Bruxelles, le 11 novembre - Lors de sa 41e séance plénière, le CEPD a adopté des recommandations sur les mesures complétant les instruments de transfert afin de garantir le respect du niveau de protection des données à caractère personnel de l’UE, ainsi que des recommandations sur les garanties essentielles européennes pour les mesures de surveillance.
Ces deux documents ont été adoptés dans le prolongement de l’arrêt Schrems II de la CJUE. Suite à l’arrêt du 16 juillet, les responsables du traitement s’appuyant sur des clauses contractuelles types (CCT) sont tenus de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire des données dans le pays tiers, si la législation du pays tiers assure un niveau de protection des données à caractère personnel transférées qui est substantiellement équivalent à celui garanti dans l’Espace économique européen (EEE). La CJUE a autorisé les exportateurs à ajouter des mesures complémentaires aux CCT afin de garantir le respect effectif de ce niveau de protection lorsque les garanties contenues dans les CCT ne sont pas suffisantes.
Les recommandations visent à aider les responsables du traitement et les sous-traitants agissant en tant qu’exportateurs de données dans leur tâche consistant à déterminer et à mettre en œuvre des mesures supplémentaires appropriées lorsque celles-ci sont nécessaires pour garantir un niveau de protection substantiellement équivalent aux données qu’ils transfèrent vers des pays tiers. Ce faisant, le CEPD cherche à obtenir une application cohérente du RGPD et de l’arrêt de la Cour dans l’ensemble de l’EEE.
Andrea Jelinek, présidente du CEPD, a fait la déclaration suivante: «Le CEPD est pleinement conscient de l’incidence de l’arrêt Schrems II sur des milliers d’entreprises de l’UE et de la responsabilité importante qu’il confère aux exportateurs de données. Le CEPD espère que ces recommandations pourront aider les exportateurs de données à déterminer et à mettre en œuvre des mesures supplémentaires efficaces là où elles sont nécessaires. Notre objectif est de permettre les transferts licites de données à caractère personnel vers des pays tiers tout en garantissant que les données transférées bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’EEE.»
Les recommandations comprennent une feuille de route précisant les étapes que les exportateurs de données doivent suivre pour déterminer s’ils doivent mettre en place des mesures supplémentaires afin de pouvoir transférer des données en dehors de l’EEE conformément au droit de l’Union. En outre, elles les aident à définir les mesures qui pourraient être efficaces. Pour aider les exportateurs de données, les recommandations contiennent également une liste non exhaustive d’exemples de mesures supplémentaires et certaines des conditions nécessaires à leur efficacité.
Toutefois, c'est en fin de compte aux exportateurs de données qu'il incombe de procéder à une évaluation concrète dans le cadre du transfert, de la législation du pays tiers et de l’instrument de transfert sur lequel ils s’appuient. Les exportateurs de données doivent faire preuve de la vigilance appropriée et documenter leur processus de manière approfondie, étant donné qu'ils seront tenus responsables des décisions qu’ils prennent sur cette base, conformément au principe de responsabilité du RGPD. En outre, les exportateurs de données doivent savoir qu’il n’est pas toujours possible de mettre en œuvre des mesures supplémentaires suffisantes dans chaque cas.
Les recommandations concernant les mesures supplémentaires seront soumises à la consultation publique. Elles seront applicables immédiatement après leur publication.
En outre, le CEPD a adopté des recommandations sur les garanties essentielles européennes pour les mesures de surveillance. Les recommandations sur les garanties essentielles européennes viennent compléter les recommandations sur les mesures supplémentaires. Les recommandations sur les garanties essentielles européennes fournissent aux exportateurs de données des éléments permettant de déterminer si le cadre juridique régissant l’accès des autorités publiques aux données à des fins de surveillance dans les pays tiers peut être considéré comme une ingérence justifiable dans les droits au respect de la vie privée et à la protection des données à caractère personnel, et donc comme n’empiétant pas sur les engagements de l’instrument de transfert au titre de l’article 46 du RGPD sur lequel se fondent l’exportateur et l’importateur de données.
La présidente a ajouté ceci: «Les conséquences de l’arrêt Schrems II s’étendent à tous les transferts vers des pays tiers. Il n’existe donc aucune solution miracle ni universelle pour tous les transferts, car ce serait faire abstraction de la grande diversité des situations auxquelles sont confrontés les exportateurs de données. Les exportateurs de données devront évaluer leurs opérations de traitement et transferts de données et prendre des mesures efficaces en tenant compte de l’ordre juridique des pays tiers vers lesquels ils transfèrent ou envisagent de transférer des données.»
Les autorités de contrôle de la protection des données de l’EEE continueront de coordonner leurs actions au sein du CEPD afin de garantir la cohérence dans l’application de la législation de l’UE en matière de protection des données.
Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le CEPD sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du CEPD une fois ces vérifications effectuées.
EDPB_Press Release_2020_18