle et à la Commission européenne elle-même, et confirme les inquiétudes déjà formulées par l’AFCDP.

À la suite des décisions de la Cour de justice de l’Union européenne (CJUE) dans les affaires Schrems I et II, certains médias se sont fait largement écho d’une résolution adoptée le 20 mai 2021 par le Parlement européen a une très large majorité (541 pour, 1 contre et 151 abstentions).

Cette résolution reproche à la DPC, l’autorité de contrôle irlandaise, de ne pas agir avec une efficacité suffisante pour traiter les affaires qui lui sont soumises dans le cadre du mécanisme européen de « guichet unique », ceci en raison d’un manque de moyens et d’un laxisme dans l’interprétation des délais imposés par le RGPD. Dans ce contexte, le Parlement européen demande à la Commission d’engager une procédure de sanction envers l’Irlande.

Toutefois, si elle peut paraitre spectaculaire, cette demande de sanction formulée à la fin de la clause 4 d’une résolution qui en compte 34, n’est qu’une infime partie des nombreux griefs et des exigences exprimées par le Parlement, répondant à des inquiétudes des entreprises déjà signalées par l’AFCDP.

Un constat global sévère

La résolution du Parlement prend acte de l’arrêt de la CJUE qui a annulé l’accord d’adéquation entre l’Europe et les États-Unis (le « Privacy Shield ») tout en maintenant la validité du dispositif des « clauses contractuelles types » (CCT). Mais elle souligne que les CCT doivent être accompagnées d’une vérification, par les responsables de traitement concernés, du niveau de protection effectif des données par le pays de destination.

Comme l’AFCDP l’a déjà souligné, ce type de vérifications n’est pas à la portée d’une majorité d’organismes, en particulier les PME, ou les associations. Le Parlement européen confirme cette difficulté majeure.

Par ailleurs, le Parlement prend acte de la prochaine publication de nouvelles CCT adaptées à la situation, et insiste pour que le CEPD/EDPB (qui réunit les « CNIL » européennes) propose des outils d’aide à la détermination du degré d’adéquation des pays tiers.

Il rappelle également que le recours aux dérogations prévues par l’article 49 du RGPD, qui a pu être considéré par certains comme une possibilité de contournement des règles imposées aux transferts de données, ne peut constituer qu’une exception et non la règle.

Des clauses contractuelles types attendues

Constatant que de très nombreux organismes ont recours aux CCT, le Parlement appelle la Commission à en produire une version claire, réalisée en coordination étroite avec le CEPD/EDPB et le CEPD/EDPS (le Délégué à la protection des données des instances européennes), en s’assurant qu’elles soient pleinement conformes avec la jurisprudence de la CJUE.

Le Parlement insiste sur la situation des PME et des organisations à but non lucratif, souvent dans l’incapacité financière et juridique de négocier avec leurs partenaires, et qui sont pourtant tenues d’évaluer l’adéquation de la protection des données des pays tiers. Dans ce cadre, il presse la Commission et le CPED/EDPB de proposer des orientations concrètes pour aider ces organismes, répondant ainsi aux attentes de l’AFCDP et de ses membres.

Le Parlement s’en prend également aux autorités de contrôle nationales, en les sommant d’exercer leurs pouvoirs d’enquête et de correction à l’égard des transferts de données qui ne respecteraient pas les obligations du RGPD.

L’Europe sous pression pour les accords avec les États-Unis

Dans sa résolution, le Parlement européen rappelle qu’avant l’invalidation par la CJUE, il avait maintes fois alerté la Commission sur le fait que l’accord « Privacy Shield » ne permettait pas de garantir un niveau de protection adéquat, en raison de l’accès massif des pouvoirs publics américains aux données personnelles transférées, et regrette que ses alertes n’aient pas été prises en compte.

Il déplore surtout que « la Commission fasse passer les relations avec les États-Unis avant les intérêts des citoyens de l’Union, et qu’elle laisse dès lors le soin à des citoyens individuels de défendre le droit de l’Union », et demande qu’aucune décision d’adéquation ne soit prise sans une analyse des technologies de surveillance mises en œuvre dans les pays concernés, en particulier les États-Unis, mais aussi le Royaume-Uni.

À cet égard, le Parlement estime qu’aucune solution viable ne pourra être envisagée, sans des modifications substantielles de la législation fédérale américaine. Il juge nécessaire que la Commission intervienne dans ce sens auprès des autorités américaines et en attendant, appelle au soutien de l’investissement dans des outils technologiques permettant l’autonomie stratégique de l’Union.

Des exigences sur les décisions d’adéquation

Pour les futures décisions d’adéquation, le Parlement européen demande que la Commission soit plus vigilante sur le respect du RGPD, de la Charte des droits fondamentaux de l’UE et les décisions de la CJUE. En particulier, il estime qu’une telle décision ne doit pas s’appuyer sur un système d’autocertification, comme c’était le cas avec le « Privacy Shield », et demande que le CEPD/EDPB (donc les « CNIL » européennes) soit pleinement associé à ce type de décisions. Tout en constatant la volonté de la nouvelle administration américaine d’aboutir rapidement à un accord, le Parlement insiste pour qu’un tel accord ne soit conclu qu’après des réformes substantielles de la législation américaine.

Enfin, en l’absence de ces réformes, le Parlement recommande aux autorités de contrôle nationales de suspendre tous les transferts de données susceptibles d’être accessibles aux autorités américaines.

L’AFCDP accueille positivement les clarifications demandées par le Parlement européen, et son appel à donner pleinement aux « CNIL » européennes et au CEPD/EDPB leur rôle de conseil et de contrôle face à la Commission.




Voir les articles précédents

    

Voir les articles suivants