skip to Main Content
QUE FAIRE APRÈS L’INVALIDATION DU PRIVACY SHIELD PAR LA DÉCISION DE LA CJUE « SCHREMS 2 » DU 16 JUILLET 2020 ?

QUE FAIRE APRÈS L’INVALIDATION DU PRIVACY SHIELD PAR LA DÉCISION DE LA CJUE « SCHREMS 2 » DU 16 JUILLET 2020 ?

COUP D’ŒIL

AVERTISSEMENT: cet article est destiné à donner des conseils pratiques aux chefs d’entreprise, de PME, de TPE ou à toute personne en charge de conformité dans une entreprise. Bien qu’écrit par une juriste spécialisée en droit européen, ce n’est pas une analyse légale du texte complexe la CJUE, ce n’est pas le but du blog MementoSafe

  • “SCHREMS 2″ (1) ET LIEN AVEC VOTRE CONFORMITÉ RGPD (0), VOTRE REGISTRE DES TRAITEMENTS
  • POURQUOI IL Y URGENCE À AGIR SUR VOS TRANSFERTS DE DONNÉES HORS EEE
  • SOLUTIONS ? C’EST COMPLIQUÉ À CE JOUR ET CELA DEMANDERA PEUT-ÊTRE UNE ADAPTATION DE VOS HABITUDES

PUIS-JE TRANSFÉRER LES DONNÉES PERSONNELLES DANS MON ACTIVITÉ VERS LES USA COMME AVANT ?

Pour faire court: NON

En tout cas pas avant de faire un état des lieux, de façon transversale, dans tous les aspects de votre activité, des outils (logiciels, clouds, CRM, ERP, Analytics sur votre site WEB, messagerie automatique d’envoi de newsletter…) que vous utilisez pour traiter des données personnelles.

Il est urgent pour protéger votre activité d’ouvrir votre registre des traitements et de reprendre tous les traitements de données à caractère personnel qui impliquent un transfert du territoire de l’Espace Économique Européen (2) vers les États-Unis.

Si votre registre a été bien fait, vous avez une colonne indiquant pour chacun de vos traitements si les données sont transférées hors EEE, vers quel pays et sous quelle base légale.

Vous devrez rechercher en 1er les sous-traitants ou co-responsables qui annoncent utiliser le Privacy Shield pour les transferts de données EU – USA.

Comme l’invalidation a été immédiate le 16 Juillet 2020, tous les transferts vers les USA sous cette base légale, depuis cette date, sont illégaux. Il faut signaler que les données traitées depuis cette date doivent être retournées ou effacées de leurs systèmes.

Si un sous-traitant n’a pas réagi très vite ou anticipé l’invalidation du Privacy Shield (qui était prévisible…) pour modifier ses opérations et éviter les transferts de données de l’Union Européenne vers les USA, vous devez terminer ce contrat et rechercher un autre fournisseur de service .

Non vous ne voyez rien dans votre registre des traitements sous RGPD?

C’est qu’il est incomplet.

Il est urgent d’y inscrire tous les transferts de données personnelles hors EEE et sous quelle base légale ils sont opérés, soit directement par vous, soit via vos sous-contractants (services que vous utilisez dans vos activités et traitent vos données personnelles.)

PETIT RAPPEL : DÉFINITION D’UN TRAITEMENT DE DONNÉE SOUS LE RGPD

RGPD Art 4(2) : «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que

  • la collecte,
  • l’enregistrement,
  • l’organisation,
  • la structuration,
  • la conservation,
  • l’adaptation ou
  • la modification,
  • l’extraction,
  • la consultation,
  • l’utilisation,
  • la communication par transmission,
  • la diffusion ou
  • toute autre forme de mise à disposition,
  • le rapprochement ou
  • l’interconnexion,
  • la limitation,
  • l’effacement ou
  • la destruction

La simple consultation de la part d’un de vos sous-traitants hors EEE des données personnelles dans vos systèmes est un traitement, inutile de « transférer » votre fichier pour qu’il soit soumis aux règles du RGPD.

