Actualités

Invalidation du Privacy Shield : et maintenant ?

Cet article est extrait du webinaire de Mission RGPD, retrouvez le replay ici.

Le Privacy Shield, qu’est-ce que c’est ?

Le Privacy Shield est un accord international régissant les transferts de données personnelles depuis l’Union Européenne vers les Etats-Unis entré en vigueur le 1er août 2016. 

Par une décision du 16 juillet 2020 de la Cour de Justice de L’union Européenne (CJUE), la Cour vient invalider ce principe dans un arrêt Schrems II. 

Les motifs invoqués sont les suivants : 

  • Garanties juridiques offertes par le Privacy Shield sont insuffisantes 
  • Non-respect du principe de proportionnalité 
  • Absence de recours effectif et d’accès à un tribunal impartial 

Quelles recommandations faut-il suivre depuis l’invalidation du Privacy Shield ? 

Le Comité Européen de la Protection des Données (CEPD) a publié le 10 novembre 2020 ses recommandations pratiques en 6 étapes : 

  • Recenser et cartographier les transferts internationaux envisagés 
    • Réaliser cette étape avant tout commencement de transfert de données ou reprise des transferts ayant été suspendus 
    • Respectez le principe de minimisation des données et de limitation des finalités 
  • Identifier les outils de transferts utilisables 
    • Décision d’adéquation de la commission Européenne 
    • Transferts moyennant des garanties appropriées 
    • Dérogations pour situations particulières en l’absence de décision d’adéquation ou de garanties appropriées 
  • Evaluer le régime juridique du pays tiers 
    • La seule utilisation d’outils de transferts (CCT, BCR…) ne garantit pas toujours la licéité du transfert 
    • Evaluer l’efficacité des garanties appropriées apportées par ces outils au regard des circonstances du transfert
  • 3 Mesures complémentaires :
    • Techniques : empêcher l’accès aux données et l’identification des personnes concernées 
    • Contractuelles 
    • Organisationnelles : politique interne, normes applicables
  • Les mesures procédurales exigées pour adopter les mesures complémentaires 
  • Réévaluer périodiquement le niveau de protection des données transférées vers un pays tiers 

Regardez le replay de notre webinaire pour connaitre les recommandations complémentaires à suivre dans votre quotidien ici.

Author

MissionRGPDMargot

Leave a comment

Your email address will not be published. Required fields are marked *