34.3.2.7. Invalidation du « Privacy shield » : Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous

Suite à l’arrêt de la CJUE (Cour de Justice de l’Union Européenne) invalidant le Privacy Shield (affaire « Schrems II »), le CEPD offre de premiers éléments de réponse aux questions les plus fréquemment posées, dans un document qui sera complété au fur et à mesure des futures analyses complémentaires.

Les premières questions-réponses du CEPD

  1. Sur quoi la CJUE a-t-elle statué dans son arrêt ?
  2. L’arrêt de la CJUE a-t-il des implications sur les outils de transfert autres que le Privacy Shield ?
  3. Existe-t-il un délai de grâce pendant lequel je peux continuer à transférer des données aux États-Unis sans évaluer la base légale du transfert ?
  4. Je transférais des données à un importateur de données américain adhérant au Privacy Shield, que dois-je faire maintenant ?
  5. Qu’en est-il des autres outils de transfert prévus à l’article 46 du RGPD ?
  6. Puis-je me prévaloir d’une des dérogations de l’article 49 du RGPD pour transférer des données aux États-Unis ?
  7. Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?
  8. Quel type de mesures supplémentaires puis-je introduire si j’utilise des CCT ou des BCR pour transférer des données à des pays tiers ?
  9. J’ai un sous-traitant qui traite des données dont je suis responsable en tant que responsable du traitement, comment puis-je savoir si ce sous-traitant transfère des données vers les États-Unis ou vers un autre pays tiers ?
  10. Que puis-je faire pour continuer à utiliser les services de mon sous-traitant si le contrat signé conformément à l’article 28.3 du RGPD indique que les données peuvent être transférées aux États-Unis ou dans un autre pays tiers ?

Puis-je continuer à utiliser les CCT ou les BCR pour transférer des données vers un autre pays tiers que les États-Unis ?

La CJUE a indiqué qu’en règle générale, les CCT peuvent toujours être utilisées pour transférer des données vers un pays tiers, mais le seuil fixé par la Cour pour les transferts vers les États-Unis s’applique à tout pays tiers. Il en va de même pour les BCR.

La CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si le niveau de protection requis par le droit de l’UE est respecté dans le pays tiers concerné afin de déterminer si les garanties fournies par les CCT ou les BCR peuvent être respectées dans la pratique. Si ce n’est pas le cas, vous devez évaluer si vous pouvez prévoir des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalent à celui prévu dans l’EEE, et si la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Vous pouvez contacter votre importateur de données pour vérifier la législation de son pays et collaborer à son évaluation. Si vous ou l’importateur de données dans le pays tiers estimez que les données transférées en vertu des CCT ou des BCR ne bénéficient pas d’un niveau de protection essentiellement équivalent à celui garanti dans l’Espace économique européen (EEE), vous devez immédiatement suspendre les transferts. Si vous ne suspendez pas les transferts, vous devez en informer votre autorité de contrôle compétente. Bien que, comme l’a souligné la Cour, il incombe en premier lieu aux exportateurs et aux importateurs de données d’évaluer eux-mêmes si la législation du pays tiers de destination permet à l’importateur de données de se conformer aux clauses types de protection des données ou aux BCR, avant de transférer des données personnelles vers ce pays tiers, les autorités de protection des données auront également un rôle clé à jouer dans l’application du RGPD et lorsqu’elles prendront des décisions sur les transferts vers des pays tiers.

Comme la CJUE les y a invitées, afin d’éviter des décisions divergentes, elles poursuivront donc leurs travaux au sein du CEPD afin de rester cohérentes, notamment si les transferts vers des pays tiers doivent être interdits.

< Page précédente | Page suivante >

Cette page est une traduction, par la CNIL, du document original diffusé par le CEPD. En cas d’incohérence ou de divergence entre cette page et la version anglaise, seule la version anglaise fait foi.

Print Friendly, PDF & Email Imprimer en PDF

Sources : CNIL et CEPD

Téléchargez GRATUITEMENT le RGPD (Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016) Formations RGPD et CYBER par LE NET EXPERT - Document PDF

Nous formons et accompagnons les DPO et les organismes dans leur démarche de mise en conformité avec le RGPD.

Que ça soit sous forme de formations ou d’accompagnements de DPO au RGPD et de formation d’utilisateurs au RGPD (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Formations RGPD et CYBER par LE NET EXPERT - Denis JACOPINI

Je suis Denis JACOPINI – Formateur / Auditeur / Consultant CYBER et RGPD et régulièrement formé par la CNIL depuis 2012.

  • Vous souhaitez une formation RGPD ou un accompagnement pour initier une démarche de mise en conformité avec le RGPD ?
    Contactez-nous.