19 novembre 2020

Transferts de données : nouveaux outils et nouvelles obligations

  • Quick read

Suite à l’arrêt Schrems II de la CJUE, les transferts de données vers les Etats-Unis ne peuvent plus être fondés sur le Privacy Shield

Par ailleurs, chaque transfert de données vers un pays tiers fondé sur des « garanties appropriées » (notamment les clauses contractuelles types (« CCT ») et les règles contraignantes d’entreprise ou « BCR ») doit désormais faire l’objet d’une évaluation individuelle documentée démontrant que la loi du pays tiers ne remet pas en cause l’efficacité des garanties mises en place. Le CEPD a publié des recommandations pratiques en ce sens.

Ces nouvelles obligations concernent les transferts de données vers les Etats- Unis, le Royaume-Uni à compter du Brexit (soit dès le 1er janvier 2021) et, plus généralement, vers tout pays non couvert par une décision d’adéquation.

En parallèle, les CCT font l’objet d’une refonte. Les entreprises utilisant ces clauses devront donc les mettre à jour.

Les questions à se poser

  • Les transferts de données en dehors de l’UE (notamment vers les Etats-Unis et le Royaume-Uni post Brexit) sont-ils clairement identifiés ?
  • Quels sont les outils de transferts mis en place (CCT, BCR, Privacy Shield, décision d’adéquation…) ?
  • Ces outils sont-ils toujours adaptés ?
  • Dans la négative, quel est le plan d’action pour en changer ou les mettre à jour (mise à jour des CCT, alternatives au Privacy Shield, évaluation de la loi des pays tiers vers lesquels des données sont transférées, mise en place de mesures supplémentaires…) ?
  • Un recensement exhaustif des cookies et traceurs (internes et de tiers) a-t-il été effectué ?
  • ...

Taylor Wessing peut vous assister pour

  • Auditer votre situation spécifique et mettre en place un plan d’action pragmatique ;
  • Déterminer les outils de transferts appropriés ou les dérogations applicables ;
  • Evaluer et documenter l’efficacité des clauses contractuelles types ou BCR au regard du droit national du pays tiers où les données sont transférées ;
  • Le cas échéant, déterminer et mettre en place les mesures supplémentaires nécessaires pour garantir un niveau de protection adéquat des données transférées ;
  • Identifier les transferts qui pourront ou devront utiliser les nouvelles clauses contractuelles types ;
  • Et bien plus encore…

 

Call To Action Arrow Image

Latest insights in your inbox

Subscribe to newsletters on topics relevant to you.

Subscribe
Subscribe

Related Insights

Robotic hand

Marchés publics et RGPD : il n’est pas trop tard pour se mettre en conformité

1 février 2021
Quick read
Cliquer ici pour en savoir plus
Open vault door revealing computer servers
Technologies de l'information

Newsletter Contentieux Informatique et IT n°7

18 janvier 2021
In-depth analysis

par Philippe Glaser et Julia Kalfon

Cliquer ici pour en savoir plus
_humanoid robot thinking
Technologies de l'information

Télétravail : comment se mettre en conformité au RGPD ?

7 décembre 2020
Quick read
Cliquer ici pour en savoir plus