Connect with us

Technologie

L’OIC mène une consultation sur un nouvel accord international de transfert de données

Published

on


Le Bureau du commissaire à l’information du Royaume-Uni (ICO) a lancé une consultation publique sur son projet d’accord international de transfert de données (IDTA) et les orientations qui l’accompagnent, qui visent à aider les organisations à protéger les données personnelles des personnes lorsqu’elles les envoient à l’étranger.

Le projet d’ITAD, publié le 11 août 2021 en même temps que l’annonce de la consultation, vise à remplacer les clauses contractuelles types (CSC) en tant que méthode de sauvegarde des données lorsqu’elles sont transférées au niveau international.

« Nous reconnaissons l’importance des flux internationaux de données pour l’économie numérique du Royaume-Uni et nous nous engageons à maintenir des normes élevées de protection des données pour les informations personnelles des personnes lorsqu’elles sont transférées en dehors du Royaume-Uni », a déclaré l’OIC.

« Notre IDTA et les documents associés font également partie d’un ensemble plus large de mesures britanniques visant à faciliter les transferts internationaux, notamment en soutenant de manière indépendante l’approche du gouvernement en matière d’évaluation de l’adéquation des pays tiers. Nous visons à fournir une plus grande certitude réglementaire et à aider les organisations à se conformer à la loi.

L’OIC a déclaré que la consultation serait divisée en trois sections: propositions et plans de mise à jour des orientations sur les transferts internationaux; l’évaluation des risques liés au transfert; et l’IDTA.

« Nous demandons également des avis sur les droits à la vie privée pertinents, les considérations juridiques, économiques ou politiques et les implications », a-t-il déclaré. « Vos réponses nous aideront à comprendre l’impact pratique des approches que nous proposons sur vos organisations. »

L’OIC a ajouté qu’elle solliciterait les contributions d’un éventail de parties intéressées, y compris les praticiens de la protection des données, les professionnels du droit, les sociétés multinationales et les groupes de la société civile.

« Les contributions à ce stade précoce peuvent faire une différence significative, car nous utiliserons les réponses que nous recevons pour éclairer notre travail dans l’élaboration des documents finaux », a-t-il déclaré. « Pour répondre à cette consultation, veuillez télécharger et remplir le document de consultation et le document de questions avant 17 h le jeudi 7 octobre 2021. »

L’ICO a initialement annoncé son intention de créer un remplacement pour les CSC en mai 2021 à la suite du départ du Royaume-Uni de l’Union européenne (UE), qui a elle-même publié des CSC mises à jour le 4 juin.

Les CSC révisées de l’UE comprennent des protections plus solides pour garantir que les données à caractère personnel transférées à l’étranger ne sont pas divulguées à des gouvernements et à des services de renseignement étrangers, intégrant spécifiquement les exigences du règlement général sur la protection des données.

La révision des CSC a été motivée par l’arrêt Schrems II en juillet 2020, lorsque la Cour de justice de l’Union européenne (CJUE) a annulé l’accord de partage de données UE-États-Unis Privacy Shield au motif que les lois américaines sur la surveillance signifiaient que les États-Unis n’offrait pas de protections de la vie privée équivalentes à celles prévues par le droit de l’UE.

Plus précisément, la Cour a estimé que les lois américaines n’étaient pas proportionnées et allaient au-delà de ce qui était strictement nécessaire.

L’arrêt, familièrement connu sous le nom de Schrems II du nom de l’avocat autrichien qui a porté l’affaire devant la CJE, a également jeté le doute sur la légalité de l’utilisation des CSC comme base pour les transferts internationaux de données, concluant que, bien que ceux-ci soient juridiquement valides, les entreprises avaient toujours la responsabilité de veiller à ce que ceux avec qui elles partageaient les données bénéficient de protections de la vie privée équivalentes à celles contenues dans le droit de l’UE.

À la suite de cette décision, la législation britannique sur la protection des données exige désormais d’effectuer une évaluation des risques avant de transférer des données à l’échelle internationale.

