L’autorité de protection des données du Bade-Wurtemberg (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI) a publié le 24 août 2020 une Aide à l’orientation vers le site Décision de la CJUE du 16 juillet 2020 concernant Schrems II a été publié. Elle y prend position sur l’arrêt et formule des recommandations concrètes pour les entreprises qui envisagent de continuer à traiter des données personnelles sur la base des clauses contractuelles types (SCC) vers un pays tiers. Dans l’ensemble, le LfDI constate qu’un transfert vers les États-Unis sur la base de la CCP est “certes envisageable”, mais que les exigences de la CJUE en matière de garanties supplémentaires ne sont remplies que “dans de rares cas”.
Tout d’abord, le LfDI constate ce qui suit :
- Le site Privacy Shield n’est plus valable dès maintenant.
- Les CCP restent valables, mais uniquement à condition qu’un niveau de protection adéquat des données personnelles des personnes concernées soit effectivement assuré dans l’UE/EEE. Cela implique, d’une part, des garanties appropriées et, d’autre part, que les personnes concernées disposent de droits exécutoires et de voies de recours efficaces. Si les autorités locales du pays tiers peuvent interférer de manière excessive avec les droits de la personne concernée en cas de possibilité d’accès complet à leurs données, n’est pas un niveau de protection adéquat donné et des mesures supplémentaires sont nécessaires en plus des SCC.
- Si ces mesures ne permettent pas d’atteindre un niveau de protection adéquat, le transfert ne doit pas avoir lieu ou doit être suspendu.. De même, l’autorité compétente du pays de l’exportateur de données (dans l’UE/EEE) doit interdire un tel transfert.
Le LfDI en déduit ce qui suit :
- Si un exportateur de données a l’intention de continuer à baser les transferts de données de l’UE/EEE vers les États-Unis sur la CCN, il doit mettre en place des garanties supplémentairesLes données sont stockées dans des bases de données qui empêchent les autorités américaines (par ex. les services secrets) d’y accéder, notamment par Cryptage, anonymisation ou pseudonymisation des données personnelles en question, sachant que lui seul peut détenir la clé de ré-identification ;
- Les transmissions vers d’autres pays tiers ne sont également autorisées qu’après un examen préalable de la situation juridique locale (possibilités d’accès existantes par les autorités locales, mesures supplémentaires) ;
- Si les mesures mentionnées ne permettent pas de garantir un niveau de protection adéquat, une Transfert vers 49 RGPD selon le texte uniquement dans des cas exceptionnels et seulement au cas par cas Les données à caractère personnel peuvent être collectées et traitées de différentes manières, par exemple avec le consentement de la personne concernée, dans le cadre d’un contrat ou pour faire valoir des droits (voir également la section “Protection des données”). Considérant 111).
Enfin, le LfDI formule des instructions concrètes pour agir pour les entreprises concernées :
- État des lieux sur les pertinentes Transmission de données vers des pays tiers (y compris les accès en provenance de ces pays) ;
- Information des parties contractantes sur le jugement ainsi que sur les conséquences qui en découlent sur la relation contractuelle ;
- Examen de la situation juridique ainsi que de l’existence d’une décision d’adéquation pour le pays tiers concerné ;
- Examen de l’utilisation de la CCNLa Commission européenne a estimé que l’accès à des données à caractère personnel ne devait pas être considéré comme une violation des droits de l’homme, ce qui n’est pas le cas dans les cas où les autorités locales ont un accès illimité (par exemple, consultation massive de données sans information ni recours procédural des personnes concernées), conformément à ce qui a été dit plus haut.
En outre, le LfDI propose diverses adaptations de l’annexe de la SCC pour le processeur du contrôleur Transferts de données avant. Les entreprises sont tenues de procéder à ces adaptations, afin notamment de pouvoir répondre à leurs “besoins”.démontrer et documenter sa volonté d’agir en conformité avec la loi”. Les modifications portent entre autres sur l’extension des obligations d’information de l’exportateur de données vis-à-vis des personnes concernées, qui doivent être informées en cas de chaque L’importateur de données est tenu de divulguer les données concernées uniquement sur la base d’un jugement définitif rendu par une autorité de dernière instance, ainsi que d’autres adaptations concernant la procédure de règlement des litiges et une clause spécifique relative à l’indemnisation entre les parties (cf. chiffre IV).
Si une transmission de données ne peut pas être effectuée conformément à ces conditions supplémentaires, il ne reste qu’une transmission selon la disposition d’exception mentionnée selon Art. 49 RGPD. Dans le cas de structures de groupe ou d’accords individuels, cela peut être envisagé en dernier recours.
En conclusion, le LfDI précise que les transferts de données envisagés sous la forme décrite ne sont autorisés que si l’exportateur de données peut convaincre l’autorité que le prestataire de services/contractant utilisé “avec problème de transfert” ne peut pas être remplacé à court et moyen terme par un prestataire de services/contractant “sans problème de transfert”. Dans le cas contraire, le transfert de données en question est interdit. En fin de compte, cela signifierait pour les entreprises que, selon la pratique du LfDI, les transferts de données vers les États-Unis ne seraient éventuellement plus autorisés que si aucun prestataire de services européen n’entre en ligne de compte comme alternative.