Chaque trimestre, Extern DPO vous envoie sa lettre d’informations.
Une édition spéciale s’impose au regard des bouleversements induits par l’invalidation du mécanisme qui autorisait jusqu’à présent le transfert de données vers les Etats-Unis : le Privacy Shield. Face aux interrogations soulevées, nous espérons que ce numéro saura vous apporter quelques éclaircissements…
Bonne lecture !
Rappel sur le transfert de données hors UE
Les transferts de données hors UE sont par principe interdits.
Quatre exceptions à cette interdiction étaient jusqu’ici prévues :
– Soit le pays vers lequel sont transférées les données est un pays ayant fait l’objet d’une décision d’adéquation ;
– Soit des clauses contractuelles types sont signées entre le responsable de traitement et le sous-traitant établi hors UE ou traitant/hébergeant les données qui lui sont transférées hors UE ;
– Soit des BCR (binding corporate rules) sont conclues entre les différentes entités d’un même groupe d’entreprises, si certaines d’entre elles sont établies hors UE ;
– Soit, enfin, les données étaient transférées vers un organisme établi aux Etats-Unis, qui avait adhéré au « Privacy Shield ».
Ce dernier outil ayant été invalidé par la Cour de Justice de l’Union Européenne (CJUE) dans une décision du 16 juillet 2020, seules les 3 premières exceptions citées subsistent, mais même ces dernières doivent être nuancées…
Pour plus d’informations, vous pouvez consulter le résumé de l’arrêt rendu par la CJUE
|
|
QUELQUES QUESTIONS/REPONSES
POUR MIEUX COMPRENDRE L’IMPACT DE L’INVALIDATION
|
Notez par ailleurs que la décision rendue par la CJUE impacte de manière évidente les transferts de données à caractère personnel à destination des Etats-Unis, mais également les transferts à destination de tout pays tiers à l’Espace Economique Européen
|
|
Ces démarches sont évidemment particulièrement contraignantes pour les entreprises. Elles sont néanmoins essentielles à leur conformité.
Afin d’éviter tout risque, une solution alternative consisterait désormais à ne recourir qu’à des entreprises de services et d’hébergement établies en Europe
La recette conformité :
Les ingrédients du Comité Européen à la Protection des Données
Un contrat de sous-traitance comportant les éléments requis par le RGPD
+
Des clauses contractuelles types pour tout transfert vers un pays tiers à l’UE
ou
Des “Binding Corporate Rules” si l’entité établie hors UE destinataire des données appartient au même groupe d’entreprises que l’entité qui les lui transfère
+
Des mesures supplémentaires, qui peuvent être juridiques, organisationnelles, ou techniques (pseudonymisation des données par exemple)
+
Une évaluation tenant compte des circonstances du transfert de données, notamment une analyse de la législation du pays vers lequel les données sont transférées
L’invalidation du Privacy Shield peut être source de bouleversements pour votre organisme. La particularité de la relation entretenue avec chaque prestataire nécessite, après étude de celle-ci, la mise en oeuvre de démarches spécifiques.
Extern DPO vous accompagne dans cette analyse, afin d’identifier les solutions qui s’offrent à vous. N’hésitez pas à nous solliciter.