Bruxelles, le 16 juin - Le CEPD a adopté des lignes directrices sur la certification en tant qu’outil au service des transferts. L’article 46, paragraphe 2, point f), du RGPD introduit des mécanismes de certification approuvés en tant que nouvel outil permettant de transférer des données à caractère personnel vers des pays tiers en l’absence d’accord d’adéquation. L’objectif principal de ces lignes directrices est de fournir davantage de précisions sur l’utilisation pratique de cet outil de transfert.
Le vice-président du CEPD, Ventsislav Karadjov, a déclaré: «Ces lignes directrices sont novatrices, car elles fournissent les toutes premières orientations pratiques sur la certification en tant qu’outil au service des transferts - un nouvel outil de transfert introduit par le RGPD. Les lignes directrices fournissent des orientations sur la manière dont cet outil peut être utilisé dans la pratique et sur la manière dont il peut contribuer à maintenir un niveau élevé de protection des données lors du transfert de données à caractère personnel de l’Espace économique européen vers des pays tiers.»
Les lignes directrices se composent de quatre parties, axées chacune sur des aspects spécifiques de la certification en tant qu’outil de transfert, tels que l’objectif, le champ d’application et les différents acteurs concernés; les orientations de mise en œuvre concernant les exigences en matière d’accréditation pour les organismes de certification; les critères de certification spécifiques visant à démontrer l’existence de garanties appropriées pour les transferts; et les engagements contraignants et exécutoires à mettre en œuvre. Les lignes directrices complètent les lignes directrices 1/2018 relatives à la certification, qui fournissent des orientations plus générales en matière de certification. Les lignes directrices feront l’objet d’une consultation publique jusqu’à la fin du mois de septembre.
Le CEPD a adopté une décision en matière de règlement des litiges sur la base de l’article 65 du RGPD. La décision contraignante vise à remédier à l’absence de consensus sur certains aspects d’un projet de décision émis par l’autorité de contrôle française agissant en tant qu’autorité de contrôle chef de file au sujet d’Accor SA, une société spécialisée dans le secteur de l’hôtellerie et de la restauration dont l’établissement principal est situé en France, et aux objections formulées ultérieurement par l’une des autorités de contrôle concernées.
L’autorité de contrôle chef de file a émis le projet de décision à la suite d’une enquête fondée sur une plainte concernant Accor SA et la non-prise en compte du droit de s’opposer à la réception de messages marketing par courrier électronique et/ou des difficultés rencontrées dans l’exercice du droit d’accès. Le 30 avril 2021, l’autorité de contrôle chef de file a communiqué son projet de décision aux autorités de contrôle concernées conformément à l’article 60, paragraphe 3, du RGPD. Une autorité de contrôle concernée a émis des objections conformément à l’article 60, paragraphe 4, du RGPD en ce qui concerne, notamment, le montant de l’amende.
Les autorités de contrôle n’ont pas pu parvenir à un consensus sur l’une des objections, qui a ensuite été renvoyée par l’autorité de contrôle chef de file au CEPD pour qu’il statue conformément à l’article 65, paragraphe 1, point a), du RGPD, ouvrant ainsi la procédure de règlement des litiges.
Le CEPD a à présent adopté sa décision contraignante. La décision porte sur le bien-fondé de la partie de l’objection jugée «pertinente et motivée» conformément aux exigences de l’article 4, paragraphe 24,du RGPD.
La décision va maintenant être traduite au plus vite conformément à l’article 11, paragraphe 6, du règlement intérieur du CEPD. Ensuite, les autorités de contrôle concernées seront formellement informées. L’autorité de contrôle chef de file adopte sa décision finale, adressée au responsable du traitement, sur la base de la décision du CEPD, dans les meilleurs délais et au plus tard un mois après que le CEPD a notifié sa décision. Le CEPD publiera sa décision sur son site internet dans les meilleurs délais après que l’autorité de contrôle chef de file aura notifié sa décision nationale au responsable du traitement.
Note à l’attention des rédacteurs:
Les lignes directrices font l'objet des contrôles juridiques, linguistiques et de formatage nécessaires et seront publiées sur le site internet du CEPD une fois ces contrôles effectués.
La décision contraignante au titre de l’article 65 sera publiée après que l’autorité de contrôle chef de file aura notifié sa décision finale au responsable du traitement. Pour de plus amples informations sur la procédure prévue à l’article 65, veuillez consulter la FAQ.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.