RGPD - Sous-traitance de traitements de données à caractère personnel, transfert de données hors UE et arrêt Schrems II : Kesako?
On n’en finit pas de parler du RGPD[1] ! Plus de deux années après sa mise en application, le RGPD a de nouveau fait parler de lui cet été en raison de l’arrêt « Schrems II » prononcé par la Cour de Justice de l’Union européenne[2]. Le célèbre Autrichien Maximillian Schrems, fervent défenseur des droits liés au respect de la vie privée, a de nouveau prêté son nom pour la bonne cause. Ceci est donc l’occasion d’aborder la délicate thématique des transferts des données en dehors de l’Union européenne et de faire le point sur les conséquences pratiques de l’arrêt.
Quelques rappels utiles en matière de sous-traitance
En 2018, nous avons eu la chance de vous entretenir de la sous-traitance des traitements de données à caractère personnel, à travers un article y entièrement consacré[3] et un modèle de clauses de sous-traitance, en tenant compte de la réglementation des marchés publics[4].
Quelques rappels sur la sous-traitance s’imposent toutefois ici pour la bonne compréhension de l’arrêt ici examiné.
Non définie par le règlement, la sous-traitance est le fait pour un responsable de traitement de faire traiter pour son compte des données à caractère personnel par quelqu’un d’autre. Autrement dit, le traitement[5] concerné n’est pas fait par le responsable de traitement mais est fait pour lui par quelqu’un d’autre… sous sa responsabilité.
L’on distingue donc trois intervenants :
o le responsable de traitement[6], personne physique ou morale qui la plupart du temps décide de faire un traitement de données, qui en détermine les moyens et les finalités ;
o la personne concernée[7], qui est la personne physique dont les données à caractère personnel sont traitées ;
o le sous-traitant[8], personne physique ou morale qui fait un traitement pour le compte du responsable de traitement.
La sous-traitance de données à caractère personnel est strictement encadrée par le règlement. Son article 28 détermine les modalités de sous-traitance et impose au responsable de traitement de prévoir toute une série de clauses dans la convention de sous-traitance[9].
En un mot comme en cent :
- le responsable de traitement est responsable du choix de son sous-traitant ; il doit choisir un sous-traitant qui présente des garanties suffisantes en termes de protection des données[10] ;
- le sous-traitant ne peut traiter les données qu’en suivant les instructions données par le responsable de traitement[11] ; pour une question de documentation[12], ces instructions devraient être données par écrit, directement dans les documents de marché ou les documents contractuels ou ultérieurement s’il échet ; ces instructions doivent émaner du responsable de traitement et non du sous-traitant ; le sous-traitant qui ne respecte pas les instructions pourrait être requalifié de responsable de traitement (endossant alors les responsabilités qui vont avec le titre) et pourrait être tenu responsable du dommage causé par un traitement s’il a agi en dehors ou en contradictions avec les instructions du responsable de traitement[13] ; on pourrait en effet considérer que ce « sous-traitant » détermine les moyens du traitement conjointement ou non avec le responsable de traitement[14] ;
- le sous-traitant ne peut librement confier les traitements de données à un sous-traitant ultérieur ; le sous-traitant doit en effet obtenir, selon ce qui est précisé dans le contrat de sous-traitance, une autorisation écrite préalable soit spécifique (accordée pour un sous-traitant particulier) soit générale (par contrat ou marché public)[15] avec dans ce cas un droit d’objection quant au sous-traitant ultérieur ; la première option est plus lourde à gérer pour le sous-traitant tandis que la seconde option est très délicate pour le responsable de traitement ; en ce dernier cas, il nous semble que le responsable de traitement a le droit d’exiger qu’il soit directement informé par le sous-traitant[16], préalablement à toute sous-traitance ultérieure, par écrit, moyennant le respect d’un délai précis à fixer dans le contrat de sous-traitance, du nom du sous-traitant ultérieur, de sa localisation, de ses garanties personnelles, des garanties contractuelles prévues pour ce sous-traitant ultérieur[17], des opérations de traitement sous-sous-traitées, des types de données concernées, etc. ;
- en cas de transfert de données en dehors de l’Union européenne, dans le cadre de cette sous-traitance, le sous-traitant doit se conformer aux instructions données par le responsable de traitement qui ne peut donc se voir imposer des transferts qu’il n’a pas permis ou a fortiori dont il n’a pas connaissance. Le sous-traitant est en effet aussi destinataire de l’obligation de se conformer aux règles relatives aux transferts[18].