« L’IDTA ne peut pas fournir de garanties pour tous les risques dans tous les comtés », a déclaré l’OIC dans ses directives TRA. « Par conséquent, avant de pouvoir compter sur un IDTA, vous devez également effectuer une évaluation des risques de transfert [TRA] qui tient compte de toutes les circonstances du transfert restreint et vérifie si l’IDTA fournit des garanties appropriées pour votre transfert restreint.

Dans son projet d’IDTA, l’OIC a déclaré que la TRA vérifie que les lois et pratiques locales ne l’emportent pas sur les protections de l’IDTA. « Cela garantit que les protections pertinentes pour les personnes concernées des données transférées sont suffisamment similaires aux protections du Royaume-Uni », a-t-il déclaré. « Les orientations de l’OIC sur les EMR peuvent évoluer au fil du temps en ce qui concerne les changements apportés à la législation, à la jurisprudence et à l’examen pratique du fonctionnement des lignes directrices. »

Les projets de documents IDTA et TRA contiennent des modèles et des conseils que les organisations peuvent utiliser pour mener à bien ces processus et protéger les données personnelles des personnes, mais ceux-ci pourraient changer à la suite des commentaires reçus lors de la consultation.

Les questions sur ces documents, ainsi que l’interprétation par l’OIC de divers aspects de la loi sur la protection des données, sont incluses sur la page Web d’annonce pour que les parties intéressées y répondent. « Nous publierons toutes les réponses que nous recevons à moins que vous ne request autrement », a déclaré l’OIC.

En septembre 2020, une enquête menée par des experts juridiques chez Fieldfisher a révélé que plus de la moitié des entreprises n’avaient pas l’intention de cesser ou de réduire leur dépendance à l’égard des processeurs de données basés aux États-Unis ou dans l’Espace économique non européen (EEE), malgré l’arrêt Schrems II.

Par exemple, alors qu’environ 75 % des entreprises ayant répondu ont indiqué que la moitié ou plus de leurs sous-traitants de données étaient basés aux États-Unis ou dans des territoires non membres de l’EEE, seulement 12 % ont déclaré qu’elles réduiraient leur dépendance à l’égard des sous-traitants basés aux États-Unis ou non dans l’EEE, et seulement 5 % ont déclaré qu’elles avaient l’intention d’arrêter complètement leurs exportations de données.

En réponse à des questions sur la question de savoir si une évaluation des risques serait effectuée pour chaque transfert, seulement 15 % ont répondu oui, et 40 % ont indiqué qu’ils ne le feraient que pour les « transferts plus importants ou plus sensibles ».

Lorsqu’on leur a demandé ce qu’ils feraient si l’évaluation d’impact déterminait qu’il y avait un risque dans le transfert, seulement 4 % des répondants ont répondu qu’ils l’interdiraient complètement.

La direction de l’ICO a également été remise en question ces derniers mois. En avril 2021, un groupe multipartite de députés a averti que le gouvernement cherchait un nouveau commissaire à l’information pour soutenir son propre programme politique, plutôt qu’un organisme de réglementation qui appliquerait les lois sur la protection des données telles qu’elles ont été rédigées par le Parlement.

Les députés ont déclaré qu’«aucune mention n’est faite de l’expérience en matière de réglementation de la protection des données » dans la description de poste publiée le 28 février 2021, qui a plutôt annoncé la nomination d’un nouveau commissaire doté d’un « sens aigu des affaires et des affaires », ainsi que d’une expérience de « l’utilisation des données pour stimuler l’innovation et la croissance ».

Les députés ont écrit dans une lettre ouverte au secrétaire au numérique Oliver Dowden: « On a eu l’impression que le DCMS cherche un commissaire à l’information qui travaillera à supprimer les protections dans les lois actuelles, à réduire les risques de mesures d’application de la loi et, plutôt que de garantir les droits des individus, cherchera à « équilibrer » les droits avec des préoccupations telles que la « certitude réglementaire » et la croissance économique. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance