Blog | 14 avril 2021

Schrems II : gestion des transferts de données internationaux

Featured Image

Les professionnels de la protection des données personnelles ont été très occupés ces derniers mois et il ne fait aucun doute qu’ils vont l’être encore plus avec les nouvelles recommandations Schrems II publiées le 11 novembre 2020 par le Conseil européen de la protection des données (CEPD). Avec le développement significatif du Conseil européen de la protection des données publiant leurs recommandations suite à la décision Schrems II, les experts en matière de protection des données restent sur leurs gardes. Au fil de ce blog, nous discuterons des recommandations de l’EDPB.

Un bref résumé des points clés de l’arrêt Schrems II

Deux points clés sont ressortis de la décision Schrems II : l’invalidation du Privacy Shield et l’obligation principale des importateurs et exportateurs de données de vérifier par une évaluation, avant tout transfert, les lois du pays tiers hors de l’UE vers lequel les données sont transférées.

Ni le tribunal dans l’affaire Scherms II ni l’EDPB dans ses recommandations de juillet n’ont précisé en détail ce que l’évaluation ou les mesures supplémentaires peuvent impliquer. Avec les recommandations qui viennent d’être publiées, les détails de ce que ces évaluations impliquent et ce qui doit être pris en compte ont été révélés.

Quelles sont les recommandations de mesures supplémentaires pour Schrems II ?

La première série de recommandations concerne l’évaluation proprement dite et les mesures supplémentaires que les exportateurs de données peuvent être amenés à adopter pour se conformer à un niveau européen de protection des données à caractère personnel. Les éléments clés de ces recommandations consistent en six étapes qui doivent être suivies par les exportateurs de données :

  • Cartographier les transferts de données : Il est conseillé aux exportateurs de données d’identifier les transferts de données dans le document en établissant une carte des transferts internationaux à partir de l’UE. L’EDPB suggère aux entreprises d’utiliser leur registre de traitement des données de l’article 30 pour les aider dans ce processus.
  • Identifier les mécanismes de transfert de données : Cette étape consiste à vérifier, lorsque vous transférez les données en dehors de l’UE, si les données sont destinées à un pays destinataire adéquat et à identifier, pour chaque transfert, les garanties appropriées de l’article 46 ou les dérogations de l’article 49. Cela complète l’exercice de cartographie des données en examinant ces transferts et en identifiant quel est le mécanisme juridique à utiliser pour chaque transfert.
  • Évaluer l’ordre juridique du pays destinataire : Cette étape clé consiste à évaluer la législation et les lois du pays destinataire. Les entreprises doivent déterminer si le pays offre un niveau de protection adéquat. En outre, d’autres questions doivent être prises en compte, telles que les acteurs impliqués dans le transfert. Les données sont-elles transférées à des contrôleurs, des processeurs ou des sous-traitants secondaires ? Lors de l’évaluation de l’ordre juridique du pays tiers, vous êtes également tenu de vous référer aux quatre garanties essentielles.
  • Identifier les mesures de protection supplémentaires : La quatrième étape consiste à déterminer si des mesures supplémentaires doivent être mises en place. Celles-ci ne sont nécessaires que si l’évaluation de l’étape 3 révèle que la loi du pays tiers empiète sur l’efficacité de la garantie de l’article 46. Les recommandations passent en revue plusieurs exemples non exhaustifs de mesures techniques, organisationnelles et contractuelles qui peuvent être mises en place pour fournir ces mesures de protection supplémentaires.
  • Entreprendre des démarches formelles pour l’adoption de mesures supplémentaires.
  • la protection de vos transferts de données à des intervalles appropriés et suivre l’évolution de la situation.

Lire le blog : Schrems II Decision: EDPB Publishes Recommendations (disponible en anglais uniquement)

Autres considérations et réflexions sur Schrems II :

Selon le livre blanc publié par le gouvernement américain, l’une des principales préoccupations de ce dernier est la nécessité de fournir des conseils détaillés en temps utile. Du côté américain, une partie de la frustration vient du fait que la décision Schrems II elle-même n’examine pas vraiment les autorités de surveillance américaines. Il y a toujours un décalage entre la façon dont il semble que l’EDPB examine le fonctionnement des autorités de surveillance américaines et la façon dont ces autorités fonctionnent dans la pratique. Il existe également des inquiétudes quant au niveau de travail qui sera nécessaire pour se conformer à ces directives et ce que cela implique pour les entreprises aujourd’hui.

Lectures additionnelles sur Schrems II :

CES RESSOURCES SONT DISPONIBLES EN ANGLAIS UNIQUEMENT

Prochaines étapes pour Schrems II:

Onetrust All Rights Reserved