Ce que vous devez savoir.
Le 19 décembre 2019, l’Avocat Général à la Cour de Justice Saugmandsgaard Øe a confirmé la validité des clauses types de protection des données pour le transfert international de données à caractère personnel («l’affaire Schrems II»). L’opinion de l’Avocat Général fait suite à une plainte du défenseur de la vie privée Max Schrems. Ce dernier est d’avis que le transfert de ses données à caractère personnel par Facebook Irlande vers Facebook Inc. aux Etats-Unis, sur la base de clauses types de protection des données, n’offre pas de garanties adéquates pour la protection de ses données à caractère personnel.
De quoi s’agit-il? Un transfert de données à caractère personnel à d’autres entreprises entraîne certaines obligations (pour plus d’information sur ces obligations, voir GDPR toolkit - transfer). Un transfert de données à caractère personnel en dehors de l'EEE est en principe interdit, à moins que l'entreprise ne puisse s’appuyer sur un des mécanismes de transfert prévus par le RGPD: des décisions d’adéquation, des clauses types de protection des données, des règles d'entreprise contraignantes, ... Ces mécanismes doivent garantir en substance que les données à caractère personnel des européens bénéficient de la même protection en dehors de l'EEE que sous le RGPD.
Il ressort de la pratique que les entreprises recourent largement aux clauses types de protection des données pour les transferts internationaux. La plainte du défenseur de la vie privée Schrems remet ce mécanisme en question. Il est en effet possible que la Cour de Justice rende un arrêt allant dans un autre sens. En outre, les clauses types de protection des données actuelles ont été établies par la Commission européenne dans le cadre de l’ancienne législation et sont donc actuellement en cours de révision.
Ce que vous devez faire.
Dans la mesure où cela n'a pas encore été fait, c'est le moment idéal pour votre entreprise d’identifier et évaluer tous les transferts de données à caractère personnel en dehors de l'EEE. Il s’agit également d’une démarche importante dans le cadre de la préparation du Brexit.
En fonction de la localisation des entreprises «destinataires», votre entreprise peut vérifier si une décision d’adéquation existe dans le pays spécifique. Dans ce cas, votre entreprise n’a ensuite plus rien à faire. Si une telle décision d’adéquation est inexistante, vous devez vérifier si vous pouvez vous appuyer sur l’une des garanties appropriées, en ce compris les clauses types de protection des données par exemple, ou l’un des motifs d’exception.
Si votre entreprise utilise des clauses types de protection des données, il n’y a aucune raison de vous inquiéter pour le moment. Dans son avis, l’Avocat Général a confirmé la validité des clauses types de protection des données. Il reste toutefois à voir si la Cour de Justice suivra l’Avocat Général à cet égard – l’arrêt est attendu dans les premiers mois de 2020 – et quand la Commission européenne adoptera les nouvelles clauses types de protection des données.