Suite à l’arrêt de la Cour de justice de l’Union européenne (CJUE) dans le cadre de l’affaire « Schrems II » ayant invalidé le Privacy Shield, le Comité européen de protection des données (CEPD) a délivré ses premiers éléments de réponse aux questions les plus fréquemment posées.
La CNIL, dans une publication du 31 juillet 2020, a traduit la FAQ produite par le CEPD au sujet de l’invalidation du Privacy Shield par la CJUE.
Il y est indiqué les éléments suivants :
- Le CEPD a confirmé qu’il n’y aurait pas délai de grâce pendant lequel les entités pourraient continuer à transférer des données aux Etats-Unis sans évaluer la base légale du transfert.
- Le recours aux clauses contractuelles types (CCT), de même qu’aux règles d’entreprise contraignantes (BCR), nécessite, selon le CEPD, de procéder à une évaluation prenant en compte les circonstances du transfert et les mesures supplémentaires que l’exportateur de données pourrait mettre en place. L’ensemble formé par ces mesures supplémentaires et les CCT (ou les BCR), après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Le CEPD analyse actuellement l’arrêt de la Cour afin de déterminer le type de mesures complémentaires qui pourraient être fournies en plus des CCT ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers dans lesquels les CCT ou les BCR ne fourniront pas à elles-seules le niveau de garanties suffisant.
S’il résulte de l’évaluation diligentée par l’exportateur, que le respect des garanties appropriées ne serait pas assuré, l’exportateur sera tenu de suspendre ou de mettre fin au transfert de données. S’il a l’intention de continuer à transférer des données en dépit de cette conclusion, l’exportateur devra « notifier l’autorité de contrôle compétente ».
- S’agissant des dérogations prévues à l’article 49 du RGPD (consentement de la personne concernée, transfert nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, etc.), le CEPD a indiqué qu’un transfert sur leur base est possible, dès lors que les conditions énoncées dans cet article s’appliquent. Le CEPD a également rappelé le principe selon lequel ces dérogations ne doivent pas devenir « la règle » dans la pratique, mais doivent être limitées à des situation spécifiques, chaque exportateur devant s’assurer que le transfert réponde au critère de stricte nécessité.
- Le CEPD a abordé, dans cette FAQ, le cas des responsables du traitement ayant conclu un contrat avec un sous-traitant prévoyant la possibilité d’un transfert de données vers les Etats-Unis ou vers un autre pays tiers.
Selon le CEPD, si les données peuvent être, en application de ce contrat, ainsi transférées aux États-Unis et qu’aucune mesure supplémentaire ne peut être prévue pour garantir que la législation américaine n’affecte pas le niveau de protection essentiellement équivalent à celui offert dans l’EEE par les outils de transfert, ni qu’aucune dérogation au titre de l’article 49 du RGPD ne s’applique, « la seule solution est de négocier un avenant ou une clause supplémentaire au contrat pour interdire les transferts vers les États-Unis ». Les données devront alors être stockées et administrées ailleurs qu’aux États-Unis.
Si les données peuvent être transférées vers un autre pays tiers, le responsable du traitement devra, selon le CEPD, vérifier la législation de ce pays tiers pour s’assurer qu’elle est conforme aux exigences de la CJUE et au niveau de protection des données personnelles attendu. Si aucune base légale de transfert vers un pays tiers ne peut être trouvée, les données personnelles ne devront pas être transférées en dehors du territoire de l’EEE et toutes les activités de traitement devront avoir lieu dans l’EEE.
Lien vers la publication de la CNIL : Ici
Lien vers le document original du CEPD : Ici