News
Recommandations 2.0 du CEPD : quelles évolutions pour les exportateurs de données ?
Ces recommandations du Comité Européen de Protection des Données font suite à la publication par la Commission des nouvelles Clauses Contractuelles Types. Me Sabine Marcellin explique les évolutions notables pour les utilisateurs de clouds américains.
Le CEPD (Comité Européen de Protection des Données) partage depuis le 18 juin 2021 une nouvelle version des « Recommandations sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données ».
Le contexte post Schrems II
Comme la CJUE (Cour de Justice de l’Union européenne) l’a rappelé dans son arrêt Schrems II, le RGPD impose aux exportateurs de données d’évaluer les conditions qui encadrent les transferts de données personnelles.
Les responsables de traitement et leurs sous-traitants se doivent de mettre en place des mesures adaptées, pour garantir que ces données font l’objet d’une protection équivalente à celle garantie au sein de l’Union européenne. Ces outils de transfert comprennent les CCT mais également les dérogations, Règles d’Entreprises Contraignantes (BCR) et Arrangements Administratifs.
Dans cet arrêt, la Cour indiquait que les CCT pouvaient toujours être utilisées pour les transferts, mais qu’il incombe à l’exportateur d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le RGPD.
Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection équivalent. C’est à propos de ces mesures complémentaires que le CEPD a publié, le 18 juin dernier, la version finale de ses Recommandations.
Nouveautés des recommandations 2.0
La version finale des recommandations comprend plusieurs modifications, par rapport à la première version de novembre 2020, faisant suite aux commentaires reçus lors de la consultation publique.
La présidente du CEPD, Andrea Jelinek, a déclaré que « l’impact de Schrems II ne peut être sous-estimé : les flux de données internationaux sont déjà soumis à un examen beaucoup plus attentif de la part des autorités de contrôle, qui mènent des enquêtes à leurs niveaux respectifs. L’objectif des recommandations du CEPD est de guider les exportateurs dans le transfert licite de données à caractère personnel vers des pays tiers, tout en garantissant que les données transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’Espace économique européen. »
Parmi les principales modifications figurent :
Pour lire la suite : https://www.lemagit.fr/conseil/Recommandations-20-du-CEPD-quelles-evolutions-pour-les-exportateurs-de-donnees
Si le sujet vous intéresse, Sabine Marcellin est intervenue lors d'une de nos conférences ouvre ta tech : Data & Open Source : limite et enjeux de la vie privée
Aucun commentaire
Vous devez être connecté pour laisser un commentaire. Connectez-vous.