Data Privacy Framework : le compte n’y est pas pour les CNIL européennes

Data Privacy Framework CEPD

Le CEPD appelle la Commission européenne à de multiples révisions du Data Privacy Framework, qui doit succéder au Privacy Shield.

Le Data Privacy Framework, copie du Privacy Shield ? Le CEPD (groupe des CNIL européennes) n’est pas loin de l’affirmer. D’un texte à l’autre, les principes restent « fondamentalement inchangés », juge-t-il.

Par voie de conséquence, un grand nombre d’inquiétudes demeurent. Par exemple au sujet des droits des personnes concernées (accès, rectification et effacement de données). Sur ce volet, le CEPD réclame, entre autres :

– Que l’obligation de répondre aux demandes des personnes concernées ne figure pas simplement en note de bas de page
– De préciser que les droits s’appliquent dans la mesure où une organisation « traite » des données personnelles ; pas simplement quand elle les « stocke »
– Des clarifications sur la question de l’opt-out : la version actuelle (brouillon) du Data Privacy Framework ne spécifie pas les modalités, sauf pour les finalités de marketing direct
– Concernant les transferts de données au sein d’un même groupe, des explications concernant l’exemption d’accord entre entités « pour les besoins opérationnels occasionnels liés à l’emploi »

Le CEPD s’inquiète également de l’absence de garanties pour les personnes sujettes à des décisions entièrement automatisées. Il avait, là aussi, déjà exprimé ses doutes lors de l’évaluation du Privacy Shield – qui devait alors succéder au Safe Harbor.

Du Privacy Shield au Data Privacy Framework : les textes se suivent et se ressemblent

Des clarifications, le groupe des CNIL en sollicite aussi à propos des « collectes massives temporaires » qu’autorise le droit américain. Ainsi que des principes applicables aux organisations amenées à réaliser de « simples traitements » sans être responsables de traitement au sens du RGPD.

Dans la proposition de la Commission européenne, la terminologie pour décrire ces organisations n’est pas fixe. Il en va de même concernant les « traitements ». Plutôt que d’utiliser le terme même, certaines parties du texte énumèrent différents types d’opérations de traitement, au risque d’introduire des incertitudes juridiques, estime le CEPD. Qui souligne par ailleurs l’absence de définition pour certains termes essentiels. Dont celui de « données RH », qui doit encore faire l’objet de discussions avec Washington.

Le CEPD regrette aussi que la structure et la numérotation des annexes complique la compréhension du texte. Non seulement par la difficulté à trouver l’information, mais aussi par la manière dont sont compilés des documents à valeurs légales diverses.

On avait récemment pu entrevoir la position du Parlement européen, à travers sa commission des libertés civiles, de la justice et des affaires intérieures. Entre autres observations, elle faisait remarquer :

– Les États-Unis n’ont pas la même interprétation que l’UE des principes de proportionnalité et de nécessité
– Le mécanisme de recours pour les personnes concernées inclut un « tribunal indépendant » qui, dans les faits, n’en est pas un
– Pas de voie d’appel devant la justice fédérale pour les personnes concernées

Pour davantage d’éléments sur ce futur cadre transatlantique d’échange de données personnelles, consulter notre article « Vers un nouveau Privacy Shield : un accord de principe et des questions ».

Photo d’illustration © portalgda