Mises en garde des autorités européennes concernant les transferts de données avec la Corée du Sud

« Il me semble que la Commission européenne et les autorités coréennes ont encore beaucoup de travail à faire pour aligner le cadre juridique coréen sur le cadre européen », a déclaré l’expert juridique Maciej Jankowski. [Shutterstock]

Lundi 27 septembre, les autorités européennes chargées de la protection des données ont rendu un avis non contraignant sur le degré de conformité de la législation sud-coréenne par rapport aux règles de l’Union européenne en matière de protection de la vie privée.

Le Comité européen de protection des données (CEPD) considère que le pays asiatique est en grande partie aligné sur l’Europe dans son cadre de protection des données, en ce qui concerne les concepts clés, les motifs de traitement licite des données personnelles, et la limitation du traitement des données à la finalité déclarée. La Corée du Sud est également en adéquation avec l’Europe en matière de la qualité des données, de la durée de leur conservation, de transparence et de confidentialité.

« L’avis du CEPD dresse une évaluation globalement positive du régime de protection des données de la Corée du Sud. Il semble probable que la décision d’adéquation sera adoptée. Mais il y a quelques réserves concernant les exemptions relatives à la sécurité nationale et les recours disponibles pour les personnes concernées », a déclaré Robert Bateman, analyste et directeur de recherche chez GRC World Forums.

Le CEPD émet des réserves quant à la législation sud-coréenne sur la protection des données, puisqu’elle n’impose aucune limite à l’accès aux données personnelles par les forces de l’ordre. Le CEPD s’interroge en particulier sur la Notification n° 2021-1, à savoir l’interprétation des lois coréennes sur la protection de la vie privée par les autorités, qui cherche à fournir certaines garanties pour les transferts de données en provenance de l’Espace économique européen.

Charles-Albert Helleputte, responsable des données européennes et de la protection de la vie privée au sein du cabinet d’avocats Steptoe, et Diletta De Cicco, collaboratrice du cabinet d’avocats Steptoe et spécialiste dans la protection de la vie privée, ont averti que la nature contraignante, l’applicabilité et la validité de la notification, en particulier devant les tribunaux coréens, « a le potentiel pour devenir une autre saga dans le domaine du stockage et de la protection des données personnelles, à l’autre bout du monde. »

En revanche, M. Bateman a indiqué que le Comité était rassuré puisque la constitution sud-coréenne offre certaines protections contre un accès illimité aux données personnelles par les forces de l’ordre.

Le CEPD lui-même a souligné certaines lacunes des régimes coréens en matière de protection de la vie privée, en particulier le régime non parallèle pour la pseudonymisation des données, la possibilité limitée de retirer le consentement, l’utilisation du consentement pour les transferts ultérieurs, ainsi que certains problèmes de définition autour des « sous-traitants », et le manque de protection par rapport à la prise de décision automatisée.

Le CEPD a également demandé à la Commission européenne de surveiller toute évolution susceptible d’affecter l’indépendance de l’autorité de contrôle sud-coréenne, notamment en ce qui concerne les ressources humaines et financières mises à sa disposition.

« Il me semble que la Commission européenne et les autorités coréennes ont encore beaucoup de travail à faire pour aligner le cadre juridique coréen sur le cadre européen », a déclaré l’expert juridique Maciej Jankowski, qui estime que la procédure d’adéquation pourrait durer des mois, voire des années.

Pour M. Helleputte et Mme De Cicco de Steptoe, l’avis du CEPD n’a pas répondu aux attentes. « Chargé d’identifier des propositions pour remédier aux déficiences, le CEPD suggère principalement et avant tout de surveiller l’application des règles en Corée », ont déclaré les deux avocats à EURACTIV, suggérant que cela pourrait amener la Cour de justice de l’UE à intervenir de nouveau.

La Commission européenne devrait maintenant demander l’approbation des États membres de l’UE avant de finaliser l’adoption de la décision d’adéquation.

Transferts des données : « les acteurs économiques ont besoin de stabilité », selon des experts

Certains experts appellent à plus de « stabilité » pour que l’économie européenne tire son épingle du jeu et développe une véritable souveraineté numérique.

Subscribe to our newsletters

Subscribe