FR EN

Toute l'actualité sur l'ingénierie du patrimoine

05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
09.11.2023 11:00

Location : La location saisonnière ou location meublée de courte durée, laquelle choisir ?

D'une opportunité économique à un boulet financier ?


Cat: Droit des Personnes et du Patrimoine, Immobilier et Construction , Les essentiels, Veille Juridique
07.11.2023 14:29

Immobilier : L’avocat mandataire en transaction immobilière, un partenaire de confiance

Vous souhaitez céder ou acquérir un bien ? Vous voulez que votre projet soit le plus confidentiel...


Cat: Corporate, M&A et restructuring, Droit des Personnes et du Patrimoine, Immobilier et Construction , Les essentiels, Veille Juridique
21.09.2023 11:00

Droit du Patrimoine : Anticiper l'incapacité du dirigeant

Quels mécanismes mettre en place dans une démarche d'anticipation patrimoniale ?


Cat: Droit des Personnes et du Patrimoine, Personnes et Famille , Veille Juridique
13.09.2023 09:12

Action en garantie des vices cachés : Enfin la lumière au bout du tunnel !

La Chambre mixte de la Cour de cassation a enfin circonscrit les contours de l'action en vices...


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Veille Juridique
24.04.2023 10:29

Succession : le rôle de l'avocat dans le cadre d'une succession bloquée

Fiche synthèse


Cat: Droit des Personnes et du Patrimoine, Veille Juridique
06.03.2023 10:44

Cyberattaque : l’indemnisation par l’assurance conditionnée par le dépôt préalable d’une plainte pénale

État des lieux de l'indemnisation des cyberattaques et création d'un régime par la LOPMI.


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Personnes et du Patrimoine, Veille Juridique
voir les archives ->
< PRENEUR ET BAILLEUR FACE AU COVID-19 DES MESURES QUI SE SUCCEDENT MAIS QUI NE SOLUTIONNENT PAS LES DIFFICULTES DE PAIEMENT
13.11.2020 14:58 Il y a: 4 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle

Breaking news : Transferts de données - la reforme s’accélère et se concrétise


Depuis l’annulation du Privacy Shield en juillet, les interventions judiciaires et règlementaires se multiplient, avec, à la clé, une question centrale : comment composer entre le durcissement légal et la réalité opérationnelle en ce qui concerne les transferts de données personnelles en dehors de l'UE ?

Cette semaine a encore été mouvementée, avec la publication par les autorités européennes de deux documents ayant vocation à donner un cadre plus clair pour les acteurs économiques, plus précisément :

  • Des recommandations, publiées par le comité européen de la protection des données (CEPD), sur les mesures pouvant complémenter les mécanismes de transferts afin d’assurer la conformité aux normes européennes de protection des données à caractère personnel.
  • D'un nouveau projet de clauses contractuelles types (CCT), publié par la Commission européenne, visant à « moderniser » les CCT actuellement en vigueur. Une fois adoptées par la commission, ces nouvelles CCT auront vocation à constituer un instrument contractuel entre un organisme européen voulant transférer des données à caractère personnel vers un pays tiers et le destinataire situé dans le pays en question. Cet instrument fournirait alors des « garanties appropriées », facilitant le transfert, conformément à l’article 46 du RGPD, sous réserve des vérifications et mesures complémentaires visées par la Cour de justice de l’Union européenne dans son arrêt Schrems II et précisées par les recommandations précitées du CEPD.

Ces documents sont actuellement en phase de consultation avant une probable adoption courant 2021 mais les responsables du traitement doivent d’ores et déjà tirer les conséquences de l’arrêt Schrems II et de ses suites et procéder à un audit de leurs transferts dans un objectif de les mettre en conformité

En suivant le projet de recommendations du CEPD, cet audit et cette mise en conformité suivront les étapes suivantes :

1. Identifier les transferts en dehors de l'UE (« know your transfers »)

Le CEPD précise qu’il faut réaliser une cartographie détaillée de tous les transferts réalisés par l’organisme, en prenant en compte les transferts ultérieurs réalisés par le destinataire, le principe de minimisation des données, l’accès à distance aux données à des fins de maintenance, etc.

2. Identifier le mécanisme juridique permettant le transfert

Pour chaque transfert, il faut vérifier le fondement juridique : décision d’adéquation, garanties appropriées (CCT, BCR, etc …), dérogation, le cas échant.

3. Vérifier l’efficacité de vos garanties appropriées

Si le transfert est fondé sur une garantie appropriée, notamment les CCT, vous devez vous assurer, aux termes du CEPD, que cette garantie soit « efficace dans la pratique ». Il convient donc de procéder à une analyse, au cas par cas, de chaque transfert fondé sur un tel mécanisme, en fonction du risque qu’il présente pour les droits et libertés des personnes concernées. Le CEPD précise à ce titre que l’attention de l’exportateur doit être portée sur l’existence d’élément(s), dans la législation ou dans la pratique du pays de l’importateur qui pourrait porter atteinte à l’efficacité du mécanisme envisagé.

4. Adopter des mesures complémentaires

Si l’évaluation lors de l’étape 3 révèle que le mécanisme adopté (ex. CCT) n’est pas efficace, il faudra vérifier si des mesures supplémentaires capables d’assurer, en combinaison avec les garanties apportées par le mécanisme de transfert, le respect d’un niveau suffisant de protection existent. Ces mesures peuvent avoir une nature technique, contractuelle ou organisationnelle. Les Recommandations précitées du CEPD fournissent de nombreux exemples concrets de telles mesures, notamment en ce qui concerne les mesures techniques.

Si de telles mesures ne peuvent être identifiées, le CEPD rappelle qu’il faut mettre un terme au transfert.

5. Mise en place des formalités

Une fois que les garanties appropriées et, le cas échant, les mesures supplémentaires, seront identifiées, il faut réaliser les formalités nécessaires pour les mettre en place (ex. signature des CCT avec le destinataire, obtention de l’autorisation de la CNIL en cas de recours à des clauses contractuelles « ad hoc », etc.)

6. Revérification régulière

Le CEPD rappelle qu’il convient de contrôler, de façon continue, le niveau de protection des données dans les pays tiers en question.