Les députés demandent à la Commission européenne de réviser les décisions d’adéquation du Royaume-Uni
5 min read
Les députés ont exhorté la Commission européenne (CE) à réviser son projet de décision afin de adéquation des données au Royaume-Uni afin de garantir aux citoyens de l’Union européenne (UE) un plus grand droit à la vie privée.
Les membres du Parlement européen ont voté la semaine dernière pour demander à la CE de mettre à jour ses décisions sur le Royaume-Uni à la suite des préoccupations soulevées par les régulateurs européens des données.
Le vote suit avis du comité européen de la protection des données qui appellent le Royaume-Uni à clarifier sa position sur les lois qui permettent aux agences gouvernementales de collecter des données en masse, telles que l’utilisation du téléphone et d’Internet.
le Résolution des députés fait valoir que si les décisions de la CE sont mises en œuvre sans autre changement, les autorités nationales de protection des données devraient suspendre le transfert de données à caractère personnel vers le Royaume-Uni, où il existe un risque d’accès aveugle aux données à caractère personnel.
Les députés européens ont fait part de leurs inquiétudes concernant les exemptions des réglementations britanniques sur la protection des données en matière de sécurité nationale et d’immigration.
La loi britannique permet aux agences gouvernementales d’accéder et de conserver des données en vrac sur des personnes qui ne sont pas suspectes – une pratique qui est incompatible avec la Règlement général sur la protection des données (RGPD).
Les députés affirment également que les dispositions sur les métadonnées ne reflètent pas la nature sensible des données et sont donc trompeuses.
La résolution note que la Cour européenne des droits de l’homme a confirmé en septembre 2018 que les programmes britanniques d’interception et de conservation de données de masse étaient «illégaux et incompatibles avec les conditions nécessaires à une société démocratique».
L’accord de partage de données entre le Royaume-Uni et les États-Unis signifie que les données des citoyens de l’UE peuvent être partagées de l’autre côté de l’Atlantique, malgré les décisions de la Cour de justice européenne qui ont jugé les pratiques américaines d’accès et de rétention de données en masse incompatibles avec le RGPD.
Les eurodéputés expriment leur profonde inquiétude que la protection des informations entre le GCHQ et la National Security Agency des États-Unis «Ne protégerait pas les citoyens de l’UE ou les résidents dont les données pourraient faire l’objet d’un transfert et d’un partage ultérieurs avec la NSA» (US National Security Agency).
La demande du Royaume-Uni d’adhérer au Partenariat transpacifique global et progressif (PTPGP) – un accord commercial entre 11 pays, dont l’Australie, la Nouvelle-Zélande, le Mexique et le Pérou – pourrait également avoir des implications pour le flux de données vers les pays qui n’ont pas de décision d’adéquation. de l’UE.
Au cours d’un débat, des groupes politiques ont déclaré qu’il était nécessaire de renforcer les droits sur les données en Europe et ont mis en garde contre les dangers d’une surveillance de masse.
D’autres ont fait valoir que le Royaume-Uni avait un niveau élevé de protection des données et que les décisions d’adéquation aident les entreprises et facilitent la prévention de la criminalité transfrontalière.
Les députés ont voté pour la résolution 344 voix pour contre 311 contre, appelant la Commission européenne à modifier son projet de décision sur la question de savoir si la protection des données du Royaume-Uni est adéquate ou non pour recevoir des données de l’UE.
Eleonor Duhs, directeur du groupe de droit de la vie privée et de l’information du cabinet d’avocats Fieldfisher, a déclaré que si la résolution soulevait des questions sur l’adéquation du Royaume-Uni, un État membre sortant, elle «place la barre pour une adéquation incroyablement élevée».
La Commission européenne examine les décisions d’adéquation prises alors que la législation antérieure au RGPD, la directive de 1995 sur la protection des données, était en vigueur.
Elle pourrait rencontrer des problèmes importants pour permettre à ces décisions d’adéquation de rester en vigueur, a-t-elle déclaré.
Si l’adéquation n’était plus une option viable, les organisations devraient transférer des données en dehors de l’UE en utilisant clauses contractuelles types (CCS), un autre mécanisme juridique.
«Celles-ci sont coûteuses et prennent du temps à mettre en place. Cela, à son tour, crée des obstacles importants au transfert de données hors de l’UE à un moment où les entreprises peuvent difficilement se le permettre », a déclaré Duhs.
La CE a publié deux projets de décisions sur l’adéquation des données, l’un dans le cadre du RGPD et un autre en vertu de la directive sur l’application de la loi (LED), pour permettre le transfert continu des données personnelles vers le Royaume-Uni.
Selon les décisions, la CE considère que les lois britanniques sur la protection des données «garantissent un niveau de protection des données personnelles… qui est essentiellement équivalent» à la fois dans le RGPD et le LED, et que les «mécanismes de surveillance et voies de recours» sont suffisamment solides pour permettre aux personnes concernées d’exercer leurs droits et de sanctionner les infractions.
La Commission européenne devrait publier une décision d’adéquation sur la protection des données au Royaume-Uni et les transferts de données entre l’UE et le Royaume-Uni plus tard cette année.
