34.3.2.6. Invalidation du « Privacy shield » : Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous


Suite à l’arrêt de la CJUE (Cour de Justice de l’Union Européenne) invalidant le Privacy Shield (affaire « Schrems II »), le CEPD offre de premiers éléments de réponse aux questions les plus fréquemment posées, dans un document qui sera complété au fur et à mesure des futures analyses complémentaires.

Les premières questions-réponses du CEPD

  1. Sur quoi la CJUE a-t-elle statué dans son arrêt ?
  2. L’arrêt de la CJUE a-t-il des implications sur les outils de transfert autres que le Privacy Shield ?
  3. Existe-t-il un délai de grâce pendant lequel je peux continuer à transférer des données aux États-Unis sans évaluer la base légale du transfert ?
  4. Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ?
  5. Qu’en est-il des autres outils de transfert prévus à l’article 46 du RGPD ?
  6. Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?
  7. Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?
  8. Quel type de mesures supplémentaires puis-je introduire si j’utilise des CCT ou des BCR pour transférer des données à des pays tiers ?
  9. J’ai un sous-traitant qui traite des données dont je suis responsable en tant que responsable du traitement, comment puis-je savoir si ce sous-traitant transfère des données vers les États-Unis ou vers un autre pays tiers ?
  10. Que puis-je faire pour continuer à utiliser les services de mon sous-traitant si le contrat signé conformément à l’article 28.3 du RGPD indique que les données peuvent être transférées aux États-Unis ou dans un autre pays tiers ?

Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?

Il est encore possible de transférer des données de l’EEE vers les États-Unis sur la base des dérogations prévues à l’article 49 du RGPD, à condition que les conditions énoncées dans cet article s’appliquent. Le RGPD renvoie à ses lignes directrices sur cette disposition (voir les lignes directrices 2/2018 de l’EDPB sur les dérogations à l’article 49 en vertu du règlement 2016/679, adoptées le 25 mai 2018, p.3).

En particulier, il convient de rappeler que lorsque les transferts sont fondés sur le consentement de la personne concernée, ils doivent être : explicite ; spécifique au transfert ou à l’ensemble de transferts de données (ce qui signifie que l’exportateur de données doit s’assurer d’obtenir un consentement spécifique avant la mise en place du transfert, même si celui-ci a lieu après la collecte des données) ; et éclairé, notamment des risques éventuels du transfert (ce qui signifie que la personne concernée doit également être informée des risques spécifiques résultant du fait que ses données seront transférées vers un pays qui n’offre pas une protection adéquate et qu’aucune garantie adéquate visant à assurer la protection des données n’est mise en œuvre).

En ce qui concerne les transferts nécessaires à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, il convient de garder à l’esprit que les données personnelles ne peuvent être transférées que lorsque le transfert est occasionnel. Il conviendrait d’établir au cas par cas si les transferts de données doivent être considérés comme « occasionnels » ou « non occasionnels ». En tout état de cause, cette dérogation ne peut être invoquée que lorsque le transfert est objectivement nécessaire à l’exécution du contrat.

En ce qui concerne les transferts nécessaires pour des raisons importantes d’intérêt public (qui doit être reconnu dans la législation de l’UE ou des États membres (les références aux « États membres » doivent être comprises comme des références aux « États membres de l’EEE »)), le CEPD rappelle que l’exigence essentielle pour l’applicabilité de cette dérogation est la constatation d’un intérêt public important et non la nature de l’organisation, et que bien que cette dérogation ne soit pas limitée aux transferts de données « occasionnels », cela ne signifie pas que les transferts de données sur la base de la dérogation d’intérêt public important peuvent avoir lieu à grande échelle et de manière systématique. Il convient plutôt de respecter le principe général selon lequel les dérogations prévues à l’article 49 du RGPD ne doivent pas devenir « la règle » dans la pratique, mais doivent être limitées à des situations spécifiques et chaque exportateur de données doit s’assurer que le transfert répond au critère de stricte nécessité.

Cette page est une traduction, par la CNIL, du document original diffusé par le CEPD. En cas d’incohérence ou de divergence entre cette page et la version anglaise, seule la version anglaise fait foi.

< Page précédente | Page suivante >



Sources : CNIL et CEPD

Téléchargez GRATUITEMENT le RGPD (Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016) Formations RGPD et CYBER par LE NET EXPERT - Document PDF


Nous formons et accompagnons les DPO et les organismes dans leur démarche de mise en conformité avec le RGPD.

Que ça soit sous forme de formations ou d’accompagnements de DPO au RGPD et de formation d’utilisateurs au RGPD (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Formations RGPD et CYBER par LE NET EXPERT - Denis JACOPINI

Je suis Denis JACOPINI – Formateur / Auditeur / Consultant CYBER et RGPD et régulièrement formé par la CNIL depuis 2012.

  • Vous souhaitez une formation RGPD ou un accompagnement pour initier une démarche de mise en conformité avec le RGPD ?
    Contactez-nous.