RGPD : tout n'est pas clair pour les régulateurs des marchés financiers

Une coalition internationale d’autorités de régulation des marchés financiers réclame aux pouvoirs publics européens des clarifications sur le RGPD.

Pourra-t-on continuer, sous l’ère RGPD, à invoquer l’intérêt public pour effectuer des transferts de données à l’international ?

Voilà plusieurs années que les autorités de régulation des marchés financiers se posent cette question*.

Le texte entré en application (c’était le 25 mai dernier), elles accentuent la pression sur les pouvoirs publics européens.

Leurs craintes, communiquées notamment au comité européen de la protection des données (EDBP), portent sur la notion d’intérêt public.

Les organes tels que la Securities and Exchange Commission américaine et la Financial Conduct Authority britannique s’en prévalent historiquement pour partager des informations dans le cadre d’enquêtes sur des fraudes et des manipulations.

Ils craignent, tout comme leurs homologues au Japon ou encore à Hong Kong, que le RGPD restreigne leur marge de manœuvre en laissant trop de place à « l’interprétation ».

La piste d’un « accord administratif »

Dans leur viseur se trouvent plus particulièrement les articles 45 et 49, lus en combinaison.

Le premier pose les conditions dans lesquelles peuvent être effectués des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale.

Idéalement, la Commission européenne aura reconnu, par le biais d’une décision d’adéquation telle que le Privacy Shield pour les États-Unis, que le pays ou l’organisation en question assure un niveau de protection satisfaisant.

L’article 49 pose des « dérogations pour des situations particulières ». Un transfert peut notamment avoir lieu s’il est « nécessaire pour des motifs importants d’intérêt public ».

L’intérêt public en question « est reconnu par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ».

Dans un contexte de multiplication des enquêtes autour des crypto-actifs, les régulateurs des marchés financiers ont sollicité, auprès de l’EDBP, la signature d’un « accord administratif » qui clarifie la notion d’intérêt public. Et qui les exempte par la même occasion d’avoir à transposer strictement les dispositions du RGPD.

L’Union européenne hésite, d’après Reuters, à s’engager sur cette voie, de peur d’une exploitation illégitime dudit accord, esquissé par l’IOSCO (International Organization of Securities Commission).

L’intérêt public fait l’objet de plusieurs autres articles dans le RGPD. Il dispense par exemple, sous certaines conditions, d’appliquer le droit à l’effacement et à la portabilité des données. Il rend par ailleurs facultative l’exigence d’une consultation des autorités de contrôle préalable à des traitements susceptibles de présenter des risques élevés.

* La question a été abordée à de nombreuses reprises depuis le début de l’année. Entre autres en avril lors de réunions avec le FMI et plus récemment à Bruxelles.

Crédit photo : Roberto_Ventre via Visualhunt / CC BY-SA

RGPD : tout n’est pas clair pour les régulateurs des marchés financiers

La piste d’un « accord administratif »

En quoi les fintechs sont bénéfiques aux TPE / PME ?

À Bruxelles, les banques brandissent l’épouvantail des GAFA

Fintech : Square s’offre Weebly pour accélérer son expansion internationale

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu