Vente à emporter (AI)
- Les clauses contractuelles standard peuvent toujours être utilisées, mais des mesures de protection supplémentaires sont nécessaires pour les transferts vers les États-Unis si le pays tiers n’offre pas un niveau de protection des données équivalent.
- Les règles d’entreprise contraignantes doivent également garantir un niveau de protection des données essentiellement équivalent ; les autorités de contrôle jouent un rôle clé dans l’application du RGPD.
La conférence allemande des autorités indépendantes de protection des données de l’État fédéral et des Länder (DSK) a publié une Communiqué de presse vers le site Arrêt de la CJCE dans l’affaire Schrems II a été publiée. Elle y constate que
- les clauses contractuelles types existantes peuvent en principe continuer à être utilisées pour un transfert de données personnelles vers les États-Unis et d’autres pays tiers, mais la CJUE a souligné la responsabilité du responsable du traitement et du destinataire d’évaluer si les droits des personnes concernées bénéficient dans le pays tiers d’un “niveau de protection équivalent à celui qui existe dans l’Union”. Dans le cas contraire, d’autres mesures devraient être envisagées pour assurer le niveau de protection requis. “Toutefois, la législation du pays tiers ne doit pas porter atteinte à ces mesures de protection supplémentaires d’une manière qui en priverait l’effet réel”. En outre : “Selon l’arrêt de la CJUE, les clauses contractuelles standard ne sont en principe pas suffisantes pour les transferts de données vers les États-Unis sans mesures supplémentaires.„
- Les valeurs de l’arrêt s’appliquent également aux BCR. Elles doivent également garantir un niveau de protection des données substantiellement équivalent à celui de l’UE.
- La CJUE a également attribué aux autorités de contrôle un rôle clé dans l’application du RGPD. Les autorités de contrôle allemandes coordonneront leur action au sein du Comité européen de la protection des données.