Ces derniers mois ont été particulièrement chargés pour les professionnels de la protection de la vie privée, et il ne fait aucun doute que le rythme va encore s’intensifier avec la publication, le 11 novembre 2020, des nouvelles recommandations du Comité européen de la protection des données liées à l’arrêt Schrems II. Avec cette évolution majeure, les experts en protection de la vie privée restent prudents. Cet article de blog discute de ces recommandations du CEPD.
Bref résumé des points clés de la décision Schrems II
Deux points importants de la décision Schrems II sont l’invalidation du Privacy Shield et l’obligation principale pour les importateurs et les exportateurs de données de vérifier par une évaluation, avant tout transfert, la législation du pays tiers hors de l’UE vers lequel les données sont transférées.
Ni la cour dans l’affaire Scherms II ni le CEPD dans ses directives ultérieures de juillet n’ont précisé en détail ce que l’évaluation ou les mesures supplémentaires pouvaient impliquer. Avec les recommandations qui viennent d’être publiées, des informations plus précises sur ce que ces évaluations impliquent et ce qui doit être pris en compte ont été révélés.
Quelles sont les recommandations de mesures supplémentaires pour Schrems II ?
La première série de recommandations couvre l’évaluation elle-même et les mesures supplémentaires que les exportateurs de données peuvent avoir besoin d’adopter pour garantir un niveau de protection des données à caractère personnel équivalent à celui garanti par l’UE. Les éléments clés de ces recommandations consistent en six étapes que les exportateurs de données doivent suivre :
- Cartographier les transferts de données : il est conseillé aux exportateurs de données d’identifier dans le document leurs transferts de données en cartographiant les transferts internationaux depuis l’UE. Le CEPD suggère que les entreprises utilisent leur registre des traitements selon l’article 30 pour faciliter ce processus.
- Identifier les mécanismes de transfert : cette étape implique de vérifier, lors de transferts de données en dehors de l’UE, si le pays destinataire est adéquat et d’identifier, pour chaque transfert, les garanties appropriées citées à l’article 46 ou les dérogations citées à l’article 49. Cela complète l’exercice de cartographie des données en passant tous les transferts en revue pour identifier le mécanisme légal à utiliser pour chacun d’eux.
- Évaluer la législation du pays destinataire : les sociétés doivent déterminer si le pays offre un niveau de protection adéquat. D’autres questions doivent aussi être prises en compte, telles que les acteurs impliqués dans le transfert. Les données sont-elles transférées à des responsables du traitement, à des sous-traitants ou des sous-traitants ultérieurs ? Lors de l’évaluation de la législation du pays destinataire, vous devez également vous référer aux quatre garanties essentielles.
- Identifier les mesures de protection supplémentaires : la quatrième étape consiste à déterminer si des mesures supplémentaires doivent être mises en place. Elles sont nécessaires uniquement si l’évaluation de l’étape 3 révèle que la loi du pays tiers interfère avec l’efficacité des garanties visées à l’article 46. Le texte des recommandations présente plusieurs exemples non exhaustifs de mesures techniques, organisationnelles et contractuelles qui peuvent être mises en place pour fournir ces mesures de protection supplémentaires.
- Prendre des mesures officielles pour adopter les mesures supplémentaires
- Réévaluer la protection de vos transferts de données à intervalles adaptés et surveiller les changements
Lire le blog : Schrems II et les dernières clauses contractuelles types
Autres considérations et réflexions sur Schrems II
L’un des principaux sujets de préoccupation du gouvernement américain, selon le livre blanc qu’il a publié, est la nécessité de fournir des conseils détaillés en temps utile. Du côté américain, une partie de la frustration vient du fait que la décision Schrems II ne prend pas vraiment en compte les autorités de surveillance américaines. Il existe encore un décalage entre la manière dont le CEPD semble percevoir le fonctionnement de ces autorités et leur fonctionnement réel sur le terrain. Des inquiétudes subsistent également quant au niveau d’effort requis pour respecter ces lignes directrices et aux implications concrètes pour les entreprises aujourd’hui.
