Dans une « note stratégique », le Comité européen de la Protection des Données recommande aux institutions européennes d’agir avec la plus grande prudence.
Après l’arrêt Schrems II, qui a invalidé l’accord de transfert de données à caractère personnel avec les États-Unis, il encourage ces acteurs à ne plus s’engager dans des contrats impliquant de tels transferts vers ce pays.
D’ici la fin du mois, l’ensemble des institutions devra cartographier l’ensemble de leurs transferts vers des pays tiers. Au 15 novembre, elles devront identifier les risques particuliers, comme les transferts basés sur aucun outil spécifique ou ceux encore représentant un haut risque.
L’hypothèse sera celle de traitement vers des entreprises « clairement soumises » aux lois de surveillance américaine (FISA ou EO 12333)
« Sur la base de ce premier exercice, le CEPD pourra prendre des mesures coercitives pour que les transferts soient en conformité avec le RGPD ou qu’ils soient suspendus ».
Commentaires (4)
#1
Je ne comprends pas bien cette partie là. Quelqu’un a un exemple ?
#1.1
Dans le PDF original (page 8), c’est « illegal transfers which are not based on any transfer tool », la note 17 mentionne « For example onward transfers between the EUI’s processor and a sub-processor that are not framed by any standard or ad hoc contractual clauses or another arrangement. »
C’est un sous-traitant (ou un traitant direct, je sais qu’on a toujours tendance à taper sur les sous-traitants dans le monde de l’entreprise
) qui envoie les données aux États-Unis « comme ça » sans se poser de question et sans avoir signé d’accord.
« ah bon, AWS c’est une boîte américaine ? Et mon datacenter en EC ça veut dire East Coast ? Mais j’savais pas m’sieur l’juge »
#1.2
Merci ! et en effet, je me pose la même question que toi.
#2
Au risque de ne pas avoir compris : le Comité encourage à respecter la loi en fait ? Comme il pourrait encourager de déclarer la TVA ou respecter les limites de vitesse sur la route ?