C’est le moment de relire tous vos contrats impliquant une sous-traitance de données (ou parfois une co-responsabilité de traitement)

C’est le moment de rechercher la base légale annoncée pour les transferts de données, parfois bien enfouie dans des contrats mal écrits, ou volontairement difficiles à lire, que vous avez signés peut-être un peu trop rapidement, sans relever le risque légal en cas de transfert des données.

LES CONSÉQUENCES IMMÉDIATES DE LA DÉCISION SCHREMS 2 SUR VOTRE ACTIVITÉ

ILLÉGALITÉ IMMÉDIATE DE CERTAINS DE VOS TRANSFERTS DE DONNÉES PERSONNELLES

Pourquoi certains de mes traitements sont dès le 16 juillet illégaux ?

Parce que le jugement de la Cour de Justice Européenne a un effet immédiat sur tous les États Membres de l’Union Européenne, vous y inclus si vous êtes soumis au RGPD.

Certaines Autorités Centrales de protection des données et l’organe européen regroupant toutes les Autorités Centrales des États Membres, (EDPB) comme la CNIL pour la France par exemple, ont annoncé qu’il n’y avait pas de période de grâce pour se mettre en conformité avec le régime légal européen sur les transferts hors EEE (3)

RELIRE VOS CONTRATS

CE QUE VOUS DEVEZ RECHERCHER DANS VOS CONTRATS

Si vous avez une gestion documentaire centralisée et un registre bien fait, cette opération ne devrait pas être trop complexe.

Vous devrez contacter immédiatement vos prestataires qui utilisaient le Privacy Shield USA/EU comme base légale du transfert de vos données.

Ces contrats ne sont plus valables, il faut les annuler

ATTENTION, LA DÉCISION SCHREMS 2 NE CONCERNE PAS QUE LE PRIVACY SHIELD

Il existe d’autres moyens de transférer des données hors EEE.

CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION (SCC) ET RÈGLES D’ENTREPRISES CONTRAIGNANTES (BCR) (4)

Si l’arrêt de la Cour de Justice Européenne n’invalide pas les clauses contractuelles ni les règles d’entreprise, il change les contraintes d’évaluation imposées aux parties.

Désormais, les transferts de données personnelles utilisant cette forme devront être analysés sous le même angle qu’une décision d’adéquation de par la Commission.

Ce que cela veut dire:

Il existe à ce jour (juillet 2020) 12 pays vers lesquels vous pouvez envoyer vos données sans autre formalité. À noter que le Japon est le dernier à entrer dans cette liste. (5)

Pour tous les autres pays, il faut soit un instrument tel des clauses contractuelles types ou des règles entreprise contraignantes, soit trouver une base légale dans les exceptions de l’Article 49 du RGPD.

Pour l’instant, la 3ème voie pour une entreprise, qui serait un code de conduite approuvé selon la procédure de l’article 40 du RGPD ( code de conduite d’application générale dans toute l’Union Européenne) ou des certifications ou labels au niveau de l’Union selon la procédure de l’article 42 du RGPD n’est pas encore accessible bien que la Commission promette d’y travailler.

À noter: Les autorités publiques peuvent bénéficier de la voie de l’arrangement administratif prévu à l’article 46 du RGPD (6)

L’arrêt de la Cour décrit que les parties, vous, responsable, co-responsable ou sous-traitants de données personnelles, devez désormais vous assurer que le pays vers lequel vous envoyez les données offre un système de protection des données d’un niveau adéquat par rapport à celui de l’Union Européenne :

“sans exiger que le pays tiers concerné garantisse un niveau de protection identique à celui garanti dans l’ordre juridique de l’Union, l’expression « niveau de protection adéquat » doit être comprise, ainsi que le confirme le considérant 104 de ce règlement, comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu dudit règlement, lu à la lumière de la Charte.“

Arrêt de la Cour, affaire C-311/18, Data Protection Commissionner contre Facebook Ireland Ltd, Maximillian Schrems VOIR note 1

La Cour fait référence aux principes de droits fondamentaux défendus dans la Charte des Droit Fondamentaux de l’Union Européenne dans ses articles 7, 8 et 47:

Article 7: Respect de la vie privée et familiale

Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses commu­nications.

