juin 2021

UE – Sécurisation des transferts hors de l’Union européenne

2021-06-28T19:26:08+00:0028 juin 2021|Actualités Vigier Avocats|

Juin a été riche en actualités pour les transferts de données à caractère personnel en dehors de l’Union européenne.

A trois jours avant la fin de la période transitoire à la suite du Brexit, l’ensemble des Etats membres est parvenu à un accord sur l’adoption d’une décision d’adéquation pour le Royaume-Uni. Dès lors, les transferts de données vers le Royaume-Uni pourront être effectués sans que des garanties supplémentaires ne soient nécessaires au même titre que les transferts réalisés au sein même de l’Union européenne. Cette décision restera applicable jusqu’au 27 juin 2025, sauf si elle fait l’objet d’une prorogation ou, au contraire, d’une abrogation si les conditions de protection ne sont plus assurées par le Royaume-Uni.

Dans le même sens, au début du mois, la Commission a publié un projet de décision d’adéquation pour le transfert des données à caractère personnel vers la Corée du Sud. Reste à attendre la publication officielle de cette décision pour que la Corée du Sud ne soit plus considérée comme un Etat tiers.

En effet, sans décision d’adéquation, les organismes transférant des données à caractère personnel en dehors de l’Union européenne doivent mettre en place des garanties appropriées, notamment des clauses contractuelles types. A ce titre, elles ont été revues à la lumière du RGPD. Les nouvelles clauses contractuelles types (CCT) sont entrées en vigueur le 27 juin 2021.

Ces nouvelles CCT tiennent compte, d’une part, de l’entrée en application du RGPD en 2018 et, d’autre part, du renforcement du niveau de protection attendu de l’importateur. Les CCT introduisent ainsi de nouvelles garanties et formalisent l’analyse d’impact préconisée par le Comité européen à la protection des données. Ainsi, l’exportateur de données devra s’assurer que le pays vers lequel il entend transférer des données à caractère personnel respecte les clauses types et, le cas échéant, mette en œuvre des garanties supplémentaires.

En effet, les exportateurs de données sont invités à compléter les clauses types avec des mesures techniques, organisationnelles ou contractuelles supplémentaires telles que des mesures de pseudonymisation et chiffrement des données, des habilitations strictes…

Les nouvelles CCT couvrent toutes les situations : les relations entre responsable de traitement et sous-traitant et inversement ou encore celles entre sous-traitant et sous-traitant.

Les anciennes clauses CCT seront abrogées le 27 septembre 2021, soit 3 mois après l’entrée en vigueur des nouvelles clauses.

Une période de transition jusqu’au 27 décembre 2022 est accordée aux responsables de traitement et sous-traitants qui utilisent actuellement les anciennes clauses pour se conformer aux nouvelles CCT, sous réserve que les traitements faisant l’objet de leur contrat actuel restent inchangés.

Décision adéquation Royaume-Uni
Nouvelles Clauses Contractuelles Types

juillet 2020

Données personnelles – Invalidation du Privacy Shield

2020-07-24T20:01:17+00:0024 juillet 2020|Actualités Vigier Avocats|

Le Comité Européen à la Protection des Données (ou EDPB) a publié un « questions-réponses » relatif à l’invalidation du Privacy Shield par un arrêt de la Cour de Justice de l’Union européenne (C-311/18) rendu la semaine dernière, le 16 juillet 2020. Cet arrêt fait suite à une demande de décision préjudicielle introduite par la Haute Cour irlandaise, dans une affaire opposant Facebook et Maximilien Schrems.

La Cour de Justice de l’Union européenne a jugé que le Privacy Shield n’assurait pas une protection des données personnelles équivalente à celle mise en place au sein de l’Union européenne. Certaines exigences américaines limitent la protection des données personnelles, notamment la loi américaine n’accorde pas aux personnes concernées de droits de recours devant les tribunaux contre les autorités américaines.

Cette décision est d’application immédiate.

Pour les responsables de traitement et les sous-traitants qui transfèrent des données personnelles depuis l’Union européenne vers des organismes situés aux Etats-Unis, il convient de

  •  Identifier les traitements de données concernés par de tels transferts de données,
  •  Vérifier si ces transferts sont réalisés et conformes à l’aide du Privacy Shield,
  •  Dans ce cas, revoir et mettre à jour l’analyse d’impact relative à ces traitements de données pour évaluer les mesures complémentaires de sécurité à mettre en place ainsi que les clauses contractuelles standards ou autres garanties appropriées.
Télécharger le PDF
Télécharger le PDF