Transfert de données hors UE : ce qu’il faut retenir des recommandations de la Cnil Européenne
30 novembre 2020.
Le Privacy Shield a été invalidé le 16 juillet dernier par la CJUE, en particulier car les agences américaines ont le droit d’accéder à toutes données traitées par une société américaine ou sous contrôle d’une société (notamment grâce au « Foreign Intelligence Surveillance Act ») et ce, sans recours juridictionnel pour les personnes concernées.
Depuis, en Europe, toutes les organisations et entreprises qui traitent des données personnelles relevant du RGPD cherchent un moyen de continuer à opérer leurs activités en toute légalité, notamment s’agissant d’activités exploitées via le cloud, de l’utilisation de solution SaaS ou d’outils opérés par des sociétés américaines.
L’EDPB (Comité européen de la protection des données) a adopté des recommandations le 10 novembre pour aider les organisations à garantir que le transfert des données personnelles conserve le niveau de protection « adéquat » exigé par le RGPD.
En résumé, vous pouvez mettre en place des “mesures complémentaires”.
6 étapes à retenir :
- Identifier vos transferts : vous devez connaitre les lieux de transferts des données que vous traitez
- Identifier et évaluer si les outils de transfert que vous utilisez (voir l’article 46 du RGPD)
- Evaluer si les outils de transfert que vous utilisez (voir point 2) sont efficaces : vérifier si les pratiques ou la loi du pays d’importation des données permet de respecter le RGPD
- Si le pays d’importation ne permet pas un niveau de garantie « adéquat », alors il faut identifier et adopter les mesures complémentaires pertinentes pour apporter le niveau de protection des données conforme au RGPD. Le chiffrement, la pseudonymisation figurent parmi les mesures complémentaires possibles. Voir l’annexe des recommandations de l’EDPB, elle donne des cas d’usages concrets.
- Etablir les procédures requises par les mesures complémentaires, selon l’outil de transfert de l’article 46 du RGPD qui sera utilisé.
- Être proactif et ré-évaluer régulièrement le niveau de protection mis en place pour les données transférées hors UE pour surveiller les modifications possibles.
Les « clauses contractuelles type », un des mécanismes qui pourrait garantir la légalité des transferts hors UE :
La commission Européenne ouvre aux commentaires son projet de mise à jour des clauses contractuelles type jusqu’au 10 décembre prochain.
Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats
Vous vous interrogez sur les solutions à mettre en place pour vous adapter à la suppression du Privacy Shield ?
Vous vous demandez comment continuer à utiliser les services cloud de vos prestataires ou encore les logiciels de grands éditeurs US pour vos opérations marketing ? tels que Google Analytics, Facebook…
Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions.
Pour aller plus loin :
- Invalidation du Privacy Shield : Quelles solutions pour le transfert de données aux Etats-Unis ?
- Cookies : Décryptage des nouvelles lignes directrices de la CNIL
- La notion de responsable du traitement et celle de sous-traitant : les éclaircissements tant attendus du CEPD sont arrivés !
- Et si le RGPD était un outil de bienveillance ?
- DPA & RGPD : Comment rédiger et négocier son DPA ?