Article 8 : Protection des données à caractère personnel

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consen­tement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante

Article 47: Droit à un recours effectif et à accéder à un tribunal impartial

Toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés a droit à un recours effectif devant un tribunal dans le respect des conditions prévues au présent article.

Toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable par un tribunal indépendant et impartial, établi préalablement par la loi. Toute personne a la possibilité de se faire conseiller, défendre et représenter.

Une aide juridictionnelle est accordée à ceux qui ne disposent pas de ressources suffisantes, dans la mesure où cette aide serait nécessaire pour assurer l’effectivité de l’accès à la justice.

CHARTE DES DROITS FONDAMENTAUX DE L’UNION EUROPÉENNE, (2012/C 326/02)

La Charte fait partie intégrante du système légal européen et est aussi mentionnée dans le RGPD.

Vous et vos sous-traitants devez désormais revoir tous les transferts basés sur les SCC ou les BCC afin d’y inclure une évaluation du régime légal du pays vers lequel les données sont transférées

Si jusqu’à maintenant les entités économiques signaient presque automatiquement les SCC, désormais elles ont une charge bien plus importante.

Vos sous-traitants doivent vous informer si ils ne sont pas en mesure d’assurer que les personnes concernées bénéficieront d’un niveau de protection des droits des personnes sur leurs données , notamment d’un recours effectif en justice pour les défendre, équivalent dans leur pays

CAS DES ÉTATS-UNIS

La cour Européenne, après examen du système de surveillance légale des USA sur les données personnelles en provenance de l’UE ( la cour fait référence aux dispositions de surveillance 50 USC § 1881a (= FISA 702) et EO 12.333 du droit américain), conclut que les droits des personnes ne sont pas défendus à un niveau équivalent à l’Europe. Elle fait référence entre autres à l’absence de recours juridictionnel efficace pour les personnes concernées en Europe

De fait, les SCC et BCR ne sont plus un instrument légal valide pour les transferts vers les USA puisque la Cour a fait une analyse détaillée du régime légal américain et ne lui a pas reconnu une équivalence selon les même critères que ceux utilisés par la Commission lors de la procédure d’adéquation d’un pays (voir ci-dessus)

CONSÉQUENCE POUR VOS RELATIONS AVEC DES SOUS-TRAITANTS OU CO-RESPONSABLES ÉTABLIS AUX USA ET Y TRAITANT LES DONNÉES DE VOTRE ACTIVITÉ

Il faut les contacter immédiatement afin de vérifier leur exposition au régime de surveillance américain incriminé par la Cour Européenne

L’association NOYB, fondée par Maximillian Schrems, donne un modèle de questionnaire (7) à adresser à vos sous-traitants établis aux USA.

Attention, il faut l’adapter à votre situation particulière après relecture de vos contrats.

CAS DE VOS SOUS-TRAITANTS ET CO-RESPONSABLES ÉTABLIS SUR LE TERRITOIRE DE L’ EEE

Il existe un dernier cas où votre entreprise pourrait être exposée aux conséquences de Schrems 2, celui de vos sous-contractants ou co-responsables de traitements de données personnelles qui font partie d’un groupe entreprises dont le siège social, la maison mère, est sur le territoire des États-Unis.

C’est le moment de leur poser des questions précises par rapport à vos contrats que vous avez bien sûr déjà révisés lors de votre mise en conformité RGPD.

Il est urgent de reprendre tous vos contrats impliquant le traitement de données personnelles dans tous les aspects de votre activité.

N’oubliez pas le “shadow IT“,(tous les outils numériques utilisés par vos collaborateurs sans que vous les ayez approuvés) , les applications ou outils que vos collaborateurs ont signé de leur propre initiative sans savoir que peut-être ils engageaient la responsabilité RGPD de votre entreprise.

