Le 16 juillet dernier, la Cour de Justice de l’Union européenne (la « CJUE » ou la « Cour ») par son arrêt « Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18 », a invalidé la décision n° 2016/1250 et, par conséquent, l’accord conclu entre l’Union européenne et les États-Unis destiné à protéger et régir le transfert de données personnelles de citoyens de l’Union à des destinataires situés sur le territoire américain (le « Privacy Shield »).
Pour ceci, Comité européen de la protection des données (« l’EDPB ») a préparé une « Foire Aux Questions » (« FAQ ») que l’Autorité de protection italienne (« l’Autorité de protection ») a traduit en Italien.
Celles-ci prennent le soin de souligner que peuvent encore être considérés comme aptes à justifier le transfert des données personnelles à des destinataires établis hors du territoire de l’Union européenne les autres instruments prévus par le Règlement UE 2016/679 en matière de protection des données personnelles (le « Règlement »), en citant les Clauses contractuelles types (les « Standard Contractual Clauses » ou « SCC ») et les règles d’entreprise contraignantes (les « Binding Corporate Rules » ou « BCR »). Il est de plus souligné que les parties ont la responsabilité d’évaluer au cas par cas les transferts effectués étant précisé que : « le Comité européen de la protection des données est en train d’analyser l’arrêt de la Cour pour décider quelles mesures supplémentaires pourraient être mises en place en plus des SCC ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers dans lesquels les SCC ou les BCR ne pourront pas garantir seules un niveau suffisant de garanties ».
Cela dit, les FAQ renvoient à un autre instrument servant de base juridique justifiant de tels transferts, à savoir le consentement des personnes concernées. En particulier, il est bien précisé que le langage du consentement doit être simple et clair et doit informer de façon transparente les personnes concernées sur les éventuels risques qu’un transfert vers les États-Unis ou, en tout état de cause, d’autres juridictions étrangères pourrait poser.
Par souci d’exhaustivité, il est de plus signalé que les autres instruments prévus par le Règlement comme bases juridiques permettant de justifier les transferts à l’étranger sont : (i) la présence d’une Décision constatant le niveau de protection adéquat aux exigences européennes en matière de protection des données personnelles et (ii) l’adhésion à des Codes de conduite spécifiques ou, en tout état de cause, à des mécanismes de certification qui doivent être appliqués par la personne à laquelle les données sont transférées.
◊◊◊◊
En tout état de cause, à la lumière des commentaires de la Cour à travers l’arrêt commenté et des FAQ de l’EDPB, toute organisation effectuant des transferts de données vers des destinataires établis hors du territoire de l’Union doit effectuer une évaluation spécifique des traitements ainsi que des risques afférents en identifiant au cas par cas l’instrument permettant de justifier le transfert effectué.
Autres Insights:
