Ce que vous devez savoir.

Saviez-vous que le 28 janvier 1981, la Convention 108, à savoir le premier instrument international juridiquement contraignant du Conseil de l'Europe dans le domaine de la protection des données à caractère personnel, a été ouverte à la signature? Depuis 2007, nous célébrons donc la Journée internationale de la protection des données à caractère personnel à cette date ! Un excellent moment pour revenir sur l'un des développements les plus importants de l'année écoulée en matière de protection des données : le tant attendu arrêt Schrems II, prononcé par la Cour de Justice de l’Union Européenne sur le transfert de données à caractère personnel en dehors de l'EEE.

Le 16 juillet 2020, la Cour de Justice a déclaré invalide le bouclier de protection des données UE-États-Unis. La Cour estime que le bouclier de protection des données UE-États-Unis offre trop peu de garanties aux personnes concernées pour la protection de leurs données à caractère personnel aux États-Unis, en particulier en raison de l'ingérence excessive du gouvernement américain. Concrètement, cela signifie que tous les transferts de données à caractère personnel vers les États-Unis fondés sur le bouclier de protection des données UE-États-Unis effectués depuis lors sont devenus invalides.

Votre entreprise ne transfère pas de données à caractère personnel aux États-Unis ? Nous vous invitons néanmoins à poursuivre votre lecture ! Bien que la Cour n'ait déclaré invalide que le bouclier de protection des données UE-États-Unis, elle a également jugé que désormais une « analyse d'impact du transfert de données » doit être réalisée pour tout transfert en dehors de l'EEE. L'arrêt a donc un impact sur toute entreprise qui transfère des données à caractère personnel en dehors de l'EEE, quel que soit le mécanisme utilisé par l'entreprise. N'oubliez pas que, depuis le Brexit, les transferts vers le Royaume-Uni sont également en principe considérés comme des transferts hors de l'EEE (bien que l'Accord de commerce et de coopération EU-Royaume-Uni prévoie un moratoire à ce sujet jusqu'au 30 avril 2021 au moins).

Ce que vous devez faire.

Tout d'abord, vous devez identifier tous les transferts de données à caractère personnel en dehors de l'EEE. Cela comprend également le simple stockage de données à caractère personnel avec des parties situées en dehors de l'EEE. Vous devez ensuite déterminer sur quel mécanisme votre entreprise peut s'appuyer pour le transfert. Cela n’a rien de nouveau. L'arrêt Schrems II indique clairement que vous devez ensuite également effectuer une analyse d'impact du transfert de données.

Si l'une des décisions d'adéquation de la Commission européenne s'applique au pays tiers, votre entreprise n'a pas à prendre d'autres mesures (à l'exception du contrôle de la validité de la décision d'adéquation). Dans un tel cas, la Commission européenne a déjà réalisé l'analyse d'impact du transfert de données. L'analyse d'impact du transfert de données s'arrête aussi ici si votre entreprise invoque l'une des dérogations prévues à l'article 49 du GDPR pour des transferts occasionnels.

Si, en revanche, votre entreprise utilise les clauses contractuelles types de la Commission européenne ou a adopté des règles internes contraignantes pour les transferts intra-groupes, vous devez toujours vérifier que les lois et pratiques du pays tiers ne mettent pas en cause l'efficacité du contrat / des règles internes et, si nécessaire, prendre des mesures complémentaires pour protéger les données à caractère personnel transférées vers le pays tiers. À cet égard, l'EDPB a récemment publié des lignes directrices pour aider les entreprises à réaliser cette analyse. Ainsi, vous devez vérifier si les personnes concernées peuvent y exercer effectivement leurs droits, ou s'il existe une législation qui réglemente l'accès des autorités publiques aux données à caractère personnel et si une autorité indépendante de protection des données à caractère personnel est active. Les lignes directrices contiennent les sources d'informations pertinentes à cet égard. Si l'analyse d'impact du transfert de données révèle que la législation du pays tiers nuit à l'efficacité du mécanisme de transfert que vous utilisez, vous devez arrêter le transfert ou fournir des garanties supplémentaires. Les lignes directrices fournissent quelques exemples de mesures supplémentaires qui peuvent être prises.

Il est conseillé de documenter l'analyse d'impact du transfert de données de chaque transfert dans un document central, au cas où une autorité de protection des données à caractère personnel aurait des questions à ce sujet.

Enfin, vous avez encore le temps pour les transferts vers le Royaume-Uni. Le transfert de données à caractère personnel est encore possible au moins jusqu'au 30 avril 2021 sans mesures supplémentaires. Cette période de transition peut être prolongée de deux mois et doit permettre à la Commission européenne de déterminer si une décision d'adéquation peut être adoptée pour le Royaume-Uni. S'il n'y a pas de décision d'adéquation (adoptée à temps), votre entreprise devra alors recourir à un autre mécanisme (en ce compris l'analyse d'impact du transfert de données) ou s'appuyer sur l'une des dérogations.

2021 s'annonce donc également comme une année intéressante et passionnante en termes de protection des données à caractère personnel!