Par exemple, le très utilisé service de vidéoconférence ZOOM base le transferts des données sur apparemment de multiples instruments. Vous ne pouvez plus l’utiliser pour vos conversations avec des personnes situées sur le territoire de l’EEE si les transferts sont basés sur le Privacy Shield mais quid des autres formes ?

 » Si vous êtes un résident de l’Espace économique européen (EEE) et que vos données à caractère personnel sont transférées hors de l’EEE, nous les traiterons dans un territoire qui, selon la Commission européenne, offre un niveau de protection adéquat aux informations personnelles ; ou

mettrons en œuvre des mesures adéquates pour protéger vos informations personnelles, notamment leur transfert conformément au mécanisme de transfert applicable, y compris les clauses contractuelles types de la Commission européenne ou le Bouclier de protection des données.

Zoom respecte le Bouclier de protection des données UE-US(…) “

Déclaration de confidentialité de ZOOM, Juillet 2020, https://zoom.us/fr-fr/privacy.html#_Toc44414846

Cet exemple montre la difficulté d’obtenir de certaines sociétés une réponse claire de la base légale du transfert.

Dans cet exemple, il est fait référence à 3 moyens possibles:

1- transferts dans un pays considéré comme adéquat par la Commission

2- transferts sous les SCC

3- transferts sous Privacy Shield

Lequel vous concerne ?

Seul les transferts vers un pays adéquat ne posent pas de problème mais vous devrez communiquer avec cette société pour éclaircir la question.

Ceci est un exemple de votre obligation de relecture de tous vos contrats, certaines sociétés ne veulent pas communiquer clairement sur le sujet des transferts internationaux de données …

CE QUI NE CHANGE PAS APRÈS SCHREMS 2

Les transferts de données qui ne sont pas reconnues comme données personnelles sous le RGPD peuvent continuer à être exportées vers les USA.

Par exemple des données techniques de production qui ne contiennent aucune donnée personnelle.

L’anonymisation ou le chiffrement sont parfois vantés comme des moyens d’échapper aux conséquences de Schrems 2.

ANONYMISATION DES DONNÉES

Les données anonymes sont exclues de l’application du RGPD ( considérant 26 du RGPD)

Cette technique est loin d’être parfaite (voir notre article “Ma conformité au RGPD: Anonymiser les données pour ne plus être soumis au RGPD ? » )

Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

RGPD considérant 26 voir note (0)

Tout le problème revient à anonymiser les données tout en leur conservant une utilité pour leur traitement lors du transfert

CHIFFREMENT DES DONNÉES ET DROIT DES ÉTATS – UNIS

De nouveaux projets de lois américains forcent à rester très prudents pour baser vos transferts sur le fait que vous données seraient protégées de l’intervention de surveillance des autorités américaines par un chiffrement solide.

Il faudrait tout d’abord être certain que les autorités américaines n’ont aucun moyen d’obtenir les clés de chiffrement, ce qui n’est pas facile à assurer pour une entité économique. Voir l’analyse de cet outil pour protéger les données de l’incursion de la surveillance des États-Unis. (8)

Par ailleurs, la tendance législative aux États-Unis va vers plus de surveillance des données. il n’y qu’à voir les 2 projets de loi :

Je vous conseille d’être très prudent avant de vous avancer à dire que vous pouvez envoyer des données anonymisées aux États-Unis tout en assurant qu’elles ne seront pas soumises au régime US de surveillance légale.

