Recevez chaque jour toute l'actualité du numérique

x

Les conditions d'accès de la Corée du Sud aux données des Européens inquiètent

La Commission européenne souhaite simplifier les transferts de données personnelles de l'Europe vers la Corée du Sud grâce à l'adoption d'une décision d'adéquation, en cours de rédaction. L'organe représentant les Cnil de chaque pays a rendu un avis sur ce projet dans lequel il estime que des précisions doivent être apportées sur les conditions d'accès par le gouvernement sud-coréen aux données des Européens.
Twitter Facebook Linkedin Flipboard Email
×

Les conditions d'accès de la Corée du Sud aux données des Européens inquiètent
Les conditions d'accès de la Corée du Sud aux données des Européens inquiètent © Daniel Bernard/Unsplash

L'European Data Protection Board (EDPB), un organe qui rassemble chaque autorité nationale de protection des données, a rendu le 24 septembre son avis sur le projet d'accord permettant de faciliter les flux de données personnelles de l'Union européenne vers la Corée du Sud.

Une loi globalement conforme
L'avis est plutôt positif, l'EDPB reconnaissant que la législation sud-coréenne est robuste et respecte les valeurs prônées par le Règlement général sur la protection des données (RGPD). Cependant, les conditions d'accès aux données par les autorités locales nécessitent "un examen plus approfondi et des éclaircissements", indique l'autorité européenne.

L'équivalent sud-coréen du RGDP, le Personal Information Protection Act (PIPA), ne prescrit aucune obligation d'informer les individus de l'accès et la collecte par le gouvernement des données de communications entre ressortissants étrangers (non coréens). A défaut d'une déclaration préalable, l'EDPB note l'importance d'une notification ultérieure par les pouvoirs publics. En effet, les personnes concernées doivent pouvoir faire valoir leurs droits d'accès, de rectification et d'accès prévus par le RGPD.

La nécessité d'un contrôle indépendant à chaque étape
Le PIPA ne prévoit pas non plus de régime d'autorisation par une autorité indépendante pour la collecte par le gouvernement d'informations de communication entre des ressortissants étrangers. A ce titre, l'EDPB cite la Cour de justice de l'Union européenne qui a déclaré qu'un "contrôle indépendant à toutes les étapes du processus d'accès du gouvernement à des fins d'application de la loi et de sécurité nationale est une garantie importante contre les mesures de surveillance arbitraires". 

Pour l'EDPB, l'absence d'autorisation indépendante ne peut pas être considérée comme une véritable lacune du droit coréen à condition qu'un recours effectif soit garanti pour les ressortissants européens. 

Autre sujet d'inquiétude : les transferts de données ultérieures à des pays tiers par la Corée du Sud. Aucun nom de pays n'est cité mais les liens entre la Corée du Sud et les Etats-Unis pourraient constituer une source d'inquiétudes. L'EDPB rappelle que les personnes doivent en être informées. Dans le cas contraire, le consentement ne saurait être valide puisque les personnes n'ont pas reçu toutes les informations nécessaires, indique l'autorité dans son avis. Là encore, elle demande des informations complémentaires à la Commission.

Fluidifier les échanges de données vers la Corée du Sud
Les entreprises opérant au sein de l'Union européenne peuvent transférer des données personnelles en dehors de ce territoire à condition de respecter certaines conditions. L'adoption d'une décision d'adéquation fait partie des règles à respecter.

Prise par la Commission européenne, cette décision permet d'établir qu'un pays tiers à l'UE offre un niveau de protection des données personnelles comparables à celui garanti en Europe. Grâce à cet accord, les données peuvent circuler librement entre les 28 Etats membres et le pays tiers concerné, ici la Corée du Sud, sans que des autorisations ou des garanties supplémentaires soient nécessaires.

L'adoption d'un tel accord emporte des conséquences économiques importantes puisqu'il permet de soutenir les opérateurs économiques transférant des données personnelles dans le cadre de leurs activités commerciales et de faciliter la coopération en matière de réglementation. A noter que la Corée du Sud abrite de grandes entreprises telles que Samsung, LGHyundai Motor Group...

Les entreprises européennes pourront également bénéficier d'un flux de données sans entrave depuis et vers la Corée du Sud, ainsi qu'un accès privilégié à ses 52 millions de consommateurs, friands de services numériques.

Les Etats membres doivent donner leur aval
Avant de devenir définitif, l'accord doit être avalisé par un comité de représentants des Etats membres de l'UE. Cette décision n'est pas limitée dans le temps mais fait l'objet d'un suivi régulier par la Commission européenne. 

Bruxelles a déjà adopté des décisions d'adéquation concernant les pays et territoires suivants : Andorre, Argentine, Canada, Îles Féroé, Guernesey, Israël, Île de Man, Jersey, Nouvelle-Zélande, Suisse, l'Uruguay et le Japon. Les Etats-Unis sont récemment sortis de cette liste depuis l'invalidation du Privacy Shield en juillet 2020 par la Cour de justice de l'Union européenne.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.