Nouveau Cadre 2022 sur le transfert de données personnelles Union Européenne - USA

: Raphaël Richard, 24pm Academy; 12 octobre 2022, 08:19

Traduction de l'ordre présidentiel (Executive order) signé par Joe Biden, le 7 octobre qui prévoit la création d'un système de contrôle de l'accès aux données personnelles des européens.

Pour rendre légal l'usage d'outils américains (Google Analytics, Google Ads, Facebook Ads, Salesforce, Mailchimp, Shopify, Gsuite...) qui est incompatible avec le RGPD (parce que les agences de renseignements américaines ont un droit accès légal aux données que les entreprises américaines détiennent sur les citoyens européens).

Dans le cadre d'un accord de principe entre Ursula Von Der Leyen et Joe Biden de mars 2022, un nouveau dispositif doit être créé pour légaliser ces transferts de données, tout en protégeant (en tout cas officiellement), les données personnelles des européens.

6 mois plus tard, la maison a publié un communiqué décrivant le nouveau European Union-U.S. Data Privacy Framework.

Voici la traduction du communiqué de Joe Biden qui décrit le mécanisme, très complexe

7 octobre 2022

Aujourd'hui, le président Biden a signé un décret (en version originale: Executive order, ou E.O.) visant à réhausser le niveau de garantie relatives aux activités de collecte de données des agences de renseignement des États-Unis listant les mesures que les États-Unis prendront pour concrétiser les engagements américains de protection des données à caractère personnel entre l'Union européenne et les États-Unis (en version originale: European Union-U.S. Data Privacy Framework ou EU-U.S. DPF) annoncé par le président Biden et la présidente de la Commission européenne von der Leyen en mars 2022.

[NDLR: les engagements américains font référence aux accords de principe négociés avec Ursula Von der Layen, en mars 2022 à l'occasion de la visite de Joe Biden en Europe, en échange de la livraison de gaz de schiste]

Les flux de données transatlantiques sont essentiels à la relation économique entre l'UE et les États-Unis, qui représente 7 100 milliards de dollars. Le EU-U.S. DPF rétablira une base juridique importante encadrant le transfert de données [NDLR: personnelles] transatlantiques en répondant aux préoccupations que la Cour de justice de l'Union européenne a soulevées en invalidant l'ancien cadre du bouclier de protection de la vie privée [NDLR: Privacy Shield] UE-États-Unis en tant que mécanisme de transfert de données valide en vertu du droit communautaire.

Le décret renforce un ensemble déjà rigoureux de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement digital des États-Unis. Il crée également un mécanisme indépendant et contraignant permettant aux personnes des États et des organisations d'intégration économique régionale remplissant les conditions requises [NDLR: les citoyens de l'UE], tels que désignés par le décret, de demander réparation si elles estiment que leurs données personnelles ont été collectées par les services de renseignement électromagnétique américains d'une manière qui viole la législation américaine applicable.

Les entreprises américaines et européennes, grandes et petites, dans tous les secteurs de l'économie, comptent sur les flux de données transfrontaliers pour participer à l'économie numérique et développer les opportunités économiques. Le DPF UE-États-Unis représente l'aboutissement d'un effort conjoint des États-Unis et de la Commission européenne pour rétablir la confiance et la stabilité des flux de données transatlantiques et reflète la force de la relation durable entre l'UE et les États-Unis, fondée sur nos valeurs communes.

En particulier, le décret :

Ajoute des garanties supplémentaires encadrant les activités de renseignement digital des États-Unis, notamment en exigeant que ces activités ne soient menées que dans la poursuite d'objectifs de sécurité nationale définis, qu'elles prennent en considération la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence, et qu'elles ne soient menées que lorsque cela est nécessaire pour faire progresser une priorité validée en matière de renseignement et uniquement dans la mesure et d'une manière proportionnées à cette priorité [NDLR: garantir que l'accès aux données personnelles d'un européen ne soit demandés par les agences de renseignements pour que un motif sérieux relatif à la sécurité des Etats-Unis]

Rendre obligatoire le traitement des informations personnelles collectées par le biais d'activités de renseignement électromagnétique et étendre les responsabilités des responsables juridiques, de la surveillance et de la conformité afin de garantir que des mesures appropriées sont prises pour remédier aux incidents de non-conformité. [NDLR: Garantir une utilisation transparente des données personnelles collectées par les agences de renseignement]

Exige que les agences de la communauté du renseignement des États-Unis mettent à jour leurs politiques et procédures afin de refléter les nouvelles mesures de protection de la vie privée et des libertés civiles contenues dans le E.O. (décret) [NDLR: les agences de renseignement américaines doivent mettre leur pratique de la collecte et de l'utilisation des données personnelles des Européens en conformité avec le contenu de cet E.O.]

Crée un mécanisme à plusieurs niveaux pour les personnes des États et des organisations d'intégration économique régionale admissibles, tels que désignés conformément à l'E.O.(décret), afin d'obtenir un examen et une réparation indépendants et contraignants des plaintes selon lesquelles leurs informations personnelles collectées par le renseignement digital américain ont été collectées ou traitées par les États-Unis en violation du droit américain applicable, y compris les garanties renforcées de l'E.O (décret). [NDLR: si un citoyen européen estime que des données personnelles ont été collectées dans des conditions incompatibles avec ce nouveau dispositif, il pourra adresser une réclamation auprès des structures suivantes]

1. Premier niveau de contrôle: le Responsable de la Protection des Libertés Civiles du Bureau du Directeur du Renseignement National [RPLC ou CLPO] mènera une enquête initiale sur les plaintes admissibles reçues afin de déterminer si les garanties renforcées de l'E.O. (décret) ou d'autres lois américaines applicables ont été violées et, le cas échéant, de déterminer les mesures correctives appropriées. L'E.O. (décret) renforce les fonctions statutaires existantes du CLPO en établissant que la décision de la CLPO sera contraignante pour la communauté du renseignement, sous réserve du deuxième niveau de contrôle, et fournit des protections pour garantir l'indépendance des enquêtes et des décisions de la CLPO.

2. Deuxième niveau de contrôle: l'E.O. autorise et ordonne à le procureur général de créer une Jury de Révision de la Protection des Données (JRPD ou DPRC) pour fournir un contrôle indépendant et contraignant des décisions de la CLPO, sur demande de la personne concernée ou de la communauté du renseignement [NDLR: agences de renseignement américaines]. Les juges de la DPRC ne seront pas nommés par le gouvernement américain, auront une expérience pertinente dans les domaines de la confidentialité des données et de la sécurité nationale, examineront les cas de manière indépendante et bénéficieront de protections contre le fait d'être récusé. Les décisions du DPRC concernant l'existence d'une violation du droit américain applicable et, le cas échéant, les mesures correctives à mettre en œuvre, seront contraignantes. Pour améliorer encore l'examen du DPRC, le E.O. (décret) prévoit que le DPRC choisisse un avocat spécial dans chaque cas, qui défendra l'intérêt du plaignant dans l'affaire et s'assurera que le DPRC possède une maitrise de la législation en vigueur concernant l'affaire. Le procureur général a publié aujourd'hui un règlement d'accompagnement sur l'établissement de la CRDP.

3. Demande au Bureau de la Supervision des données personnelles et des Libertés Civiles, Privacy and Civil Liberties Oversight Board d'examiner les politiques et les procédures de la communauté du renseignement américain pour s'assurer qu'elles sont conformes au décret et de procéder à un examen annuel du processus de recours, notamment pour vérifier si la communauté du renseignement américain s'est pleinement conformée aux décisions prises par le CLPO et le DPRC.

Ces mesures fourniront à la Commission européenne une base pour adopter des nouveaux textes permettant de mettre en place un méchanisme transfert de données important, abordable en vertu du droit européen. Elles apporteront également une plus grande sécurité juridique aux entreprises qui utilisent les clauses contractuelles types (Standard Contractual Clauses) et les règles d'entreprise contraignantes (Binding Corporate Rules) pour transférer des données personnelles de l'UE vers les États-Unis.

Mon avis sur cet embryon de Privacy Shield 2 ?

Les Etats-Unis n'ont fait aucune concession puisque, dans la pratique, il sera très difficile pour un citoyen européen de prouver que ses droits "européens" ont été violé et encore plus d'obtenir réparation.

En revanche, si l'Union Européenne vote des textes déclarant comme suffisants ces dispositifs, les entreprises européennes pourront continuer à utiliser les outils américains, sans redouter de se voir sanctionner par la CNIL pour non respect du RGPD

: Raphaël Richard, 24pm Academy; 12 octobre 2022, 08:19

Formation à GPT3 et ChatGPT

Nouveau Cadre 2022 sur le transfert de données personnelles Union Européenne - USA

Mon avis sur cet embryon de Privacy Shield 2 ?

EXCLUSIF

Nouveau !

Organisme de formation

Recevez des exclus !

A lire absolument

Contenus liés

connexion

Formation Intelligence Artificielle

Formations Marketing Digital

Ressources gratuites

Search