Pourra-t-on continuer, sous l’ère RGPD, à invoquer l’intérêt public pour effectuer des transferts de données à l’international ?
Voilà plusieurs années que les autorités de régulation des marchés financiers se posent cette question*.
Le texte entré en application (c’était le 25 mai dernier), elles accentuent la pression sur les pouvoirs publics européens.
Leurs craintes, communiquées notamment au comité européen de la protection des données (EDBP), portent sur la notion d’intérêt public.
Les organes tels que la Securities and Exchange Commission américaine et la Financial Conduct Authority britannique s’en prévalent historiquement pour partager des informations dans le cadre d’enquêtes sur des fraudes et des manipulations.
Ils craignent, tout comme leurs homologues au Japon ou encore à Hong Kong, que le RGPD restreigne leur marge de manœuvre en laissant trop de place à « l’interprétation ».
Dans leur viseur se trouvent plus particulièrement les articles 45 et 49, lus en combinaison.
Le premier pose les conditions dans lesquelles peuvent être effectués des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale.
Idéalement, la Commission européenne aura reconnu, par le biais d’une décision d’adéquation telle que le Privacy Shield pour les États-Unis, que le pays ou l’organisation en question assure un niveau de protection satisfaisant.
L’article 49 pose des « dérogations pour des situations particulières ». Un transfert peut notamment avoir lieu s’il est « nécessaire pour des motifs importants d’intérêt public ».
L’intérêt public en question « est reconnu par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ».
Dans un contexte de multiplication des enquêtes autour des crypto-actifs, les régulateurs des marchés financiers ont sollicité, auprès de l’EDBP, la signature d’un « accord administratif » qui clarifie la notion d’intérêt public. Et qui les exempte par la même occasion d’avoir à transposer strictement les dispositions du RGPD.
L’Union européenne hésite, d’après Reuters, à s’engager sur cette voie, de peur d’une exploitation illégitime dudit accord, esquissé par l’IOSCO (International Organization of Securities Commission).
L’intérêt public fait l’objet de plusieurs autres articles dans le RGPD. Il dispense par exemple, sous certaines conditions, d’appliquer le droit à l’effacement et à la portabilité des données. Il rend par ailleurs facultative l’exigence d’une consultation des autorités de contrôle préalable à des traitements susceptibles de présenter des risques élevés.
* La question a été abordée à de nombreuses reprises depuis le début de l’année. Entre autres en avril lors de réunions avec le FMI et plus récemment à Bruxelles.
Crédit photo : Roberto_Ventre via Visualhunt / CC BY-SA
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…