Bruxelles, le 21 juin - Lors de sa séance plénière, le comité européen de la protection des données a adopté une version finale des recommandations sur les mesures supplémentaires à l’issue d’une consultation publique. Les recommandations ont été adoptées pour la première fois en novembre 2020, suite à l’arrêt de la CJUE dans l’affaire Schrems II. Elles visent à aider les responsables du traitement et les sous-traitants agissant en tant qu’exportateurs de données dans leur tâche consistant à déterminer et à mettre en œuvre des mesures supplémentaires appropriées lorsque celles-ci sont nécessaires pour garantir un niveau de protection substantiellement équivalent aux données qu’ils transfèrent vers des pays tiers.
La version finale des recommandations contient plusieurs modifications visant à tenir compte des commentaires et des retours d’informations reçus lors de la consultation publique et met notamment l’accent sur les pratiques des autorités publiques en vigueur dans les pays tiers.
Parmi les principales modifications figurent: l’accent mis sur l’importance d’examiner les pratiques des autorités publiques des pays tiers dans le cadre de l’évaluation juridique des exportateurs, afin de déterminer si la législation et/ou les pratiques du pays tiers portent atteinte — en pratique — à l’efficacité de l’instrument de transfert visé à l’article 46 du RGPD; la possibilité pour l’exportateur de prendre en considération, parmi d’autres éléments et avec certaines réserves, l’expérience pratique de l’importateur dans son évaluation; et la mise au point sur le fait que la législation du pays tiers de destination autorisant les autorités dudit pays à accéder aux données transférées, même en l’absence d’intervention de la part de l’importateur, est également susceptible de porter atteinte à l’efficacité de l’instrument de transfert.
En ce qui concerne les nouvelles clauses contractuelles types pour les transferts internationaux récemment publiées par la Commission européenne, les recommandations sont utiles pour examiner les «[l]égislations et pratiques locales ayant une incidence sur le respect des clauses» (clause 14 des nouvelles clauses contractuelles types) et évaluer l’éventuelle nécessité de mettre en œuvre des mesures supplémentaires.
Andrea Jelinek, présidente du comité européen de la protection des données, a fait la déclaration suivante: «l’effet de l’arrêt Schrems II ne saurait être sous-estimé: les flux de données internationaux font déjà l’objet d’un examen beaucoup plus attentif de la part des autorités de contrôle, qui mènent des enquêtes à leurs niveaux respectifs. L’objectif des recommandations du comité européen de la protection des données est de fournir aux exportateurs des orientations leur permettant de transférer légalement des données à caractère personnel vers des pays tiers, tout en garantissant que les données ainsi transférées bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Espace économique européen. En dissipant certains doutes exprimés par les parties prenantes, notamment concernant l’importance d’examiner les pratiques des autorités publiques dans les pays tiers, nous voulons que les exportateurs de données puissent plus facilement savoir comment évaluer leurs transferts vers des pays tiers et identifier et mettre en œuvre des mesures supplémentaires efficaces, lorsque celles-ci s’avèrent nécessaires. Le comité continuera à tenir compte des effets de l’arrêt Schrems II et des commentaires reçus de la part des parties prenantes dans ses futures orientations».
Le texte intégral des recommandations est disponible ici: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
Le comité européen de la protection des données a adopté une lettre adressée aux institutions de l’UE sur les aspects relatifs à la vie privée et à la protection des données d’un éventuel euro numérique. Dans cette lettre, le comité européen de la protection des données souligne que des normes très élevées en matière de vie privée et de protection des données sont essentielles pour renforcer la confiance des utilisateurs finaux et qu’elles devraient être considérées comme un élément distinctif dans la proposition d’un euro numérique, constituant ainsi un facteur clé de succès. Ces préoccupations devraient être prises en considération dès la phase de conception. En outre, le comité européen de la protection des données recommande que l’organe de l’UE responsable de la conception du projet réalise une analyse d’impact de haut niveau concernant la protection des données. Le comité européen de la protection des données indique également qu’il est disposé à fournir des conseils à la BCE ou à d’autres institutions de l’UE.
Enfin, le comité européen de la protection des données a désigné trois représentants pour participer au comité d’orientation sur les droits fondamentaux du système européen d’information et d’autorisation concernant les voyages (ETIAS), qui est chargé d’évaluer l’incidence du traitement des demandes et qui jouera un rôle important en vue de garantir que le système respecte les droits fondamentaux, notamment en ce qui concerne la vie privée et la protection des données à caractère personnel. Le comité sera composé de représentants de FRONTEX, du CEPD, du comité européen de la protection des données et de l’Agence des droits fondamentaux (FRA).
Au cours de la séance plénière, le comité européen de la protection des données a également adopté un avis conjoint avec le CEPD concernant le projet de règlement sur l’intelligence artificielle. Un communiqué de presse distinct sera publié à ce sujet dans le courant de la journée.
Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.
EDPB_Press Release_2021_05