FR EN

L'actualité sur les technologies avancées

12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
08.11.2024 23:18

Soutenez Altij & Oratio avocats au Palmarès du Droit

Notre cabinet participe au "Palmarès du Droit – Toulouse 2024" et nous avons besoin de vous !


Cat: Corporate, M&A et restructuring, Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
voir les archives ->
< PRENEUR ET BAILLEUR FACE AU COVID-19 DES MESURES QUI SE SUCCEDENT MAIS QUI NE SOLUTIONNENT PAS LES DIFFICULTES DE PAIEMENT
13.11.2020 14:58 Il y a: 4 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle

Breaking news : Transferts de données - la reforme s’accélère et se concrétise


Depuis l’annulation du Privacy Shield en juillet, les interventions judiciaires et règlementaires se multiplient, avec, à la clé, une question centrale : comment composer entre le durcissement légal et la réalité opérationnelle en ce qui concerne les transferts de données personnelles en dehors de l'UE ?

Cette semaine a encore été mouvementée, avec la publication par les autorités européennes de deux documents ayant vocation à donner un cadre plus clair pour les acteurs économiques, plus précisément :

  • Des recommandations, publiées par le comité européen de la protection des données (CEPD), sur les mesures pouvant complémenter les mécanismes de transferts afin d’assurer la conformité aux normes européennes de protection des données à caractère personnel.
  • D'un nouveau projet de clauses contractuelles types (CCT), publié par la Commission européenne, visant à « moderniser » les CCT actuellement en vigueur. Une fois adoptées par la commission, ces nouvelles CCT auront vocation à constituer un instrument contractuel entre un organisme européen voulant transférer des données à caractère personnel vers un pays tiers et le destinataire situé dans le pays en question. Cet instrument fournirait alors des « garanties appropriées », facilitant le transfert, conformément à l’article 46 du RGPD, sous réserve des vérifications et mesures complémentaires visées par la Cour de justice de l’Union européenne dans son arrêt Schrems II et précisées par les recommandations précitées du CEPD.

Ces documents sont actuellement en phase de consultation avant une probable adoption courant 2021 mais les responsables du traitement doivent d’ores et déjà tirer les conséquences de l’arrêt Schrems II et de ses suites et procéder à un audit de leurs transferts dans un objectif de les mettre en conformité

En suivant le projet de recommendations du CEPD, cet audit et cette mise en conformité suivront les étapes suivantes :

1. Identifier les transferts en dehors de l'UE (« know your transfers »)

Le CEPD précise qu’il faut réaliser une cartographie détaillée de tous les transferts réalisés par l’organisme, en prenant en compte les transferts ultérieurs réalisés par le destinataire, le principe de minimisation des données, l’accès à distance aux données à des fins de maintenance, etc.

2. Identifier le mécanisme juridique permettant le transfert

Pour chaque transfert, il faut vérifier le fondement juridique : décision d’adéquation, garanties appropriées (CCT, BCR, etc …), dérogation, le cas échant.

3. Vérifier l’efficacité de vos garanties appropriées

Si le transfert est fondé sur une garantie appropriée, notamment les CCT, vous devez vous assurer, aux termes du CEPD, que cette garantie soit « efficace dans la pratique ». Il convient donc de procéder à une analyse, au cas par cas, de chaque transfert fondé sur un tel mécanisme, en fonction du risque qu’il présente pour les droits et libertés des personnes concernées. Le CEPD précise à ce titre que l’attention de l’exportateur doit être portée sur l’existence d’élément(s), dans la législation ou dans la pratique du pays de l’importateur qui pourrait porter atteinte à l’efficacité du mécanisme envisagé.

4. Adopter des mesures complémentaires

Si l’évaluation lors de l’étape 3 révèle que le mécanisme adopté (ex. CCT) n’est pas efficace, il faudra vérifier si des mesures supplémentaires capables d’assurer, en combinaison avec les garanties apportées par le mécanisme de transfert, le respect d’un niveau suffisant de protection existent. Ces mesures peuvent avoir une nature technique, contractuelle ou organisationnelle. Les Recommandations précitées du CEPD fournissent de nombreux exemples concrets de telles mesures, notamment en ce qui concerne les mesures techniques.

Si de telles mesures ne peuvent être identifiées, le CEPD rappelle qu’il faut mettre un terme au transfert.

5. Mise en place des formalités

Une fois que les garanties appropriées et, le cas échant, les mesures supplémentaires, seront identifiées, il faut réaliser les formalités nécessaires pour les mettre en place (ex. signature des CCT avec le destinataire, obtention de l’autorisation de la CNIL en cas de recours à des clauses contractuelles « ad hoc », etc.)

6. Revérification régulière

Le CEPD rappelle qu’il convient de contrôler, de façon continue, le niveau de protection des données dans les pays tiers en question.