Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
Suite à l’arrêt de la CJUE (Cour de Justice de l’Union Européenne) invalidant le Privacy Shield (affaire « Schrems II »), le CEPD offre de premiers éléments de réponse aux questions les plus fréquemment posées, dans un document qui sera complété au fur et à mesure des futures analyses complémentaires.
Les premières questions-réponses du CEPD
- Sur quoi la CJUE a-t-elle statué dans son arrêt ?
- L’arrêt de la CJUE a-t-il des implications sur les outils de transfert autres que le Privacy Shield ?
- Existe-t-il un délai de grâce pendant lequel je peux continuer à transférer des données aux États-Unis sans évaluer la base légale du transfert ?
- Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ?
- Qu’en est-il des autres outils de transfert prévus à l’article 46 du RGPD ?
- Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?
- Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?
- Quel type de mesures supplémentaires puis-je introduire si j’utilise des CCT ou des BCR pour transférer des données à des pays tiers ?
- J’ai un sous-traitant qui traite des données dont je suis responsable en tant que responsable du traitement, comment puis-je savoir si ce sous-traitant transfère des données vers les États-Unis ou vers un autre pays tiers ?
- Que puis-je faire pour continuer à utiliser les services de mon sous-traitant si le contrat signé conformément à l’article 28.3 du RGPD indique que les données peuvent être transférées aux États-Unis ou dans un autre pays tiers ?
Sur quoi la CJUE a-t-elle statué dans son arrêt ?
Dans son arrêt, la Cour de justice de l’Union Européenne (CJUE) a examiné la validité de la décision 2010/87/CE de la Commission européenne relative aux clauses contractuelles types (« CCT ») et l’a jugée valide. En effet, la validité de cette décision n’est pas remise en cause par le simple fait que les clauses types relatives à la protection des données figurant dans celle-ci ne lient pas, compte tenu de leur nature contractuelle, les autorités du pays tiers vers lequel les données peuvent être transférées.
Toutefois, la CJUE ajoute que cette validité dépend de la question de savoir si la décision 2010/87/CE comporte des mécanismes efficaces permettant, en pratique, d’assurer le respect du niveau de protection essentiellement équivalent à celui garanti au sein de l’Union Européenne par le RGPD et de suspendre ou d’interdire les transferts de données personnelles opérés au moyen de telles clauses en cas de violation de ces clauses ou d’impossibilité de les respecter.
À cet égard, la CJUE rappelle notamment que la décision 2010/87/CE :
- impose à l’exportateur de données et au destinataire des données ( « importateur de données ») l’obligation de vérifier, préalablement à tout transfert, en prenant en compte les circonstances du transfert, si le niveau de protection est respecté dans le pays tiers concerné ;
- exige que l’importateur de données informe l’exportateur de données de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses, l’exportateur de données étant alors, en contrepartie, tenu de suspendre le transfert de données et/ou de résilier le contrat avec l’importateur de données.
La CJUE a également examiné la validité de la décision relative au bouclier de protection de la vie privée (décision 2016/1250 sur le caractère adéquat de la protection assurée par le bouclier de protection de la vie privée entre l’UE et les États-Unis), étant donné que les transferts en cause dans le cadre du litige national ayant conduit à la demande de décision préjudicielle ont eu lieu entre l’UE et les États-Unis.
La CJUE a estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’UE, et que cette législation n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines (la CJUE souligne que certains programmes de surveillance permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale ne prévoient aucune limitation du pouvoir conféré aux autorités américaines, ni l’existence de garanties pour les personnes potentiellement ciblées non américaines).
Du fait de l’ampleur de l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, la CJUE a déclaré la décision d’adéquation du Privacy Shield invalide.
Cette page est une traduction, par la CNIL, du document original diffusé par le CEPD. En cas d’incohérence ou de divergence entre cette page et la version anglaise, seule la version anglaise fait foi.
< Page précédente | Page suivante >
Nous formons et accompagnons les DPO et les organismes dans leur démarche de mise en conformité avec le RGPD.
Que ça soit sous forme de formations ou d’accompagnements de DPO au RGPD et de formation d’utilisateurs au RGPD (n° formateur + datadock), nous adaptons notre démarche à votre organisme.
Je suis Denis JACOPINI – Formateur / Auditeur / Consultant CYBER et RGPD et régulièrement formé par la CNIL depuis 2012.
- Vous souhaitez une formation RGPD ou un accompagnement pour initier une démarche de mise en conformité avec le RGPD ?
Contactez-nous.