Intro
Le 16 juillet 2020, la Cour europĂ©enne de justice (CJUE) a rendu son arrĂȘt dans l'affaire C-311/18, connue sous le nom de Schrems II. La CJUE a dĂ©cidĂ© que le bouclier de protection des donnĂ©es UE-Ătats-Unis devait ĂȘtre invalidĂ©. Ă leur tour, les clauses contractuelles types (CSC), un instrument juridique qui permet le transfert de donnĂ©es de l'UE vers des pays tiers, sont reconnues comme valides.
Bouclier de protection des donnĂ©es UE-Ătats-Unis
Le bouclier de protection des donnĂ©es UE-Ătats-Unis Ă©tait un mĂ©canisme «d'adĂ©quation» qui permettait aux organisations qui adhĂ©raient aux principes rĂ©glementaires de transfĂ©rer des donnĂ©es personnelles de l'UE vers les Ătats-Unis.
Et aprĂšs?
Au moment d'Ă©crire ces lignes, le verdict de la CJUE laisse les transferts de donnĂ©es UE-Ătats-Unis dans l'incertitude. De toute Ă©vidence, le bouclier de protection des donnĂ©es ne peut plus ĂȘtre utilisĂ©, mais de nombreuses questions demeurent quant Ă savoir si les CSC restent valables pour les transferts de donnĂ©es entre l'UE et les Ătats-Unis ou d'autres pays dotĂ©s de systĂšmes de surveillance nationaux efficaces.
FAQ:
QUELLES RESPONSABILITĂS GDPR AFFECTĂES PAR CETTE DĂCISION?
La dĂ©cision concerne la responsabilitĂ© des responsables du traitement et des sous-traitants pour le transfert de donnĂ©es des citoyens de l'UE vers des pays en dehors de l'UE. Tout transfert de ce type doit offrir un niveau de protection et nĂ©cessite donc lâutilisation dâun «mĂ©canisme de transfert» spĂ©cial, comprenant:
- Adéquation : cette solution permet un transfert de données sans restriction vers un pays ou une région qui offre un niveau adéquat de protection des données de l'avis de la Commission européenne. Ces pays comprennent Andorre, l'Argentine, le Canada (LPRPDE uniquement), les ßles Féroé, Guernesey, Israël, l'ßle de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay. Toutes les décisions d'adéquation sont actuellement en cours de révision aprÚs l'entrée en vigueur du RGPD.
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
Jusqu'Ă 4% du revenu annuel ou 20 millions d'euros, selon le montant le plus Ă©levĂ©. En outre, la DPA (Data Protection Authority) a le droit de suspendre le transfert de donnĂ©es de son pays d'origine vers les Ătats-Unis.
Que dois-je faire avec ma certification EU-US Privacy Shield actuelle?
Le Département américain du commerce (DOC) a déclaré que le bouclier de protection des données continuera à fonctionner et attend des membres qu'ils continuent de respecter leurs obligations en matiÚre de confidentialité. Le DOC américain, la Commission européenne et le Comité européen de la protection des données (EDPB) ont indiqué qu'ils avaient l'intention de créer un successeur au bouclier de protection des données. Les entreprises qui restent dans le bouclier de protection des données peuvent simplifier leur transition vers un successeur une fois établies.
Les transferts de donnĂ©es antĂ©rieurs dans le cadre du bouclier de confidentialitĂ© UE-Ătats-Unis seront-ils affectĂ©s?
Tous les transferts de donnĂ©es antĂ©rieurs restent soumis au bouclier de protection des donnĂ©es UE-Ătats-Unis.
Y aura-t-il une période de grùce?
L'EDPB a publiĂ© des directives indiquant qu'il n'y aura pas de dĂ©lai de grĂące. Ătant donnĂ© que le bouclier de protection des donnĂ©es UE-Ătats-Unis a Ă©tĂ© invalidĂ©, les entreprises qui ont jusqu'Ă prĂ©sent utilisĂ© le bouclier de protection des donnĂ©es UE-Ătats-Unis pour transfĂ©rer des donnĂ©es devront trouver une autre base juridique pour transfĂ©rer les donnĂ©es sans retard indu.
Je souhaite quitter le bouclier de protection des donnĂ©es UE-Ătats-Unis. Qu'est-ce que je dois faire?
Si vous dĂ©cidez de quitter EU-US PRIVACY SHIELD, vous devez suivre la procĂ©dure Ă©tablie aux Ătats-Unis.
Dois-je mettre à jour la politique de confidentialité de l'entreprise?
Nous vous recommandons de ne pas apporter de modifications à la politique de confidentialité en tant que membre du bouclier de protection des données pour le moment. Il n'existe actuellement aucune base ou directive réglementaire pour tout changement, à moins que vous n'ayez déclaré (en tant qu'exportateur de données dans le cadre du RGPD) que vous vous fiez au bouclier de protection des données comme base juridique pour le transfert de données en dehors de l'EEE.
La politique de confidentialitĂ© de mon organisation indique clairement que nous utilisons le bouclier de confidentialitĂ© UE-Ătats-Unis pour lĂ©gitimer les transferts de donnĂ©es de l'UE vers les Ătats-Unis, devrions-nous supprimer cet avis?
Vous devrez mettre à jour la politique et indiquer quelle alternative vous utilisez. Vous pouvez également envisager d'inclure un avis temporaire indiquant que l'organisation examine une décision fondée sur une décision Schrems-II.
standard contractual clauses?
Tant que les donnĂ©es ne sont pas collectĂ©es et / ou consultĂ©es par les autoritĂ©s amĂ©ricaines Ă des fins de sĂ©curitĂ© nationale, les SCC peuvent ĂȘtre utilisĂ©s au cas par cas, selon que l'importateur de donnĂ©es amĂ©ricain est en mesure de respecter ses obligations de traitement spĂ©cifiques. Cela signifie que la charge de la preuve tant pour l'exportateur de donnĂ©es que pour l'importateur de donnĂ©es dans le pays tiers a augmentĂ© pour garantir qu'ils peuvent satisfaire Ă toutes les exigences du CCS. L'importateur de donnĂ©es devra Ă©galement confirmer qu'il se conformera pleinement Ă tous les principes de base du RGPD. Cela signifie Ă©galement que l'importateur et l'exportateur des donnĂ©es devront Ă©valuer la lĂ©gislation du pays tiers pour savoir, par exemple, s'ils sont soumis Ă des lois de surveillance susceptibles d'entraĂźner une ingĂ©rence dans les droits des citoyens de l'UE. Si oui,dans un tel cas, la transmission ne peut pas ĂȘtre basĂ©e sur le CSC. Cela s'applique de la mĂȘme maniĂšre Ă BCR. Dans son document, l'EDPB a indiquĂ© qu'il fournirait des orientations supplĂ©mentaires sur les mesures juridiques, techniques et organisationnelles qui peuvent ĂȘtre prises pour complĂ©ter le CCN afin de garantir un transfert de donnĂ©es lĂ©gal ininterrompu.
Qu'en est-il des transferts ultérieurs de données d'entreprises américaines qui traitent des données personnelles de l'UE vers d'autres entreprises américaines (par exemple, des fournisseurs de cloud)?
Les transferts ultĂ©rieurs de donnĂ©es personnelles provenant de l'un des pays de l'EEE doivent ĂȘtre traitĂ©s conformĂ©ment aux normes de protection des donnĂ©es fixĂ©es par le RGPD. L'exportateur de donnĂ©es est responsable de l'ensemble de la chaĂźne de traitement des donnĂ©es dont il est le responsable du traitement. Si l'importateur de donnĂ©es ne peut garantir que les normes incluses dans le RGPD et les mĂ©canismes de transfert applicables peuvent ĂȘtre respectĂ©s, des garanties supplĂ©mentaires doivent ĂȘtre convenues. Si cela n'est pas possible, la transmission de donnĂ©es n'est pas possible.
Si mon entreprise américaine déplace un serveur vers l'UE, ai-je toujours besoin d'un mécanisme de transfert de données?
Cela dépend de la maniÚre dont les données sont traitées au sein de l'entreprise. Tant que les données sont stockées sur des serveurs dans l'UE et ne sont accessibles qu'à partir de l'UE, aucun mécanisme de transfert de données n'est requis. Cependant, dÚs que les données sont accessibles depuis l'extérieur de l'UE, un traitement des données a lieu (tel que défini à l'article 4, paragraphe 2, du RGPD), ce qui constituera également un transfert de données, qui nécessite l'utilisation de mécanismes de transfert. En outre, si une entreprise est soumise aux lois américaines sur la surveillance, y compris, mais sans s'y limiter, les sections 702 et EO 12333 de la FISA, l'utilisation du serveur de l'UE ne constitue pas une protection garantie.
Le cryptage sera-t-il une mesure d'atténuation suffisante en cas d'intervention potentielle du gouvernement américain?
Le cryptage est un bon mĂ©canisme de sĂ©curitĂ©, ce qui signifie que les donnĂ©es ne peuvent pas ĂȘtre interceptĂ©es. Cependant, il existe d'autres mĂ©canismes qui peuvent permettre au gouvernement amĂ©ricain d'avoir accĂšs aux informations personnelles. En fin de compte, l'ensemble de donnĂ©es peut ĂȘtre dĂ©chiffrĂ© lorsqu'il est accĂ©dĂ© par d'autres parties.
Les autres méthodes de transfert sont-elles toujours valables?
Tous les mécanismes de transfert de données inclus dans le RGPD restent en vigueur. La CJUE a révoqué l'une des décisions (EU-US Privacy Shield) et établi des critÚres d'évaluation plus stricts pour l'utilisation d'autres mécanismes de transmission.
Le Privacy Shield SWISS-US a-t-il été révoqué?
Non.
Quel impact ces processus auront-ils sur le Brexit et le Royaume-Uni?
Il est trop tÎt pour le dire. Jusqu'à la fin de la période de transition (actuellement jusqu'au 31 décembre 2020), le Royaume-Uni continuera d'appliquer le RGPD sans modification. Ce qui vient ensuite est un sujet de négociations entre le Royaume-Uni et la Commission européenne.
Comment les régulateurs commentent-ils cette décision?
CONSEIL EUROPĂEN DE LA PROTECTION DES DONNĂES (EDPB),
«Aucune information sur l'exécution ou des conseils sur les transferts; une analyse plus approfondie suivra ".Département américain du commerce,
"Bien que le dĂ©partement du Commerce soit profondĂ©ment déçu que le tribunal semble avoir invalidĂ© la dĂ©cision d'adĂ©quation de la Commission europĂ©enne qui sous-tend le bouclier de protection des donnĂ©es UE-Ătats-Unis, nous Ă©tudions toujours la dĂ©cision pour comprendre pleinement ses impacts pratiques."Inspecteur gĂ©nĂ©ral polonais pour la protection des donnĂ©es personnelles - GIODO,
«Les responsables du traitement doivent procéder à une évaluation individuelle du niveau de protection des données assuré dans le cadre des transferts de données transfrontaliers, qui doit prendre en compte non seulement les dispositions contractuelles convenues entre les exportateurs et les importateurs de données, mais également les dispositions légales d'un tiers pays, notamment en ce qui concerne l'accÚs éventuel des autorités de l'autorité publique de ce pays aux données transmises. D'autres orientations suivront via l'EDPB ".Inspection estonienne de la protection des données,
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third countryâs adequate level of protection of personal data. Therefore, EU companies must always assess the European Commissionâs data protection clauses themselves. The assessment must determine whether the protection of Europeansâ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».