AUTRE SOUCIS: ACCÈS AUX DONNÉES DES CLOUDS DE SOCIÉTÉS, CERTES BASÉES SUR LE TERRITOIRE DE L’ EEE MAIS DONT LA MAISON MÈRE EST AUX USA

CAS DU CLOUD ACT (Clarifying Lawful Overseas Use of Data Act) (9)

Cette loi donne un accès aux données personnelles dans les systèmes de toute société ayant un lien avec les USA (groupe de sociétés notamment) où que se trouvent les données (même dans un cloud sur le territoire européen)

AWS (Amazon Web Service ) commente : https://aws.amazon.com/fr/compliance/cloud-act/

« Les forces de l’ordre des États-Unis ne peuvent rechercher le contenu de fournisseurs de services que dans deux circonstances :

(1) avec le consentement du client ou

(2) avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Pour qu’un mandat soit émis, un tribunal américain doit être convaincu qu’il existe des motifs probables de croire qu’un crime a été commis et que les preuves demandées en vertu du mandat sont directement liées à ce crime.

Le CLOUD Act crée également des garanties supplémentaires pour le contenu cloud, reconnaissant le droit des fournisseurs de services cloud de contester les demandes contraires aux lois ou aux intérêts nationaux d’un autre pays. »

Si vous craignez que les données personnelles de votre activité tombent dans les mains des autorités américaines, il est clair que le chiffrement robuste des données est nécessaire quand vous utilisez un sous-contractant cloud dont la maison mère est soumise au droit américain.

La clé de chiffrement devra être gardée protégée de l’atteinte par les Autorités américaines, ce qui n’est pas évident non plus.

Autre solution: ne pas utiliser de sous-traitant cloud américain…

GAIA X- PROJET DE CLOUD EUROPÉEN

L’UE annonce la création d’un cloud franco-allemand.

“L’objectif avec Gaia-X est d’imposer des règles et des standards à cette solution de cloud européen, tout en établissant différents critères de transparence vis-à-vis de l’utilisation des données, et ainsi d’accroître l’adoption de cette solution par les entreprises européennes.“ (10)

« Les premiers services cloud de Gaia-X doivent voir le jour au cours du premier semestre de l’année 2021. »

22 entreprises piloteront ce projet. 11 d’entre elles sont allemandes, les 11 autres sont françaises.

Parmi les 11 entreprises tricolores, nous retrouvons quelques entités célèbres comme : OVH, Scaleway, Dassault Systèmes, Orange, EDF, Docaposte ou l’Institut Mines Telecom. » SIÈCLE DIGITAL (11)

EXCEPTIONS AU RÉGIME GÉNÉRAL DE TRANSFERT DES DONNÉES DU RGPD ART 49

L’arrêt Schrems 2 fait référence à l’article 49 du RGPD pour éviter le vide juridique provoqué par son invalidation du Privacy Shield et de l’équivalence du régime légal américain de protection des données personnelles.

 » RGPD Article 49 Dérogations pour des situations particulières

  1. En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, ou de garanties appropriées en vertu de l’article 46, y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes:

a) la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées;

b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée;

c) le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale;

d) le transfert est nécessaire pour des motifs importants d’intérêt public;

e) le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice;

f) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;

g) le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des ‘informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.

Lorsqu’un transfert ne peut pas être fondé sur une disposition de l’article 45 ou 46, y compris les dispositions relatives aux règles d’entreprise contraignantes, et qu’aucune des dérogations pour des situations particulières visées au premier alinéa du présent paragraphe n’est applicable, un transfert vers un pays tiers ou à une organisation internationale ne peut avoir lieu

que si ce transfert ne revêt pas de caractère répétitif,

  • ne touche qu’un nombre limité de personnes concernées,
  • est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement
  • sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée,
  • et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données
  • et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.

Le responsable du traitement informe l’autorité de contrôle du transfert. Outre qu’il fournit les informations visées aux articles 13 et 14, le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu’il poursuit.« 

RGPD art 49 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR (accentuations ajoutées par l’auteure.)

Ces exceptions ne conviennent pas pour des transferts réguliers dans votre activité.

L’EDPB l’a d’ailleurs souligné dans son guide Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Chacune des exceptions est très limitative.

Par exemple, le consentement exigé doit être « explicite » ce qui représente un niveau supérieur au consentement de base du RGPD dans son article 4-2 :

“«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement; »

Un consentement explicite nécessiterait une forme renforcée tel un écrit séparé. L’information à donner sur les risques pour les droits et libertés des personnes concernées doit être très précise et à ce jour qui autorisera les autorités américaines à accéder à toutes ses données personnelles sans aucune voie de recours juridictionnel ?