Le RGPD s’applique-t-il en dehors de l’Union européenne ?
Il est utile de rappeler que le RGPD s’est construit sur plusieurs objectifs : prise en compte des évolutions technologiques, de la mondialisation des transferts de données et d’une fragmentation de la réglementation relative à la protection des données au sein de l’Europe.
Les récents développements des technologies ont permis un accroissement important des échanges de données et la mondialisation a influencé ces échanges de données. Ces deux éléments ont « créé de nouveaux enjeux pour la protection des données à caractère personnel »[19].
Il a aussi été constaté que la précédente directive européenne[20], abrogée par le règlement, avait mené à une fragmentation de la réglementation aux niveaux nationaux et donc différents niveaux de protection. Bref, le règlement ambitionnait de créer un cadre réglementaire clair, applicable à toutes les personnes concernées, toutes les autorités publiques et toutes les entreprises, où qu’elles soient en Union européenne.
Que se passe-t-il si la sous-traitance implique un transfert de données en dehors de l’Union européenne ?
La notion de transfert en dehors de l’Union européenne n’est pas définie par le règlement, ce qui peut susciter certaines questions[21]. La doctrine la définit comme étant (au moins) « toute transmission, copie ou déplacement de données d’un responsable de traitement [ou sous-traitant] situé dans l’Union vers un destinataire établi dans un État tiers »[22]. Le règlement prévoit des règles relativement au transfert de données[23], tout comme l’ancienne directive applicable antérieurement[24]. Le transfert de données vers un pays tiers à l’Union européenne ne peut se faire que si ce pays présente un niveau de protection adéquat à ces données[25]. Comment faire ? En priorité, il faut se baser sur une décision d’adéquation prise par la Commission européenne qui estime alors que les transferts de données vers ce pays tiers bénéficient d’un niveau de protection adéquat[26]. La Commission européenne tient à jour sur son site internet la liste des décisions d’adéquation[27]. On notera qu’il en existe une par exemple pour le Canada, Israël, le Japon ou encore les États-Unis[28].
À défaut de décisions d’adéquation, le règlement prévoit que le responsable de traitement (ou le sous-traitant) ne peut transférer les données vers ce pays tiers que s’il a prévu des garanties appropriées et qu’à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives[29]. Ces garanties peuvent être fournies de différentes manières. Sans exhaustivité, relevons les instruments suivants[30] :
- des règles d’entreprise contraignantes[31] ;
- des clauses types de protection des données adoptées par la Commission européenne[32] ;
- des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission européenne[33] ;
- des clauses contractuelles entre le responsable de traitement et le sous-traitant (voire le destinataire des données) autorisées par l’autorité de contrôle[34] ;
- un code de conduite approuvé[35] ;
- un mécanisme de certification[36].
Ces instruments ne sont toutefois pas tous opérationnels car seuls certains ont été mis en œuvre. On notera essentiellement les décisions de la Commission européenne contenant des clauses types de protection, qui ne règlent toutefois pas toutes les situations rencontrées par les responsables de traitement[37].
Schrems I et Schrems II, « privacy shield » : kesako ?
Ces rappels étant faits, revenons-en à l’arrêt prononcé cet été et à ses faits. Monsieur Schrems, utilisateur du réseau social Facebook, s’est aperçu que ses données à caractère personnel, récoltées par Facebook Ireland, filiale de Facebook Inc. établie, elle, aux États-Unis, étaient transférées vers les États-Unis. Il s’est alors interrogé sur le droit et les pratiques applicables aux États-Unis et a estimé que celui-là et celles-ci ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire [américain] contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. Or, ces transferts de données d’Irlande vers les États-Unis se basaient sur une décision de la Commission européenne[38], laquelle avait estimé que les transferts des données de l’Union européenne vers les États-Unis étaient assortis d’une protection d’un niveau adéquat. Dans un premier temps, Monsieur Schrems a obtenu, de la Cour de Justice de l’Union européenne, l’invalidation de cette décision[39]. C’est l’arrêt appelé « Schrems I ».
Dans le courant de l’année 2016, la Commission européenne a donc repris une nouvelle décision[40] (appelée « Privacy shield ») par laquelle elle assurait que les transferts des données de l’Union européenne vers les États-Unis étaient assortis d’une protection d’un niveau adéquat[41].
Antérieurement, la Commission européenne avait pris une décision d’exécution à laquelle étaient jointes des annexes qui contenaient des clauses types de protection relatives à la sous-traitance de données à caractère personnel[42].
Monsieur Schrems a donc poursuivi son combat à l’encontre de Facebook, combat qui visait à faire suspendre ou interdire les transferts de données de l’Union européenne vers les États-Unis. Détail important du second arrêt : Facebook Ireland soulevait que le transfert des données se basaient, non sur la nouvelle décision de la Commission européenne (« Privacy shield »), mais sur les clauses types de protection annexées à la décision de la Commission européenne.
Que décide la Cour de Justice ? Sans entrer dans les détails de cet arrêt, relevons deux points essentiels : la Cour de Justice
- d’une part, décide d’invalider le « privacy shield », et ce pour deux raisons : d’un côté, parce que la Cour estime que les ingérences à la vie privée ne sont pas suffisamment encadrées (en clair, certaines autorités publiques peuvent traiter des données d’Européens sans limitations claires ou inscrites dans une réglementation) et d’un autre, parce que le droit à un recours effectif des personnes concernées n’est pas nécessairement garanti (en d’autres termes, les citoyens européens dont les données ont été transférées aux États-Unis ne peuvent faire vérifier par une juridiction indépendante le respect de leur vie privée) ;
- d’autre part, n’invalide pas les clauses types de protection de la Commission européenne. Après un examen des différentes clauses, la juridiction décide que les clauses sont valables ; mais la Cour va surtout ajouter qu’en fonction des circonstances, il appartiendra au responsable de traitement de prendre des garanties supplémentaires afin d’être sûr de disposer d’un niveau de protection substantiellement équivalent à celui prévu par l’Union européenne. Ce faisant, la Cour met de délicates responsabilités pour l’exportateur de données (souvent le responsable de traitement) et l’importateur de données (souvent le sous-traitant) : l’exportateur de données est tenu de vérifier, avec son destinataire des données, le respect, dans le pays tiers concerné, du niveau de protection requis par le droit de l’Union européenne.
Concrètement, qu’est-ce que cela veut dire ?
En ce qui concerne l’invalidation du « privacy shield », ça veut dire que les entreprises américaines qui s’en prévalaient doivent trouver d’autres encadrements juridiques. Leurs cocontractants européens sont directement concernés car à défaut de solutions, les transferts de données doivent être suspendus.
En ce qui concerne l’utilisation des clauses de protection type adoptées par la Commission européenne, l’arrêt « Schrems II » crée énormément d’incertitudes et donc de risques. Le responsable de traitement, avec son sous-traitant, doit faire une analyse du droit et des pratiques existants au sein du pays tiers concerné et, tout en pouvant utiliser les clauses de protection types adoptées par la Commission européenne, doit prévoir les garanties appropriées y compris le cas échéant des garanties supplémentaires aux clauses de protection.
Quelles garanties supplémentaires ? La Cour de Justice ne le dit pas. Le Comité européen de la Protection des Données a publié, par suite de l’arrêt, une FAQ indispensable à lire[43]. En Belgique, l’Autorité de Protection des Données a annoncé travailler en étroite collaboration avec ses homologues au sein du Comité européen de Protection des Données[44].
En suite de cet arrêt, le Comité européen vient de publier deux séries de recommandations : l’une porte sur les garanties supplémentaires et prend la forme de projet soumis à consultation publique jusqu’au 21 décembre 2020[45] ; l’autre, définitive, est relative aux garanties essentielles européennes pour évaluer le droit du pays de destination du transfert[46].
Dans son projet de recommandation sur les garanties supplémentaires, le Comité européen de la Protection des Données propose, à l’instar d’autres[47], un processus en six étapes que nous résumons comme suit :
1. Étape 1 : cartographier les transferts dans un pays tiers
Il s’agit notamment d’identifier les traitements, les données, le(s) pays de destination, le(s) destinataire(s) des données. Quelques points devraient retenir l’attention au moment d’effectuer ce recensement :
- le Comité rappelle le principe de proportionnalité : il convient de vérifier que les données transférées en dehors de l’Union européenne sont adéquates, pertinentes et limitées au strictement nécessaire par rapport aux finalités/transferts[48] ;
- le registre des activités de traitement est un outil indispensable à cette vérification puisqu’il doit contenir la mention de ces transferts[49] ;
- le Comité rappelle que la notion de transfert concerne à la fois les données stockées physiquement en dehors de l’Union européenne que les données stockées physiquement en Europe mais auxquelles il est donné accès en dehors de l’Europe[50] ;
- en réalisant cette cartographie, l’on ne perdra pas de vue le transfert qui aurait lieu entre le responsable de traitement et le sous-traitant, mais également celui entre le sous-traitant et le sous-traitant ultérieur ; il se peut que le transfert hors Union européenne soit le fait du sous-traitant ou que la sous-traitance ultérieure implique un nouveau transfert[51].
2. Étape 2 : identifier l’outil de transfert utilisé parmi ceux proposés par le RGPD
Le Comité européen indique que si l’outil utilisé est une décision d’adéquation de la Commission européenne, il n’y a pas besoin de prendre d’autres mesures si ce n’est de vérifier que cette décision est toujours d’application[52] ; à défaut de décision d’adéquation, l’on doit utiliser l’un des outils listés à l’article 46 du RGPD[53] pour les transferts réguliers et répétitifs et s’assurer de disposer de garanties appropriées (le cas échéant avec des garanties supplémentaires) pour atteindre un niveau de protection équivalent à ce celui procuré par le RGPD ; ce n’est que de manière exceptionnelle que l’on peut recourir aux dérogations de l’article 49 du RGPD[54].
3. Étape 3 : vérifier, en cas d’utilisation des outils prévus à l’article 46 du RGPD, le droit et la pratique du pays destinataire des données
Lorsqu’il est recouru à l’un des outils listés à l’article 46 du RGPD, il convient de vérifier si dans le droit ou dans la pratique du pays tiers quelque chose peut altérer l’effectivité des garanties appropriées de l’outil de transfert et ce, dans le contexte spécifique du transfert[55] ; c’est à ce moment que la lecture de la seconde recommandation récemment publiée, celle sur les garanties essentielles européenne, est indispensable.
4. Étape 4 : identifier et adopter les mesures supplémentaires nécessaires
Lorsque l’analyse faite en étape 3 n’est pas concluante, il appartient au responsable de traitement de déterminer et d’adopter toutes les mesures supplémentaires pour atteindre le niveau de protection équivalent au RGPD. Le projet de recommandation du Comité européen propose des mesures exemplatives, que ce soit au niveau juridique (imposition contractuelle d’utiliser des mesures techniques spécifiques, obligation de transparence et d’information par l’importateur des données, pouvoir d’audit), technique (le chiffrement fort des données, la pseudonymisation des données ou le fractionnement des données) ou organisationnel (mesure de minimisation des données)[56]. Il rappelle que c’est au responsable de traitement qu’il appartient d’identifier et de mettre en place les mesures permettant d’atteindre un niveau adéquat de protection, à défaut de quoi il doit éviter, suspendre ou terminer le transfert des données vers le pays tiers[57]. S’il ne le fait, il doit prévenir l’Autorité de Protection des Données[58].
5. Étape 5 : mettre en place les mesures formelles
Lorsque le responsable de traitement met en place des mesures supplémentaires pour atteindre le niveau de protection adéquat, il doit formaliser ces mesures. Celles-ci peuvent varier en fonction de l’outil de transfert utilisé. Le projet de recommandation décrit les différentes situations[59]. Nous renvoyons le lecteur intéressé vers celui-ci.
6. Étape 6 : évaluer à intervalles réguliers le niveau de protection accordé au transfert en question[60]
Enfin, il faut procéder à une appréciation à intervalles réguliers de l’outil de transfert, de ses garanties, des mesures supplémentaires mises en place.
Ne serait-il pas plus simple d’interdire des traitements en dehors de la Belgique ?
Non, ce ne serait a priori pas conforme au droit européen primaire et ne correspondrait pas à la volonté du législateur européen selon lequel : « il est nécessaire que la libre circulation des données à caractère personnel au sein de l'Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel »[61]. L’objectif du règlement est même plutôt à l’opposé : il faut faciliter les échanges de données intra-européens. De plus, toutes les opérations de traitements ne sont pas possibles uniquement sur le territoire belge[62].
Pourrait-on alors interdire des traitements en dehors de l’Union européenne ?
Il est vrai que d’’aucuns conseillent de n’avoir recours qu’à des sous-traitants situés dans l’Union européenne[63].
Mais la réponse à cette question peut être affirmative ou négative. Réponse affirmative si l’on se trouve en dehors des hypothèses de transfert permises par le règlement, dont les conditions doivent être scrupuleusement vérifiées par le responsable de traitement et son sous-traitant. L’arrêt « Schrems II » rappelle qu’il s’impose au responsable de traitement de suspendre les traitement et/ou de résilier la convention de sous-traitance basée sur les clauses de protection type adoptées par la Commission européenne[64].
Encore faut-il que la convention de sous-traitance fasse usage de ces clauses de protection type, lesquelles permettent cette suspension ou cette résiliation.
Mais la réponse pourrait être négative si les conditions de l’une des hypothèses de transfert autorisée étaient rencontrées (documentation à l’appui fournie par le responsable de traitement et/ou son sous-traitant). Et la difficulté est bien là : avec l’arrêt « Schrems II », comment savoir si le transfert des données en dehors de l’Union européenne est conforme au règlement ? Le règlement et son interprétation dans l’arrêt « Schrems II » confient aux responsables de traitement (voire aux sous-traitants) une tâche délicate, invérifiable et impraticable.
Ne devrait-on pas alors considérer que dans la mesure où le responsable de traitement endosse des responsabilités importantes du fait de son statut et dans la mesure où il est supposé définir les moyens des traitements (en grande partie à tout le moins) mais aussi donner des instructions aux sous-traitants, il devrait être autorisé à interdire les transferts en dehors de l’Union européenne ? C’est dans ce sens, semble-t-il, que le Comité européen de Protection des Données - tout comme la CNIL[65] - s’est exprimé dans sa FAQ post Schrems II : « Le contrat que vous avez conclu avec votre sous-traitant conformément à l'article 28, paragraphe 3, du RGPD, doit indiquer si les transferts sont autorisés ou non »[66]. Pratiquement toutefois, cette solution juridique n’est pas (toujours) possible, les moyens technologiques n’étant pas nécessairement disponibles au sein de l’Union européenne.
Quelles perspectives ?
« Le Commissaire européen à la justice, Didier Reynders, a annoncé que l’UE achèverait la mise à niveau des CCT [clauses de protection type] post-Schrems II d’ici la fin de 2020 »[67]. Mais il est clair qu’un nouvel accord d’échange de données avec les États-Unis est indispensable mais qu’il n’est pas annoncé pour tout de suite.
L’on gardera aussi en tête que le Brexit va aussi impacter le domaine de la protection des données à caractère personnel dans un avenir proche. En effet, depuis le 1er février 2020, le Royaume-Uni ne fait plus partie de l’Union européenne. Jusqu’au 31 décembre 2020, le règlement continue toutefois de s’appliquer au Royaume-Uni. Dès le 1er janvier 2021, les transferts de données vers ce pays seront des transferts vers un pays tiers à l’Union européenne et seront régies par les articles 44 et suivants du règlement[68].
[1] Règlement 2016/679 du Parlement européen et du Conseil du 27.4.2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, J.O.U.E., 4.5.2016, ci-après le règlement ou le RGPD.
[2] C.J.U.E., 16.7.2020, C-311/18.
[3] http://www.uvcw.be/articles/3,902,2,0,7457.htm.
[4] http://www.uvcw.be/publications/modeles/modele-7460.htm.
[5] La notion de traitement est définie à l’article 4, 2) du règlement et est très large : il s’agit notamment de la collecte, du stockage, de la consultation, de la communication, de l’effacement ou de la destruction de données à caractère personnel.
[6] Art. 4, 7) du règlement.
[7] Art. 2, 1) du règlement.
[8] Art. 4, 8) du règlement.
[9] Pour plus de détails, voyez notre article consacré à la question : http://www.uvcw.be/articles/3,902,2,0,7457.htm.
[10] Art. 28, § 1er du règlement.
[11] Art. 28, § 3, a) du règlement.
[12] Art. 5, § 2 du règlement.
[13] Art. 82, § 2, du règlement.
[14] Voyez : Groupe article 29, « Avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant », publié le 16 février 2010, disponible sur : http://www.uvcw.be/no_index/files/518-avis-responsable-de-traitement-et-sous-traitant.pdf
[15] Art. 28, § 2, du règlement.
[16] Et non une information via publication d’un site internet dont le contenu peut varier.
[17] Et identiques à celles imposées au sous-traitant.
[18] Art. 44 du règlement ; en ce sens : C. DE TERWANGNE et C. GAYREL, ibid., p. 295.
[19] Considérant 6 du règlement.
[20] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[21] Voyez en jurisprudence : C.J.U.E., 6.11.2003, C-101/01.
[22] C. DE TERWANGNE et C. GAYREL, ibid., p. 289.
[23] Art. 44 et s. du règlement.
[24] Art. 25 et s. de la directive.
[25] Art. 44 du règlement.
[26] Art. 45 du règlement.
[27] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
[28] Appelée « Privacy shield », qui a toutefois été invalidée par la Cour de Justice : cf. infra.
[29] Art. 46, § 1er, du règlement.
[30] Pour les modèles de clauses de protection type, voyez ce qu’en dit l’Autorité de Protection des Données : https://www.autoriteprotectiondonnees.be/professionnel/themes/flux-internationaux-de-donnees/transferts-en-dehors-de-l-ue-sans-protection-adequate.
[31] Art. 46, § 2, b) et 47 du règlement.
[32] Art. 46, § 2, c) du règlement.
[33] Art. 46, § 2, d) du règlement.
[34] Art. 46, § 3, a).
[35] Art. 46, § 2, e) du règlement.
[36] Art. 46, § 2, f) du règlement.
[37] Décision de la Commission 2001/497/CE du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE ; décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil ; décision 2004/915/CE de la Commission du 27 décembre 2004 modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers ; décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016 modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive 95/46/CE du Parlement européen et du Conseil.
[38] Décision d’exécution de la Commission européenne du 26 juillet 2000, n°2000/520/CE.
[39] C.J.U.E., 6 octobre 2015, C-362/14.
[40] Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (ou « privacy shield »).
[41] Garantie en termes d’exercice des droits des personnes concernées (notamment, le droit d’accès et le droit à un recours effectif) et garanties en termes de limitation de l’utilisation des données par les autorités publiques.
[42] Décision n°2010/87 de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers ; cette décision vise le cas de transfert de données d’un responsable de traitement établi en Europe vers un sous-traitant établi en dehors de l’Union européenne.
[43] https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_fr
[44] https://www.autoriteprotectiondonnees.be/citoyen/actualites/2020/08/31/invalidation-de-la-decision-relative-a-l-adequation-de-la-protection-assuree-par-le-bbbouclier-de-protection-des-donnees-ue-etats-uniseb
[45] CEPD, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en ; on peut utilement consulter une publication du Groupe article 29 sur les critères d’adéquation disponible notamment sur le site de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/wp254_rev_0.1_fr.pdf
[46] CEPD, Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, disponible sur : https://edpb.europa.eu/our-work-tools/our-documents/recommendations/edpb-recommendations-022020-european-essential_en
[47] https://etaxlawservices.ey-avocats.com/actualite/juridique-/schrems-ii--la-cjue-invalide-le-privacy-shield ; voyez en ce sens, l’avis de l’Autorité de Protection des Données à propos du Brexit : https://www.autoriteprotectiondonnees.be/citoyen/themes/brexit et cf. infra.
[48] Point 11 du projet de recommandation.
[49] Art. 30, § 1, e) du règlement.
[50] Point 8 du projet de recommandation.
[51] Point 10 du projet de recommandation.
[52] Point 19 du projet de recommandation.
[53] Cf. supra pour plus de détails sur les outils.
[54] Point 25 du projet de recommandation.
[55] Pour plus d’explications, voyez les points 33 et suivants du projet de recommandation.
[56] Voyez l’annexe 2 du projet de recommandation.
[57] Point 52 du projet de recommandation.
[58] Point 53 du projet de recommandation.
[59] Points 55 et suivants du projet de recommandation.
[60] Points 62 et suivants du projet de recommandation.
[61] Considérant 13 du règlement.
[62] En ce sens, semble-t-il : C. DE TERWANGNE et C. GAYREL, ibid., p. 291.
[63] https://www.village-justice.com/articles/arret-schrems-chute-privacy-shield-les-responsables-traitement-doivent-repenser,36284.html
[64] Clause 5 de la décision n° 2010/87 de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.
[65] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd
[66] https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_fr
[67] https://www.hugheshubbard.com/news/limpact-de-larret-schrems-ii-sur-les-programmes-de-conformite-anticorruption ; voir aussi : https://www.lecho.be/entreprises/technologie/la-justice-europeenne-invalide-l-accord-d-echange-de-donnees-conclu-avec-les-etats-unis/10239508.html
[68] Voyez une publication de l’Autorité de protection des données sur le sujet : https://www.autoriteprotectiondonnees.be/citoyen/ themes/brexit ; voyez aussi une communication du CEPD : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit-october_fr.pdf
L'article complet au format PDF
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?