Auteur : Irène Kris, avocate à la Cour
Date : 7 décembre 2020
Dans sa décision du 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) se prononce sur les clauses contractuelles types (CTT) n°2010/87.
Elle estime tout d’abord que les personnes dont les données sont transférées vers un pays tiers doivent bénéficier d’un « niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce Règlement, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne. »
Le niveau de protection requis dans le cadre d’un tel transfert doit être substantiellement équivalent à celui garanti au sein de l’Union Européenne par le Règlement Général sur la Protection des Données (RGPD).
L’exportateur a ainsi l’obligation de vérifier que le niveau de protection est respecté dans le pays tiers. Dans le cas où les lois et pratiques entravent l’efficacité de ce niveau de protection, les exportateurs doivent mettre en œuvre des mesures supplémentaires ou à défaut suspendre ou interdire lesdits transferts.
C’est dans ce cadre que le Comité européen de la Protection des données (CEPD) a formulé des recommandations publiées le 10 novembre 2020.
Il précise que pour évaluer le niveau de protection du pays tiers, l’exportateur doit tenir compte de la législation applicable audit transfert et de l’outil permettant ce transfert.
L’exportateur doit faire son évaluation en fonction de critère objectif, avec promptitude et à intervalles appropriés.
Si ces éléments révèlent que les lois et pratiques ne permettent pas de garantir le niveau de protection adéquat, ce dernier doit alors adopter des mesures supplémentaires.
Le CEPD établit une liste comprenant notamment le chiffrement dans certaines conditions, la pseudonymisation des données avant transfert.
Vous pouvez retrouver plus en détail les recommandations du CEPD.
Mots clefs: CEPD, RGPD, CJUE, données personnelles, RGPD
Nous restons à votre disposition pour répondre à vos questions en matière de transfert de données.