CONCLUSION

  • Votre registre RGPD est un allier précieux qui vous fera gagner du temps pour réviser vos contrats de sous (ou co-) -traitance de données personnelles.
  • Arrêtez immédiatement tous les transferts sous le US/EU Privacy Shield, ils sont illégaux.
  • Les transferts sous Standards Contractual Clauses (SCC ou clauses contractuelles types de la Commission) ou sous Binding Corporate Clauses (BCC ou Règles d’entreprise contraignantes) vers les USA sont remis en cause.
  • Les transferts sous SCC et BCC vers tous les pays hors décision d’adéquation sont aussi à réviser. Des pays comme la Chine ou l’Inde pourraient être reconnus inadéquats pour vos transferts après analyse de leurs systèmes de surveillance .
  • Votre seule échappatoire sûre serait de n’utiliser que des sous-traitants qui peuvent assurer que les traitements de données personnelles restent sur le territoire de l’EEE.
  • C’est le moment de respecter le principe fondateur du RGPD « PRIVACY BY DESIGN » dans tous vos traitements de données personnelles

NOTES

(0) RGPD – RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

(1) Arrêt de la Cour, affaire C-311/18, Data Protection Commissionner contre Facebook Ireland Ltd, Maximillian Schrems, curia.europa.eu/juris/celex.jsf?celex=62018CJ0311&lang1=fr&type=TXT&ancre=

Pour un résumé de l’affaire voir “ Cour de justice de l’Union européenne COMMUNIQUE DE PRESSE n° 91/20, Luxembourg, le 16 juillet 2020 La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis“ https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

(2) Espace Économique Européen, https://fr.wikipedia.org/wiki/Espace_%C3%A9conomique_europ%C3%A9en

(3) CNIL, Invalidation du « Privacy Shield » : les premières questions-réponses du CEPD, 31 juillet 2020 https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

DPA Germany – post SCHREMS 2, Press release, 16 July 2020, Rhineland- Palatinate FAQ regarding judgment C-311/18 by the CJEU on the Privacy Shield https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/

European Data Protection Board (EDPB)- Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems- Adopted on 23 July 2020- https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en

(4) Clauses contractuelles types de la Commission https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

Les règles d’entreprise contraignantes (BCR) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr

(5) Liste des pays reconnus par la Commission comme adéquats https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_fr

Carte interactive sur la protection des données dans le monde, CNIL, https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

(6) Arrangement administratif France- CNIL https://www.cnil.fr/fr/tag/Arrangements+administratifs

(7) NOYB, Next steps for EU Companies § FAQ, July 20, 2020  https://noyb.eu/en/next-steps-eu-companies-faqs

(8) Lukasz Olejnik- “Technology impact of Privacy Shield invalidation – is it the EU data localization?“ https://blog.lukaszolejnik.com/technology-impact-of-privacy-shield-invalidation-is-it-the-eu-data-localization/

(9) S.2383 – CLOUD Act https://www.congress.gov/bill/115th-congress/senate-bill/2383/text

(10) Qu’est-ce que Gaia-X, le soi-disant « cloud européen » ?, JdG https://www.journaldugeek.com/2020/06/05/gaia-x-cloud-europeen-bonne-idee/

(11) GAIA-X: A Pitch Towards Europe – https://www.data-infrastructure.eu/GAIAX/Redaktion/EN/Publications/gaia-x-a-pitch-towards-europe.pdf?__blob=publicationFile&v=3

Gaia-X : lancement officiel du projet de “cloud européen” franco-allemand, SIÈCLE DIGITAL, 7 juin 2020, https://siecledigital.fr/2020/06/07/gaia-x-lancement-officiel-du-projet-de-cloud-europeen-franco-allemand/

error: Ce Contenu est protégé
Back To Top