Le Parlement européen a organisé une réunion le 3 septembre pour examiner les transferts de données UE-États-Unis: nous n’aurons pas de réponse européenne rapidement!
Vous vous souviendrez que le privacy shield, l’accord qui permettait les transferts de données personnelles entre l’Europe et les USA a été annulé par la cour européenne de justice. Peu de temps après l’European Data Protection Board (EDPB), l’autorité européenne qui regroupe les autorités nationales de protection des données a annoncé que cette décision était immédiatement applicable et donc qu’il n’y aurait pas de période de grâce.
En conséquence, l’utilisation d’outils tels que les annonces Google, les publicités Facebook, les outils de vidéoconférence tels que Zoom ou Teams, etc. est carrément interdite sans prévoir des mesures de séc urité complémentaires.. Il est clair que cette décision a des conséquences importantes pour les entreprises européennes.
Le rôle de l’Europe
Comme le Bouclier de protection des données est un accord négocié entre l’Europe et les États-Unis, il était logique que tout le monde s’attende à une réaction des autorités européennes. Le Parlement européen a organisé une réunion sur ce sujet le troisième septembre 2022 en présence du commissaire européen Didier Reynders et de l’avocat autrichien Max Schrems, qui non seulement est au début de la procédure d’annulation du bouclier de protection des données, mais a déjà, via son organisation NOYB, déposé une plainte contre 101 entreprises européennes qui continuaient à envoyer des données aux États-Unis.
Quelle sera la réaction des autorités européennes?
Cette rencontre nous a fourni plusieurs informations, que nous analyserons :
- La Commission européenne travaillera avec le Conseil européen de protection des données (EDPB) pour fournir une réponse appropriée. De toute évidence, un certain nombre de réunions seront prévues.
- La Commission travaillera sur trois aspects
- Créer des lignes directrices pour les entreprises. C’est en effet ce que toutes les entreprises européennes attendent.
- Moderniser les « clauses types » qui permettent les transferts internationaux. Une première version devrait être proposée en septembre pour adoption à la fin de 2022. Bonne idée, d’autant plus que ces clauses datent d’avant le RGPD. Mais rappelons que la cour de justice a précisé que ces clauses ne peuvent pas être utilisées pour les transferts vers les États-Unis. Et pour que ces clauses soient adoptées, l’accord de l’EDPB et des États membres est nécessaire.
- Travailler avec les États-Unis pour « un cadre potentiel renforcé » pour les transferts UE-États-Unis. Dans le langage courant, nous sommes partis pour de longs mois, voire des années de négociations. Le commissaire européen a rappelé que le résultat de cette négociation nécessiterait une modification législative aux États-Unis et que l’élection présidentielle ne faciliterait pas cela.
- Concernant les 101 plaintes déposées par l’organisation de Max Schrems (NOYB) l’EDPB a constitué une task force pour que les autorités nationales en charge de ces plaintes aient une approche commune. Cette coordination est également une demande des acteurs du secteur de la protection des données·. En effet, si le fait que le RGPD soit un règlement avec le même texte pour tous les Etats Membres permet une uniformisation européenne, des jurisprudences des différentes autorités trop différentes réduirait à néant cette uniformité.
- L’EDPB a annoncé qu’il travaillerait sur des guidelines concernant les transferts de données hors Europe. Bonne initiative, mais il n’est pas certain que cela résoudra la question des transferts EU-US.
Que devons-nous attendre des autorités européennes?
Par expérience, nous savons que le processus décisionnel européen est lent et que ce que nous avons appris le 3/9/2020 ne donne pas de solutions aux entreprises concernant les transferts de données vers les entreprises américaines. Les transferts sont désormais complexes, ce qui pose de nombreux problèmes pratiques aux organisations européennes, qu’elles soient petites ou grandes.
Je ne peux que conseiller les entreprises, et en particulier les milliers de clients de GDPRfolder vérifier les contrats existants, identifier ceux qui permettent d’envoyer des données aux entreprises américaines et voir s’il existe des alternatives.
Dossier à suivre donc...
Vous voulez en savoir plus?
Vous cherchez une solution clé en main pour votre gestion gdpr?
Contactez-nous pour en savoir plus sur notre solution et ses applications.
