Application du RGPD
Le Règlement Général sur la Protection des Données « RGPD », qui est entré en vigueur dans l’UE le 25 mai 2018, est un texte qui « présente un intérêt pour l’EEE », à savoir, qui peut être étendu aux 3 États si le texte incorporé dans l’ « Accord EEE », par une décision du Comité Mixte de l’EEE est adopté. Cette décision a été prise à Bruxelles le 6 juillet 2018. Le RGDP est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.
Par ailleurs l’Islande a adopté une nouvelle loi n° 90/2018 sur la protection des données personnelles et le traitement des données personnelles.
Cela signifie notamment que les transferts de données personnelles vers ces 3 pays ne requièrent pas de mesures supplémentaires de sauvegarde ou encore que les violations de données personnelles devront, le cas échéant, faire aussi l’objet d’une notification dans ces pays.
Certains points doivent encore être clarifiés. Nous comprenons par exemple que l’Islande, la Norvège et le Liechtenstein bénéficient du mécanisme du guichet unique et participer aux réunions du Comité Européen de la Protection des Données « CEPD », mais sans nécessairement avoir un droit de vote.
Le CEPD est institué par le règlement européen sur la protection des données (RGPD). Il remplace l’ancien groupe de l’article 29 et a pour mission principale de veiller à l’application du RGPD dans tous les pays membres de l’UE.
Bruxelles, le 11 novembre – Lors de sa 41e session plénière, le CEPD a adopté des recommandations sur les mesures complétant les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l’UE, ainsi que des recommandations sur les garanties essentielles européennes pour les mesures de surveillance.
Les deux documents ont été adoptés à la suite de l’arrêt «Schrems II» de la CJUE. À la suite de l’arrêt du 16 juillet, les responsables du traitement se fondant sur les clauses contractuelles types (CCS) sont tenus de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire des données dans le pays tiers, si le droit du pays tiers assure un niveau de protection des données personnelles transférées qui est essentiellement équivalent à celui garanti dans l’Espace économique européen (EEE). La CJUE a autorisé les exportateurs à ajouter des mesures complémentaires aux CSC pour garantir le respect effectif de ce niveau de protection lorsque les garanties contenues dans les CSC ne sont pas suffisantes.
Les recommandations visent à aider les responsables du traitement et les sous-traitants agissant en tant qu’exportateurs de données à s’acquitter de leur obligation d’identifier et de mettre en œuvre des mesures supplémentaires appropriées lorsqu’elles sont nécessaires pour assurer un niveau de protection essentiellement équivalent aux données qu’ils transfèrent vers des pays tiers. Ce faisant, l’EDPB recherche une application cohérente du RGPD et de l’arrêt de la Cour dans l’ensemble de l’EEE.
Le président de l’EDPB, Andrea Jelinek, a déclaré: «L’EDPB est parfaitement conscient de l’impact de l’arrêt Schrems II sur des milliers d’entreprises de l’UE et de la responsabilité importante qu’il place sur les exportateurs de données. L’EDPB espère que ces recommandations pourront aider les exportateurs de données à identifier et à mettre en œuvre des mesures complémentaires efficaces là où elles sont nécessaires. Notre objectif est de permettre des transferts licites de données personnelles vers des pays tiers tout en garantissant que les données transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’EEE. »
Les recommandations contiennent une feuille de route des étapes que les exportateurs de données doivent suivre pour savoir s’ils doivent mettre en place des mesures supplémentaires pour pouvoir transférer des données en dehors de l’EEE conformément au droit de l’UE, et les aider à identifier celles qui pourraient être efficaces. Pour aider les exportateurs de données, les recommandations contiennent également une liste non exhaustive d’exemples de mesures supplémentaires et de certaines des conditions dont elles auraient besoin pour être efficaces.
Cependant, en fin de compte, les exportateurs de données sont responsables de l’évaluation concrète dans le contexte du transfert, de la législation du pays tiers et de l’outil de transfert sur lequel ils s’appuient. Les exportateurs de données doivent procéder avec une diligence raisonnable et documenter leur processus de manière approfondie, car ils seront tenus responsables des décisions qu’ils prendront sur cette base, conformément au principe de responsabilité du RGPD. De plus, les exportateurs de données doivent savoir qu’il n’est peut-être pas possible de mettre en œuvre des mesures supplémentaires suffisantes dans tous les cas.
Les recommandations sur les mesures complémentaires seront soumises à la consultation publique. Ils seront applicables immédiatement après leur publication.
En outre, l’EDPB a adopté des recommandations sur les garanties essentielles européennes pour les mesures de surveillance. Les recommandations sur les garanties essentielles européennes sont complémentaires des recommandations sur les mesures complémentaires. Les recommandations sur les garanties essentielles européennes fournissent aux exportateurs de données des éléments permettant de déterminer si le cadre juridique régissant l’accès des autorités publiques aux données à des fins de surveillance dans les pays tiers peut être considéré comme une ingérence justifiable dans les droits à la vie privée et à la protection des données à caractère personnel, et donc comme n’empiétant pas sur les engagements de l’outil de transfert de l’article 46 du RGPD sur lequel l’exportateur et l’importateur de données s’appuient.
Le président a ajouté: «Les implications de l’arrêt Schrems II s’étendent à tous les transferts vers des pays tiers. Par conséquent, il n’y a pas de solution miracle, ni de solution universelle pour tous les transferts, car cela reviendrait à ignorer la grande diversité des situations auxquelles les exportateurs de données sont confrontés. Les exportateurs de données devront évaluer leurs opérations de traitement et leurs transferts de données et prendre des mesures efficaces en gardant à l’esprit l’ordre juridique des pays tiers vers lesquels ils transfèrent ou ont l’intention de transférer des données. »
Les autorités de contrôle de la protection des données de l’EEE continueront de coordonner leurs actions au sein du CEPD pour garantir la cohérence de l’application de la législation de l’UE en matière de protection des données.
L’ordre du jour de la quarante et unième plénière est disponible ici .
