Dernières actualités : données personnelles

Commission européenne

La Commission européenne ouvre une consultation publique sur un projet de modifications des CCT (SCCs en anglais)

La Commission européenne lance une consultation publique sur les nouvelles CCT de l’UE – en vue d’une adoption au 2e trimestre 2025. Les nouvelles CCT ont pour ambition de couvrir la situation où l’importateur de données est situé dans un pays tiers mais est directement soumis au RGPD – une lacune dans les CCT actuelles qui a été une nouvelle fois mise en lumière par l’amende récente d’Uber. Pour rappel, l’autorité néerlandaise avait constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. (société néerlandaise) et UBER TECHNOLOGIES INC. (société américaine) sont responsables conjoints font l’objet de transferts vers les États-Unis en l’absence de garanties appropriées entre le 6 août 2021 et le 21 novembre 2023.

Le projet des nouvelles CCT n’est pas encore disponible au public, mais il s’agit très certainement d’une affaire à suivre.

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Commission européenne

Cadre de protection des données entre l’UE et les États-Unis : consultation publique sur son fonctionnement

Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation (C(2023) 4745 final) sur le cadre UE-États-Unis de protection des données (DPF). Ce nouveau cadre vise à fournir une protection solide aux Européens et à apporter une sécurité juridique aux transferts transatlantiques de données à caractère personnel. Sur la base de la décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines qui participent au cadre.

Ce cadre a apporté des améliorations significatives par rapport au mécanisme de transfert précédent (le bouclier de protection de la vie privée UE-États-Unis). Il a notamment introduit de nouvelles garanties contraignantes et exécutoires pour répondre à toutes les préoccupations soulevées par la Cour de justice des Communautés européennes dans l’arrêt Schrems II. Il s’agit notamment de limiter l’accès des agences de renseignement américaines aux données de l’UE à ce qui est nécessaire et proportionné, et de créer un mécanisme de recours indépendant et impartial doté de pouvoirs d’arbitrage et de réparation (par la création de la Cour de contrôle de la protection des données) ouvert aux particuliers de l’UE. Les garanties relatives à l’accès des gouvernements aux données complètent les obligations que les entreprises américaines qui importent des données de l’UE doivent respecter pour bénéficier de la décision d’adéquation, et qui sont mises en œuvre par la Commission fédérale du commerce des États-Unis.

Cette décision garantit que les données à caractère personnel peuvent circuler librement de l’UE vers les entreprises participantes aux États-Unis. La décision (conforme au règlement général sur la protection des données) prévoit un réexamen périodique. Le premier doit avoir lieu dans un délai d’un an afin d’évaluer si toutes les parties du cadre sont en place et fonctionnent comme prévu. Ce rapport présentera les résultats et les conclusions du premier examen.
Afin de construire ce rapport, la Commission a lancé un appel à contributions, ouvert jusqu’au 6 septembre 2024.  N’hésitez pas à participer !

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’EDPS dévoile un nouveau modèle pour des transferts plus sûrs de données à caractère personnel entre les institutions de l’UE et les organisations internationales

transfers of data

Le contrôleur européen a publié aujourd’hui son modèle d’arrangement administratif (modèle) pour les transferts de données à caractère personnel des institutions, organes et organismes de l’UE (IUE) vers les organisations internationales. Le modèle vise à aider les institutions européennes à se conformer à la législation européenne applicable en matière de protection des données, le règlement (UE) 2018/1725, lorsqu’elles doivent transférer des données à caractère personnel à des organisations internationales, dans le cadre de leur rôle.

Wojciech Wiewiórowski, EDPS, a déclaré : « En fonction de la nature de leur travail, les IUE peuvent être amenées à transférer des données à caractère personnel à des organisations internationales pour atteindre des objectifs importants, tels que la fourniture d’une assistance alimentaire ou la défense des droits des personnes, par exemple. Dans ce contexte, l’une des priorités de mon institution est de veiller à ce que les données personnelles des individus soient protégées conformément aux normes de l’UE, tant à l’intérieur qu’à l’extérieur de l’UE/Espace économique européen. Le nouveau modèle d’arrangement administratif permet aux institutions européennes de se préparer efficacement à d’éventuels transferts de données à caractère personnel vers des organisations internationales, et ce de manière globale ».

Pour assurer son application pratique par les IUE, le modèle met l’accent sur les principes fondamentaux de la protection des données et met en place les garanties nécessaires, afin d’assurer un niveau de protection essentiellement équivalent à celui garanti par la législation de l’UE. En tant que tels, les arrangements administratifs conclus par les IUE avec les organisations internationales en utilisant le modèle publié aujourd’hui continueront à nécessiter l’approbation du CEPD. Toutefois, son utilisation par les IUE facilitera grandement la procédure d’approbation, dans l’intérêt des deux parties et des personnes concernées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

01net

Les États-Unis prolongent finalement de 2 ans la loi FISA : les services secrets américains pourront continuer à nous espionner jusqu’en 2026

La loi d’espionnage FISA, qui autorise le Renseignement américain à collecter les communications de non citoyens américains à l’étranger – ce qui comprend bien les Européens – a finalement été prolongé de deux ans. Le projet de loi était vivement critiqué par les défenseurs de la vie privée des Américains. Avec ce texte, davantage de sociétés devraient coopérer avec le Renseignement américain, selon des juristes. Pour les défenseurs des droits européens, c’est une mauvaise nouvelle. Le FBI, la NSA ou la CIA pourront continuer à nous espionner, jusqu’en 2026.

À côté de la question de son renouvellement, les critiques s’étaient intensifiées outre-Atlantique, lorsque la chambre basse a ajouté un amendement qui « forcerait tout le monde à devenir des espions de la NSA », selon ses opposants. Une disposition du projet de loi vise en effet à étendre le champ d’application des « fournisseurs de services de communications électroniques », la catégorie d’entreprises qui doit coopérer avec le Renseignement américain. Cet amendement a bien été voté dans le projet de loi au Sénat, selon le texte accessible ce samedi 20 avril sur le site du Sénat américain.

[Ajout contextuel Portail RGPD: Cette proposition d’extension a déjà été discutée en décembre à l’occasion du renouvellement de la loi jusqu’en avril, mais n’était alors pas passée avec le texte final. L’idée était d’étendre le texte à « tout fournisseur de services qui a accès à des communications électroniques ou par fil, soit au moment où ces communications sont transmises, soit au moment où ces communications sont stockées », alors qu’il était jusqu’alors concentrée sur les fournisseurs de télécommunications ou de moyens de communications. Le champ est également étendu aux « équipements qui sont ou peuvent être utilisés pour transmettre ou stocker ces communications » , ce qui inclurait notamment les serveurs.
Cette réforme a finalement été remise sur la table, et est cette fois passée. Comme mentionné en décembre, celle-ci pourrait bien sonner la fin prochaine de la décision d’adéquation des Etats-Unis. Plus d’éléments sont disponibles sur l’article précédent.]

Disponible  sur: 01net.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Center for Democracy & Technology

🚨 Fausse alerte :  La Chambre a adopté une prolongation de deux ans de la Section 702 de la FISA à l’occasion un vote extrêmement serré (une égalité 212-212 ), et a rejeté des réformes essentielles pour mettre fin à l’abus rampant de la loi qui a été bien documenté.

Selon l’association, la surveillance sans mandat prévue par la FISA 702 est censée ne viser que des sujets étrangers, mais dans la pratique, elle englobe un très grand nombre de communications d’Américains. Cela permet aux agences de renseignement d’exploiter une faille dans les recherches : le FBI, la CIA et la NSA effectuent des « recherches sur des personnes américaines » dans les dossiers FISA 702 afin d’extraire délibérément des messages privés d’Américains, le tout sans mandat ni approbation d’un tribunal. Cette faille a conduit à des abus systémiques, impliquant des milliers de requêtes inappropriées chaque année, y compris celles visant des manifestants, des donateurs de campagne, des journalistes, des législateurs et, dans un cas, les rencontres en ligne d’un analyste.

Disponible (en anglais) sur: cdt.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Forbes

Les législateurs de la Chambre des représentants rejettent la mesure de renouvellement de la loi FISA

Le 10 avril, les législateurs de la Chambre des représentants ont voté contre une mesure de procédure qui aurait lancé le débat sur la réautorisation de l’article 702 de la loi sur la surveillance du renseignement étranger, quelques heures après que l’ancien président Donald Trump a encouragé les législateurs à « TUER FISA ».

L’article rappelle que le « Congrès a autorisé pour la première fois la section 702 de la FISA en 2008, selon le bureau du directeur du renseignement national, dans le but de surveiller les non-citoyens en dehors des États-Unis. La loi est devenue de plus en plus controversée depuis sa création, les critiques affirmant que sa nature à large portée peut conduire à la collecte de données sur les citoyens américains, selon NBC News. Un rapport de mai 2023 de la Cour de surveillance du renseignement étranger a révélé que le FBI avait abusé de l’outil près de 300 000 fois entre 2020 et début 2021, notamment en collectant des informations sur les émeutiers du 6 janvier et les manifestants de Black Lives Matter. »

[Ajout contextuel Portail RGPD: Il y a quelques mois, la loi FISA a fait l’objet d’un renouvellement jusqu’au 19 avril 2024, qui a été l’occasion de déposer projet de réforme prévoyant de l’étendre considérablement (qui n’a finalement pas été voté).  S’il s’avérait que la loi FISA était effectivement abandonnée, il est possible que la décision d’adéquation dont bénéficie actuellement les Etats-Unis, le « Data Privacy Framework », ne soit pas une fois de plus annulé par la Cour de Justice de l’UE (dans les années qui viennent).  Reste toutefois la question de l’Executive Order 12333 n qui permet aux Etats-Unis d’accéder à toutes les données en transit vers les Etat-Unis, en particulier via les câbles sous-marins permettant de relier les différents continents. ]

Disponible (en anglais) sur: forbes.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’utilisation de Microsoft 365 par la Commission européenne enfreint la législation sur la protection des données pour les institutions et organes de l’UE

computer with people sitting on it. Vectorial image.

Le Contrôleur a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes de l’UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l’UE/de l’Espace économique européen (EEE). En particulier, la Commission n’a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.

En conséquence, le Contrôleur a décidé d’ordonner à la Commission, avec effet au 9 décembre 2024:
* de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.
*de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725.

La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024. Le CEPD considère que les mesures correctives qu’il impose (voir l’annexe pour un extrait détaillé) sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

eWatchers

Les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ».

Comme annoncé hier sur le Portail RGPD, les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ». D’après eWatchers, le décret donnera le pouvoir à l’Administration états-unienne de s’opposer aux transferts de gros volumes de données personnelles vers certains pays jugés « préoccupants », la Chine (dont Hong Kong et Macao), la Russie, l’Iran, la Corée du Nord, Cuba et le Venezuela, lorsque le transfert « présente un risque inacceptable pour la sécurité nationale des États-Unis ». Les États-Unis jugent, en effet, que « les gouvernements de ces pays peuvent chercher à accéder à des données personnelles sensibles et à les utiliser d’une manière qui n’est pas conforme aux valeurs démocratiques, à la protection de la vie privée et aux autres droits et libertés de l’homme ».

Plus d’informations sont disponibles ci-dessous.

Disponible sur: ewatchers.org Le texte complet de l’Executive Order est également disponible (en anglais)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut