• Home
  • Data privacy
  • Que faire après l’arrêt Schrems II ? L’autorité de contrôle du Land de Bade-Württemberg fournit une première orientation

Que faire après l’arrêt Schrems II ? L’autorité de contrôle du Land de Bade-Württemberg fournit une première orientation

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

L’autorité nationale pour la protection des données et de la liberté d’information du Land du Bade-Wurtemberg (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg ou LfDI BW) a récemment publié son avis[1] sur le transfert international de données personnelles après l’arrêt « Schrems II » de la Cour de Justice de l’Union Européenne (CJUE) du 16 juillet 2020.[2]

Les conséquences de l’affaire Schrems

La décision n’a pas seulement invalidé l’accord entre l’UE et les États-Unis connu sous le nom de Privacy Shield. La Cour a aussi jugé que les responsables du traitement doivent évaluer la pertinence des transferts des données fondés sur les standard contractual clauses (SCC – clauses contractuelles types). En conséquence, les entreprises sont confrontées à de nouveaux défis en matière de transfert des données, en considérant l’incertitude déclenchée par la décision.

Selon la Cour les clauses contractuelles types pourraient continuer à être utilisées, mais elles devront offrir le même niveau de protection des données personnelles que le RGPD. Par conséquent, les entreprises seront obligées d’évaluer si les clauses contractuelles types respectent le niveau de protection des données vers le pays tiers concerné.

S’il ressort de l’évaluation que le niveau de protection des données du pays tiers concerne ne peut être compensé par des clauses contractuelles types, alors l’exportateur des données et le destinataire des données doivent appliquer des mesures supplémentaires en plus de ces clauses, et peut-être modifier également les clauses elles-mêmes.

Ce sont quelques indications fournies par la Cour et le Comité européen de la protection des données (EDPB)[3] sur le transfert des données après l’arrêt Schrems II. Le LfDI BW a également émis ses orientations.

L’orientation du LfDI BW

Tout d’abord, le LfDI BW réaffirme que le Privacy Shield ne peut plus être considéré une base juridique valable pour le transfert des données personnelles, et que tous les transferts réalisés sur le fondement du Privacy Shield sont illégaux et sont passibles d’amandes.

En matière de clauses contractuelles types, le LfDI BW juge nécessaire de prendre des mesures de sécurité supplémentaires pour empêcher efficacement les services de renseignement américain d’accéder aux données personnelles transférés vers les États-Unis, notamment le chiffrement, l’anonymisation et la pseudonymisation.

Un autre point essentiel est l’information du fournisseur de services (ou partenaire contractuel) de l’arrêt Schrems et les conséquences sur les transferts de données.

Enfin, pour le LfDI BW, il est également crucial de revoir les clauses contractuelles types : vérifier celles qui peuvent continuer à être utilisées sans appliquer des mesures de sécurité supplémentaires (l’anonymisation etc.), et également constater si les données personnelles peuvent être transférées vers un pays tiers avec des mesures telles que celle-ci.

Le LfDI BW conclut en reconnaissant qu’après l’arrêt Schrems, ce sera un défi pour les entreprises de se conformer strictement a la décision de la Cour. Par conséquent, l’autorité allemande fondera sa démarche sur le principe de proportionnalité et suivra attentivement l’évolution dans ce domaine, pour mieux développer sa position.

L’avis de l’autorité allemande sera la première des lignes directrices des autorités européennes. Les entreprises devront déployer tous leurs efforts pour se conformer au RGPD dès lors que les transferts des données vers les pays tiers sont essentiels aux échanges commerciaux et certains partenaires économiques sont irremplaçables.

[1] Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?, LfDI BW, 25/08/20. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf.
[2] Arrêt de la Cour (grande chambre) du 16 juillet 2020. Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems. https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62018CJ0311&from=FR.
[3] Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fr.pdf.

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :