Après que la Cour de justice de l’UE a rejeté un cadre antérieur pour les transferts de données avec les États-Unis, les autorités de protection des données devraient établir des règles claires en accord avec les conclusions de la Cour, selon les députés.
Dans un projet de rapport adopté mardi par 53 voix pour contre et 12 abstentions, la commission des libertés civiles exhorte la Commission à publier des lignes directrices détaillées sur la conformité des transferts de données aux récentes décisions de la Cour de justice de l’UE. Les députés soulignent que la Commission ne devrait pas conclure de nouvelles décisions d’adéquation avec des pays tiers sans tenir compte des implications des décisions des tribunaux de l’UE. Ils demandent instamment à la Commission d’évaluer l’impact des décisions de la Cour sur les transferts actuels de données vers les États-Unis.
Le rôle des autorités de protection des données
Les membres de la commission des libertés civiles se disent déçus par la Commission irlandaise de protection des données (DPC) et sa décision d’engager le procès Schrems au lieu de déclencher de manière indépendante des procédures d’exécution dans le règlement général de l’UE sur la protection des données (GDPR), tout en critiquant les longs délais de traitement du DPC. Les députés demandent à la Commission de lancer des procédures d’infraction contre l’Irlande pour ne pas avoir appliqué efficacement le GDPR.
Plus généralement, le rapport critique l’application du GDPR par les autorités nationales, qui, selon les députés, ont négligé les transferts internationaux de données et n’ont pas pris de décisions correctives significatives. Le rapport adopté aujourd’hui exhorte la Commission et l’Office européen de protection des données (EDPB) à collaborer sur les lignes directrices pour une boîte à outils de mesures de renforcement de la vie privée, tout en examinant les récentes décisions de la CJUE. En outre, la Commission devrait intégrer les commentaires de l’EDPB (par exemple son avis conjoint 2/2021)dans ses propositions.
Dans sa décision « Schrems II » du 16 juillet 2020,la Cour de justice de l’Union européenne a estimé que le cadre actuel pour les transferts de données UE-États-Unis (« Privacy Shield ») ne protégeait pas suffisamment les données personnelles des utilisateurs de l’UE, comme l’exige le Règlement général sur la protection des données (GDPR). La Cour a donc infirmé la décision antérieure de la Commission d’examiner la protection des données des États-Unis comme équivalente à celle de l’UE.
Le tribunal a accepté l’utilisation de clauses contractuelles standard (« CSC ») pour faciliter les transferts, à la fois que les entités basées dans l’UE vérifient le niveau de protection des données du pays bénéficiaire avant le transfert. Selon la commission des libertés civiles, les entreprises pourraient avoir du mal à évaluer les régimes des pays tiers en raison d’un manque de ressources, ce qui signifie que des lignes directrices claires de l’UE sur les transferts de données conformes au GDPR sont nécessaires pour assurer la certitude et la stabilité.
Prochaines étapes
Le projet de résolution non législatif sera débattu lors d’une prochaine session plénière et mis aux voix par l’ensemble de la Chambre.
Plus d’informations disponibles ici.