Dernières actualités : données personnelles

European Data Protection Board (EDPB)

EU-US Data Privacy Framework (DPF): L’EDPB publie une foire aux questions pour les personnes concernées mais et une autre pour les entreprises

Au cours de sa séance du 16 juillt 2024, l’EDPB a adopté 2 foires aux question afin d’aider les personnes concernées mais également les entreprises à « naviguer » parmi les règles relatives au Data Privacy Framework, qui encadre les transferts de données vers les Etats-Unis.  En guise d’introduction, l’EDPB rappelle que les entreprises qui se sont auto-certifiées dans le cadre du DPF doivent se conformer à ses principes, règles et obligations en matière de traitement des données à caractère personnel des personnes de l’EEE. La Commission européenne a estimé que les transferts de données à caractère personnel de l’EEE vers des entreprises certifiées au titre du DPF bénéficiaient d’un niveau de protection adéquat.

Dans ses FAQs, l’EDPB répond aux questions suivantes:
1- FAQ dédiée aux personnes concernées
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Comment puis-je bénéficier du cadre UE-États-Unis pour la protection des données personnelles ?
Q3. Comment déposer une plainte ?
Q4. Comment l’autorité nationale de protection des données traitera-t-elle ma plainte ?

2- FAQ dédiée aux entreprises
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Quelles sont les entreprises américaines éligibles au cadre UE-États-Unis de protection des données personnelles ?
Q3. Que faire avant de transférer des données à caractère personnel à une entreprise américaine qui est ou prétend être
certifiée au titre du cadre UE-États-Unis de protection des données à caractère personnel ?
Q4. Où puis-je trouver des conseils concernant la certification des filiales américaines d’entreprises européennes ?
entreprises européennes ?

Disponible (en anglais) sur: edpb.europa.eu (personnes concernées) et edpb.europa.eu (pour les entreprises)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Note d’information sur les transferts de données en vertu du GDPR vers les États-Unis après l’adoption de la décision d’adéquation le 10 juillet 2023

Le CEPD a publié ce jour plusieurs documents concernant le cadre relatif au transfert vers les Etats-Unis, parmi lesquels une note d’information (et un guide de procédure) à propos des mécanismes de recours pour les personnes de l’UE/EEE en cas de violation présumée de la législation américaine concernant leurs données collectées par les autorités américaines compétentes en matière de sécurité nationale. L’objectif de ces documents est d’aider les personnes concernées à exercer leurs droits et leur donner de l’information sur les différents processus.

En guise d’introduction, le CEPD rappelle qu’un des éléments importants du cadre juridique américain, sur lequel se fonde la décision d’adéquation, est le décret 14086 intitulé « Enhancing Safeguards for United States Signals Intelligence Activities “2 (”E.O. 14086″), signé par le président américain Biden le 7 octobre 2022 et accompagné de règlements adoptés par le procureur général des États-Unis, ainsi que de politiques et de procédures pertinentes adoptées par le bureau du directeur du renseignement national et les agences de renseignement des États-Unis.
Ce décret a établi un nouveau mécanisme de recours dans le domaine de la sécurité nationale pour traiter et résoudre les plaintes des personnes concernées dans l’UE et l’EEE, alléguant l’accès et l’utilisation illicites de données par les activités de renseignement d’origine électromagnétique des États-Unis à leurs données personnelles qui ont été transmises de l’UE et de l’EEE vers les États-Unis. Ce mécanisme de recours s’applique quel que soit l’outil de transfert utilisé pour transférer les données à caractère personnel des plaignants vers les États-Unis ».

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut