Offert

Schrems II : le CEPD pose les nouvelles conditions à respecter pour transférer les données hors UE et consulte

AAI

Le Comité européen de la protection des données (CEPD) a adopté des recommandations sur les mesures complétant les outils de transfert des données en dehors de l'UE, notamment vers les États-Unis ainsi que des recommandations sur les garanties essentielles européennes pour les mesures de surveillance. Elles s'inscrivent dans le cadre de la décision Schrems II qui a invalidé le « Privacy shield » en juillet dernier ce qui avait engendré de nombreuses incertitudes quant au transfert de données personnelles vers les pays tiers à l'UE (CJUE, gr. ch., 16 juill. 2020, aff. C‑311/18, Data Protection Commissioner c/ Facebook Ireland Limited, Maximillian Schrems ; V. Transfert de données UE-USA : la CJUE annule le Privacy Shield). L'objectif de ces lignes directrices : « permettre des transferts licites de données personnelles vers des pays tiers tout en garantissant que les données transférées bénéficient d'un niveau de protection essentiellement équivalent à celui garanti dans l'EEE ».

Les recommandations sur les mesures complémentaires contiennent une feuille de route des étapes que les exportateurs de données doivent suivre pour savoir s'ils doivent mettre en place des mesures supplémentaires pour pouvoir transférer des données hors EEE. Le CEPD rappelle toutefois que les exportateurs de données restent responsables de l'évaluation concrète de la législation du pays tiers et de l'outil de transfert sur lequel ils s'appuient.

Les recommandations sur les mesures complémentaires font l'objet d'une consultation publique ouverte du 11 au 30 novembre 2020. Elles sont toutefois applicables immédiatement.

Les recommandations sur les garanties essentielles européennes fournissent aux exportateurs de données des éléments permettant de déterminer si le cadre juridique régissant l'accès des autorités publiques aux données à des fins de surveillance dans les pays tiers peut être considéré comme une ingérence justifiable dans les droits à la vie privée et à la protection des données à caractère personnel.