Actualités (Schrems II, les nouvelles clauses contractuelles types et les recommandations du CEPD)
Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) rendait sa décision dans l’affaire C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd & Maximillian Schrems (ci-après « Schrems II »).
Par cette décision, la CJUE a :
- d’une part, invalidé la décision d’adéquation du « EU-US Privacy Shield » permettant le transfert de données par une entité européenne à des organisations établies aux États-Unis ; et
- d’autre part, validé le mécanisme des clauses contractuelles types (« CCT ») permettant le transfert de données d’un exportateur de données établi au sein de l’Union européenne vers un importateur de données se trouvant en dehors de l’Union européenne.
La Commission européenne avait entrepris la rédaction de nouvelles CCT (mise à jour des précédentes clauses publiées par la Commission). Après avoir publié un premier projet soumis à consultation publique, la Commission a adopté, ce 4 juin 2021, la version finale des nouvelles clauses contractuelles types (voyez aussi notre news à ce sujet).
Dans Schrems II, la CJUE a toutefois précisé qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si, en pratique, la législation du pays tiers permet d’assurer aux données transférées un niveau de protection substantiellement équivalent à celui garanti au sein de l’Espace économique européen. Si ce niveau ne peut pas être atteint, les entreprises doivent prévoir des mesures supplémentaires visant à assurer un tel niveau de protection. En outre, elles doivent s’assurer que la législation du pays tiers (non UE) ne privera pas ces mesures supplémentaires de leur effectivité.
Le Comité européen de la protection des données (« CEPD ») a publié, en novembre 2020, un projet de recommandations (aussi soumis à consultation publique) pour aider les responsables de traitement à déterminer lcs mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE. La version définitive de ces recommandations est parue ce 18 juin 2021.
À présent, les responsables de traitement disposent d’une période transitoire afin d’implémenter les nouvelles clauses contractuelles types et, le cas échéant, de mettre en œuvre les mesures supplémentaires adéquates.
C’est dans ce contexte que s’est inscrit le webinaire que proposé par le cabinet LEXING le 28 juin 2021. Au cours de ce webinaire, Jean-François Henrotte et Thomas Espeel ont notamment abordé les questions suivantes :
- Quelles sont les conséquences de l’arrêt Schrems II ?
- Quelles sont les nouveautés apportées par les nouvelles clauses contractuelles types de la Commission européenne ?
- Comment les implémenter au sein de mon entreprise ?
- Quelles mesures supplémentaires prendre ?
Date et lieu :
Le lundi 28 juin 2021, de 12h30 à 13h30 via l’application de visioconférence Teams
Public cible :
Les délégués à la protection des données, juristes d’entreprise ou toute personne au sein d’entreprises susceptibles de procéder à des transferts de données vers des pays hors UE.
Une demande d’agrément auprès de l’IJE a été introduite à hauteur d’1 point de formation continue.
Ons advies:
Retrouvez la vidéo du webinaire ici.