Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
Suite à l’arrêt de la CJUE (Cour de Justice de l’Union Européenne) invalidant le Privacy Shield (affaire « Schrems II »), le CEPD offre de premiers éléments de réponse aux questions les plus fréquemment posées, dans un document qui sera complété au fur et à mesure des futures analyses complémentaires.
Les premières questions-réponses du CEPD
- Sur quoi la CJUE a-t-elle statué dans son arrêt ?
- L’arrêt de la CJUE a-t-il des implications sur les outils de transfert autres que le Privacy Shield ?
- Existe-t-il un délai de grâce pendant lequel je peux continuer à transférer des données aux États-Unis sans évaluer la base légale du transfert ?
- Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ?
- Qu’en est-il des autres outils de transfert prévus à l’article 46 du RGPD ?
- Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?
- Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?
- Quel type de mesures supplémentaires puis-je introduire si j’utilise des CCT ou des BCR pour transférer des données à des pays tiers ?
- J’ai un sous-traitant qui traite des données dont je suis responsable en tant que responsable du traitement, comment puis-je savoir si ce sous-traitant transfère des données vers les États-Unis ou vers un autre pays tiers ?
- Que puis-je faire pour continuer à utiliser les services de mon sous-traitant si le contrat signé conformément à l’article 28.3 du RGPD indique que les données peuvent être transférées aux États-Unis ou dans un autre pays tiers ?
Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ?
Les transferts effectués sur la base de ce cadre juridique sont illégaux. Si vous souhaitez continuer à transférer des données vers les États-Unis, vous devez vérifier si vous pouvez le faire dans les conditions définies dans les 2 cas suivants :
1. J’utilise des CCT avec un importateur de données aux États-Unis
La Cour a estimé que le droit américain (c’est-à-dire la section 702 du FISA et l’Executive Order 12333) n’assure pas un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l’arrêt de la Cour, et la clause 4(g) de la décision 2010/87/UE de la Commission, ainsi que la clause 5(a) de la décision 2001/497/CE de la Commission et l’annexe II (c) de la décision 2004/915/CE de la Commission).
Que vous puissiez ou non transférer des données personnelles sur la base des CCT dépendra du résultat de votre évaluation, qui tiendra compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas sur le niveau de protection adéquat que les clauses et ces mesures garantissent.
Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles. Toutefois, si vous avez l’intention de continuer à transférer des données en dépit de cette conclusion, vous devez notifier votre autorité de contrôle compétente (voir en particulier le considérant 145 de l’arrêt de la Cour et la clause 4(g) de la décision 2010/87/UE de la Commission. Voir également la section 6.3 WP256 rev.01 (Groupe de travail Article 29, Document de travail établissant un tableau des éléments et principes figurant dans les RCB, approuvé par le CEPD), et la section 6.3 du formulaire WP 257 rev.01 (Groupe de travail Article 29, Document de travail établissant un tableau des éléments et principes figurant dans les RCB des transformateurs, approuvé par le CEPD).
2. J’utilise des CCT avec un importateur de données aux États-Unis
La Cour a estimé que le droit américain (c’est-à-dire la section 702 du FISA et l’Executive Order 12333) n’assure pas un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l’arrêt de la Cour, et la clause 4(g) de la décision 2010/87/UE de la Commission, ainsi que la clause 5(a) de la décision 2001/497/CE de la Commission et l’annexe II (c) de la décision 2004/915/CE de la Commission).
Que vous puissiez ou non transférer des données personnelles sur la base des CCT dépendra du résultat de votre évaluation, qui tiendra compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas sur le niveau de protection adéquat que les clauses et ces mesures garantissent.
Si vous arrivez à la conclusion que, compte tenu des circonstances du transfert et d’éventuelles mesures supplémentaires, le respect des garanties appropriées ne serait pas assuré, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles. Toutefois, si vous avez l’intention de continuer à transférer des données en dépit de cette conclusion, vous devez notifier votre autorité de contrôle compétente (voir en particulier le considérant 145 de l’arrêt de la Cour et la clause 4(g) de la décision 2010/87/UE de la Commission. Voir également la section 6.3 WP256 rev.01 (Groupe de travail Article 29, Document de travail établissant un tableau des éléments et principes figurant dans les RCB, approuvé par le CEPD), et la section 6.3 du formulaire WP 257 rev.01 (Groupe de travail Article 29, Document de travail établissant un tableau des éléments et principes figurant dans les RCB des transformateurs, approuvé par le CEPD).
Cette page est une traduction, par la CNIL, du document original diffusé par le CEPD. En cas d’incohérence ou de divergence entre cette page et la version anglaise, seule la version anglaise fait foi.
< Page précédente | Page suivante >
Nous formons et accompagnons les DPO et les organismes dans leur démarche de mise en conformité avec le RGPD.
Que ça soit sous forme de formations ou d’accompagnements de DPO au RGPD et de formation d’utilisateurs au RGPD (n° formateur + datadock), nous adaptons notre démarche à votre organisme.
Je suis Denis JACOPINI – Formateur / Auditeur / Consultant CYBER et RGPD et régulièrement formé par la CNIL depuis 2012.
- Vous souhaitez une formation RGPD ou un accompagnement pour initier une démarche de mise en conformité avec le RGPD ?
Contactez-nous.