Pour gérer vos consentements :

Data Privacy Framework : le compte n’y est pas pour les CNIL européennes

Le Data Privacy Framework, copie du Privacy Shield ? Le CEPD (groupe des CNIL européennes) n’est pas loin de l’affirmer. D’un texte à l’autre, les principes restent « fondamentalement inchangés », juge-t-il.

Par voie de conséquence, un grand nombre d’inquiétudes demeurent. Par exemple au sujet des droits des personnes concernées (accès, rectification et effacement de données). Sur ce volet, le CEPD réclame, entre autres :

– Que l’obligation de répondre aux demandes des personnes concernées ne figure pas simplement en note de bas de page
– De préciser que les droits s’appliquent dans la mesure où une organisation « traite » des données personnelles ; pas simplement quand elle les « stocke »
– Des clarifications sur la question de l’opt-out : la version actuelle (brouillon) du Data Privacy Framework ne spécifie pas les modalités, sauf pour les finalités de marketing direct
– Concernant les transferts de données au sein d’un même groupe, des explications concernant l’exemption d’accord entre entités « pour les besoins opérationnels occasionnels liés à l’emploi »

Le CEPD s’inquiète également de l’absence de garanties pour les personnes sujettes à des décisions entièrement automatisées. Il avait, là aussi, déjà exprimé ses doutes lors de l’évaluation du Privacy Shield – qui devait alors succéder au Safe Harbor.

Du Privacy Shield au Data Privacy Framework : les textes se suivent et se ressemblent

Des clarifications, le groupe des CNIL en sollicite aussi à propos des « collectes massives temporaires » qu’autorise le droit américain. Ainsi que des principes applicables aux organisations amenées à réaliser de « simples traitements » sans être responsables de traitement au sens du RGPD.

Dans la proposition de la Commission européenne, la terminologie pour décrire ces organisations n’est pas fixe. Il en va de même concernant les « traitements ». Plutôt que d’utiliser le terme même, certaines parties du texte énumèrent différents types d’opérations de traitement, au risque d’introduire des incertitudes juridiques, estime le CEPD. Qui souligne par ailleurs l’absence de définition pour certains termes essentiels. Dont celui de « données RH », qui doit encore faire l’objet de discussions avec Washington.

Le CEPD regrette aussi que la structure et la numérotation des annexes complique la compréhension du texte. Non seulement par la difficulté à trouver l’information, mais aussi par la manière dont sont compilés des documents à valeurs légales diverses.

On avait récemment pu entrevoir la position du Parlement européen, à travers sa commission des libertés civiles, de la justice et des affaires intérieures. Entre autres observations, elle faisait remarquer :

– Les États-Unis n’ont pas la même interprétation que l’UE des principes de proportionnalité et de nécessité
– Le mécanisme de recours pour les personnes concernées inclut un « tribunal indépendant » qui, dans les faits, n’en est pas un
– Pas de voie d’appel devant la justice fédérale pour les personnes concernées

Pour davantage d’éléments sur ce futur cadre transatlantique d’échange de données personnelles, consulter notre article « Vers un nouveau Privacy Shield : un accord de principe et des questions ».

Photo d’illustration © portalgda

Recent Posts

Science & Vie lance son Incubateur

Avis aux ingénieurs, inventeurs, startuppeurs...Lancé en partenariat avec l’INPI, l’accélérateur de startup 50partners, et les…

6 heures ago

À quoi s’attendre avec les PC Copilot+ ?

Les premiers « PC Copilot+ » arrivent sur le marché en juin. Tour d'horizon des…

7 heures ago

Slack défend sa politique d’exploitation de données

Attaqué sur son usage des données des clients pour l'entraînement d'IA, Slack tente de justifier…

14 heures ago

Ce qui change avec la version 2024 du référentiel d’écoconception de services numériques

Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…

1 jour ago

Microsoft x Mistral AI : l’Autorité britannique de la concurrence renonce à enquêter

Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…

1 jour ago

MFA obligatoire sur Azure : ce que prépare Microsoft

À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…

2 jours ago