Pour gérer vos consentements :

RGPD : tout n’est pas clair pour les régulateurs des marchés financiers

Pourra-t-on continuer, sous l’ère RGPD, à invoquer l’intérêt public pour effectuer des transferts de données à l’international ?

Voilà plusieurs années que les autorités de régulation des marchés financiers se posent cette question*.

Le texte entré en application (c’était le 25 mai dernier), elles accentuent la pression sur les pouvoirs publics européens.

Leurs craintes, communiquées notamment au comité européen de la protection des données (EDBP), portent sur la notion d’intérêt public.

Les organes tels que la Securities and Exchange Commission américaine et la Financial Conduct Authority britannique s’en prévalent historiquement pour partager des informations dans le cadre d’enquêtes sur des fraudes et des manipulations.

Ils craignent, tout comme leurs homologues au Japon ou encore à Hong Kong, que le RGPD restreigne leur marge de manœuvre en laissant trop de place à « l’interprétation ».

La piste d’un « accord administratif »

Dans leur viseur se trouvent plus particulièrement les articles 45 et 49, lus en combinaison.

Le premier pose les conditions dans lesquelles peuvent être effectués des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale.

Idéalement, la Commission européenne aura reconnu, par le biais d’une décision d’adéquation telle que le Privacy Shield pour les États-Unis, que le pays ou l’organisation en question assure un niveau de protection satisfaisant.

L’article 49 pose des « dérogations pour des situations particulières ». Un transfert peut notamment avoir lieu s’il est « nécessaire pour des motifs importants d’intérêt public ».

L’intérêt public en question « est reconnu par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ».

Dans un contexte de multiplication des enquêtes autour des crypto-actifs, les régulateurs des marchés financiers ont sollicité, auprès de l’EDBP, la signature d’un « accord administratif » qui clarifie la notion d’intérêt public. Et qui les exempte par la même occasion d’avoir à transposer strictement les dispositions du RGPD.

L’Union européenne hésite, d’après Reuters, à s’engager sur cette voie, de peur d’une exploitation illégitime dudit accord, esquissé par l’IOSCO (International Organization of Securities Commission).

L’intérêt public fait l’objet de plusieurs autres articles dans le RGPD. Il dispense par exemple, sous certaines conditions, d’appliquer le droit à l’effacement et à la portabilité des données. Il rend par ailleurs facultative l’exigence d’une consultation des autorités de contrôle préalable à des traitements susceptibles de présenter des risques élevés.

* La question a été abordée à de nombreuses reprises depuis le début de l’année. Entre autres en avril lors de réunions avec le FMI et plus récemment à Bruxelles.

Crédit photo : Roberto_Ventre via Visualhunt / CC BY-SA

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago