La Cnil européenne exhorte les institutions à ne plus transférer de données vers les Etats-Unis
Après avoir découvert qu'un site officiel de dépistage du Covid-19 envoyait des données vers les Etats-Unis, le Comité européen à la protection des données (CEPD) demande aux institutions européennes d'éviter les activités de traitement qui impliquent des transferts de données personnelles outre-Atlantique.
Le Comité européen à la protection des données (CEPD), dont les objectifs sont de garantir l’application cohérente du RGPD et de promouvoir la coopération entre les autorités nationales de protection des données, demande aux institutions de l'Union européenne de ne pas se lancer dans de nouvelles activités impliquant un transfert de données outre-Atlantique. Cette consigne a été inscrite dans un document, publié le 29 octobre et repéré par Euractiv.
Eviter les transferts de données vers les Etats-Unis
"En ce qui concerne les nouvelles opérations de traitement ou les nouveaux contrats avec des fournisseurs de services, le CEPD encourage vivement les institutions de l'Union européenne à éviter les activités de traitement qui impliquent des transferts de données personnelles vers les États-Unis", peut-on lire dans la déclaration.
Cette interdiction s'appuie sur deux actualités récentes. La première est l'invalidation du Privacy Shield intervenue en juillet dernier. Négocié entre 2015 et 2016, ce texte autorisait le transfert de données personnelles entre l'UE et les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen. Le juge a déclaré que les programmes de surveillance américains n'étaient pas compatibles avec les principes du RPDG.
Les données de santé des Parlements siphonnées par Google
La deuxième actualité remonte à mercredi dernier, date à laquelle Euractiv a rapporté que le site de gestion des tests de dépistage du SARS-CoV-2 du Parlement européen, géré par EcoCare, une filiale de la société Ecolog des Émirats arabes unis, demande l'autorisation de transférer les données personnelles des personnes qui utilisent la plateforme – des membres du personnel du Parlement européen – à des sociétés tierces. Parmi celles-ci figurent Google et Stripe, spécialiste des outils de paiement en ligne, soutenu par l'investisseur de la Silicon Valley Peter Thiel, président de la société de renseignement Palantir.
La plateforme en question demande aux hauts fonctionnaires d'entrer certaines informations personnelles, y compris des données sensibles sur le fait d'avoir eu des contacts à haut risque ou d'avoir des symptômes du Covid-19. "Lorsque je me suis inscrite au test du Covid-19 pour rentrer de Bruxelles en Allemagne, j'ai été surprise de constater que toutes les données personnelles que j'avais saisies dans le formulaire étaient transférées aux États-Unis", a déclaré Alexandra Geese à Euractiv. L'eurodéputée verte a déposé une plainte auprès du CEPD après avoir lancé l'alerte.
Les institutions doivent cartographier leurs contrats en cours
Dans ce contexte, le Comité de protection des données rappelle qu'un document a récemment été envoyé aux institutions européennes, leur demandant d'effectuer "un exercice de cartographie identifiant les contrats en cours, les procédures de passation de marchés et d'autres types de coopération qui impliquent des transferts de données". Les institutions sont tenues d'informer le CEPD sur ces transferts.
"Il s'agit de transferts qui n'ont pas de base juridique, de transferts qui sont basés sur des dérogations et de transferts à des entités privées vers les États-Unis présentant des risques élevés pour les personnes concernées", précise le CEPD.
Quid des entreprises européennes ?
Bien que cette déclaration soit importante, la Cnil européenne ne se prononce toujours pas sur les transferts de données personnelles entre les entreprises ayant un siège dans l'UE et celles situées aux Etats-Unis. Les experts ont des avis divergents sur cette question et attendent une position claire. Certains affirment que les transferts sont toujours possibles en vertu du mécanisme des clauses contractuelles types, ces modèles de contrats de transfert de données personnelles adoptés par la Commission européenne et signés par les parties participant au transfert.
D'autres estiment, au contraire, que tout transfert est illégal en raison du Foreign Intelligence Surveillance Act (FISA) dont les principes violent le RGPD. Cette loi autorise expressément la National Security Agency (NSA) à récupérer les données de personnes étrangères si elles sont stockées sur des serveurs américains. C'est l'argument opposé par la Data Protection Commission, l'équivalent de la Cnil irlandaise, à Facebook pour lui demander d'arrêter de transférer des données personnelles aux Etats-Unis.
SUR LE MÊME SUJET
La Cnil européenne exhorte les institutions à ne plus transférer de données vers les Etats-Unis
Tous les champs sont obligatoires
0Commentaire
Réagir
