Pourra-t-on continuer, sous l’ère RGPD, à invoquer l’intérêt public pour effectuer des transferts de données à l’international ?
Voilà plusieurs années que les autorités de régulation des marchés financiers se posent cette question*.
Le texte entré en application (c’était le 25 mai dernier), elles accentuent la pression sur les pouvoirs publics européens.
Leurs craintes, communiquées notamment au comité européen de la protection des données (EDBP), portent sur la notion d’intérêt public.
Les organes tels que la Securities and Exchange Commission américaine et la Financial Conduct Authority britannique s’en prévalent historiquement pour partager des informations dans le cadre d’enquêtes sur des fraudes et des manipulations.
Ils craignent, tout comme leurs homologues au Japon ou encore à Hong Kong, que le RGPD restreigne leur marge de manœuvre en laissant trop de place à « l’interprétation ».
Dans leur viseur se trouvent plus particulièrement les articles 45 et 49, lus en combinaison.
Le premier pose les conditions dans lesquelles peuvent être effectués des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale.
Idéalement, la Commission européenne aura reconnu, par le biais d’une décision d’adéquation telle que le Privacy Shield pour les États-Unis, que le pays ou l’organisation en question assure un niveau de protection satisfaisant.
L’article 49 pose des « dérogations pour des situations particulières ». Un transfert peut notamment avoir lieu s’il est « nécessaire pour des motifs importants d’intérêt public ».
L’intérêt public en question « est reconnu par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ».
Dans un contexte de multiplication des enquêtes autour des crypto-actifs, les régulateurs des marchés financiers ont sollicité, auprès de l’EDBP, la signature d’un « accord administratif » qui clarifie la notion d’intérêt public. Et qui les exempte par la même occasion d’avoir à transposer strictement les dispositions du RGPD.
L’Union européenne hésite, d’après Reuters, à s’engager sur cette voie, de peur d’une exploitation illégitime dudit accord, esquissé par l’IOSCO (International Organization of Securities Commission).
L’intérêt public fait l’objet de plusieurs autres articles dans le RGPD. Il dispense par exemple, sous certaines conditions, d’appliquer le droit à l’effacement et à la portabilité des données. Il rend par ailleurs facultative l’exigence d’une consultation des autorités de contrôle préalable à des traitements susceptibles de présenter des risques élevés.
* La question a été abordée à de nombreuses reprises depuis le début de l’année. Entre autres en avril lors de réunions avec le FMI et plus récemment à Bruxelles.
Crédit photo : Roberto_Ventre via Visualhunt / CC BY-SA
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…