Suite au jugement rendu par la CJUE le 20/07/2020 Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, voici un résumé des points importants :
– Les transferts vers les USA sur la base du Privacy Shield ne sont plus valables car la législation US n’offre pas de niveau de protection équivalent ( Section 702 FISA and EO 12333). Les transferts doivent être immédiatement stoppés sans délai, pas de période de grâce.
– Les clauses contractuelles types restent valables mais si la législation du pays destinataire n’offre pas de niveau de protection équivalent, il revient à l’exportateur et à l’importateur de données d’évaluer les circonstances des transferts, et les mesures supplémentaires qui peuvent être mises en place sur la base d’une analyse au cas par cas. Si ces mesures ne suffisent pas à garantir un niveau de protection équivalent, les transferts sur la base des CCT doivent être immédiatement stoppés.
– Le raisonnement est le même en cas de BCR ;
– Quelles sont les mesures complémentaires ? le CEPD examine s’il s’agit de mesures juridiques, techniques, ou organisationnelles.
– Le transfert est possible sur la base du consentement selon ls réserves habituelles et à condition que les personnes soient informées des risques.
– Le transfert est possible pour l’exécution d’un contrat si reste occasionnel
– Qu’en est-il si mon sous-traitant transferts des données vers les USA ? Interdire les transferts si le niveau de protection vers le pays tiers n’est pas garanti. Il faut renégocier les contrats en cours.
