Dans un communiqué publié le 6 avril dernier, le comité européen de la protection des données a salué l’accord de principe conclu entre la Commission européenne et les Etats-Unis sur un nouveau cadre légal de transfert des données vers le pays outre atlantique.
Cet accord fait suite à de multiples violations commises aux Etats-Unis, aux droits à la protection des données personnelles provenant de l’Europe.
Pour mémoire, la CJUE a, le 16 juillet 2020, rendu un arrêt qui oblige les exportateurs des données de continuer à mettre en œuvre les actions nécessaires afin de s’assurer que le pays de destination des données assure un niveau de protection équivalent à celui imposé par le RGPD.
Malgré l’aboutissement d’un nouvel accord, ces opérateurs n’en restent pas moins soumis aux exigences de la CJUE lors du transfert des données vers un pays tiers, notamment aux Etats-Unis.
En effet, si cet accord engage les autorités aux Etats-Unis d’établir des mesures sans précédent pour assureur la protection des données personnelles en provenance de l’EEE, il ne revêt pourtant qu’une portée politique sans aucune valeur juridique.
Ainsi, le CEPD examinera comment cet accord politique sera traduit en des propositions juridiques concrètes qui matérialisent les exigences de la CJUE d’assurer un niveau de protection des données conforme à celui du RGPD. Il s’agit plus particulièrement d’examiner :
Il convient de rappeler enfin que le RGPD impose à la Commission de solliciter l’avis du CEPD avant d’adopter toute nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données garanti par les Etats-Unis.
Consultez ici la déclaration du CEPD en anglais : Statement 01/2022 on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework
En raison du nombre élevé des plaintes reçues par la CNIL pour violation des données personnelles, la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis de simplifier les procédures permettant la mise en œuvre des mesures correctrices et de sanctions en cas de manquement au RGPD ou à la loi « Informatique et Libertés » du 6 janvier 1978.
L’article 33 a ainsi prévu que la mise en œuvre de ces procédures simplifiées sera régie par un décret en conseil d’Etat. C’est désormais chose faite avec l’entrée en vigueur du décret du 8 avril 2022.
Dans cette perspective, ce décret laisse ouvert le nombre d’échanges et allonge les délais requis pour les produire. Il ouvre également la possibilité à la mise en œuvre d’une procédure orale.
Le nouveau texte définit ensuite les modalités de la procédure simplifiée de sanction et de la procédure d’injonction à produire en cas d’absence de réponse à une mise en demeure devant le président de la formation restreinte.
Le décret autorise enfin à la commission à solliciter le concours de personnes extérieures chargées d’assister le rapporteur dans le cadre de la procédure ordinaire, ou susceptibles d’être désignées rapporteurs dans le cadre de la procédure simplifiée. Cette autorisation est toutefois admise sous réserve d’absence de conflit d’intérêts. Il en est notamment ainsi lorsque les rapporteurs ont un intérêt direct ou indirect dans l’un des organismes mis en cause dans le cadre de la procédure simplifiée.
Il organise la procédure d’échange entre la formation restreinte et les différentes autorités de contrôle lorsqu’il y existe un élément nouveau permettant de dépasser le cadre de la procédure simplifiée pour suivre une procédure ordinaire.
Pour mémoire, les sanctions susceptibles de pouvoir être prononcées dans le cadre d’une procédure simplifiées sont les suivantes :
Consultez ici l’intégralité du document : Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JO 10 avril 2022 ; texte n° 20)
