Le jugement invalide non seulement immédiatement le bouclier de protection des données, mais peut également avoir pour effet, une fois la poussière retombée, de bloquer efficacement les transferts de données personnelles vers les États-Unis en utilisant le mécanisme populaire des clauses contractuelles standard (CCS).
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a rendu son arrêt dans une affaire largement qualifiée de Schrems II (CJUE 2020a et 2020b), et la décision est une bombe!
Les États-Unis et l’UE sont les plus grands partenaires commerciaux du monde, et le transfert de données à caractère personnel constitue un élément et un catalyseur importants de ce commerce. Ces transferts sont importants, non seulement pour les entreprises numériques américaines, mais aussi pour les consommateurs européens qui utilisent leurs services et pour de nombreuses entreprises européennes et américaines. L'arrêt élimine ou paralyse deux des principaux mécanismes utilisés aujourd'hui pour permettre ce transfert de données. Dans le cas extrême, ce jugement pourrait théoriquement bloquer ces transferts de données.
Le jugement invalide non seulement immédiatement le bouclier de protection des données, mais peut également avoir pour effet, une fois la poussière retombée, de bloquer efficacement les transferts de données personnelles vers les États-Unis en utilisant le mécanisme populaire de Clauses contractuelles types (SCC).(1)
C'est la deuxième fois que les transferts de données à caractère personnel vers les États-Unis sont menacés par une décision de la CJUE visant à garantir le respect du droit à la vie privée des citoyens de l'UE. Cette fois, comme en 2016, nous prévoyons que des solutions de contournement seront trouvées, et que l'impact sera significatif mais ne s'avérera pas extrême au final.
Contexte de l'affaire
L'affaire est une continuation de la Schrems I affaire (voir Marcus et Petropoulos, 2015), où un défenseur autrichien de la vie privée et utilisateur de Facebook, Maximillian Schrems, a déposé une plainte auprès de la Commission irlandaise de la protection des données, affirmant que le transfert de ses données personnelles par Facebook Ireland à Facebook Inc. aux États-Unis Les États ne pouvaient pas protéger correctement ses intérêts en matière de vie privée. Schrems a allégué que Facebook ne pouvait pas et n'a pas empêché la surveillance du gouvernement américain largement au-delà de celle autorisée par la législation européenne.
Dans l'affaire Schrems I, la CJUE s'est prononcée en faveur de M. Schrems et a invalidé un accord de sphère de sécurité entre l'Union européenne et les États-Unis datant du 26 juillet 2000. Ce verdict a mis en péril les dispositions de transfert de données alors en place pour quinze ans, ce qui a profité non seulement aux grandes plateformes numériques américaines, mais aussi aux consommateurs européens qui utilisent des services numériques basés aux États-Unis, ainsi qu’à un large éventail d’entreprises, grandes et petites, des deux côtés de l’Atlantique. La CJUE a toutefois laissé le temps aux autorités des deux côtés de l'Atlantique d'essayer de trouver des solutions.
Certaines entreprises ont pris des mesures pour conserver autant de données que possible en Europe; cependant, certaines données devaient être transférées aux États-Unis.
La Commission européenne a réagi à l'époque en encourageant les entreprises à recourir plutôt à Clauses contractuelles types (SCC), qui représentent un moyen alternatif de répondre aux exigences de l'UE en matière de confidentialité lors du transfert de données à caractère personnel vers des pays tiers.
Dans Marcus et Petropoulos (2015), nous avons prédit que cette approche se heurterait tôt ou tard à des problèmes. «Les clauses types semblent au mieux constituer un contournement faible et temporaire de la décision de la CJE dans l'affaire Schrems, car les entreprises basées aux États-Unis ne peuvent pas et ne vont probablement pas éviter de mettre les données à la disposition des services de renseignement américains, et seront empêchées par les États-Unis. la loi d'informer les entités et les individus surveillés qu'ils l'ont fait. La décision dans l'affaire Schrems, après tout, n'avait rien à voir avec les pratiques commerciales de confidentialité – il s'agissait uniquement de surveillance gouvernementale à des fins de sécurité nationale. Cela ne peut pas être régi par un contrat privé. Étant donné que Safe Harbor a déjà été invalidé, il semble peu probable que la (CJUE) dans une affaire ultérieure permette aux clauses types de rester. »
L'Union européenne a réussi à négocier Bouclier de confidentialité des arrangements avec l'administration Obama pour tenter de résoudre le problème. Comme nous l'avons expliqué dans Marcus (2017), le cadre institutionnel du bouclier de protection des données était faible et entièrement dépendant de la bonne volonté de l'administration américaine (qui semble très différente sous Trump et sous le président Obama). Les éléments clés du bouclier de protection des données sont des lettres d'un département américain (par exemple, le bureau du directeur du renseignement national (ODNI)) à un autre (le département du commerce). Ces lettres décrivaient simplement la pratique actuelle des États-Unis – elles ne prenaient aucun engagement à l'avenir. Il aurait déjà dû être clair que les tribunaux américains n'interpréteraient pas ces lettres comme des engagements contraignants envers un gouvernement étranger sur la conduite future des États-Unis.
Ces défauts évidents du Bouclier de protection des données et de l'utilisation des CSC se sont avérés être au cœur de l'arrêt de la CJUE du 16 juillet 2020.
Que sont les clauses contractuelles types (CSC)?
Pour les cas où aucune décision d'adéquation n'est en place, le RGPD prévoit plusieurs mécanismes alternatifs, chacun permettant le transfert de données personnelles sans exiger le consentement éclairé explicite de chaque utilisateur. Les CSC représentent l'un de ces mécanismes. (2), (3)
Les CCN sont définis dans une annexe à la décision 2010/87 / UE de la Commission, telle que modifiée par la décision d'exécution (UE) 2016/2297 de la Commission. Ils représentent des clauses qui visent à garantir que les données transférées à une entreprise dans un pays tiers qui ne peuvent pas être certifiées comme protégeant les données personnelles à un degré comparable à celui de l'UE sont néanmoins adéquatement protégées.
Il est important de noter une fois de plus que les CSC sont un mécanisme général qui régit la relation entre l'entreprise exportatrice de données basée dans l'UE et l'entreprise importatrice de données basée dans un pays tiers. Le gouvernement d'un pays tiers n'est pas partie à l'accord et n'y est pas contraint.
Lorsque la CJUE a rendu la décision Schrems I pour la première fois, la Commission a encouragé les entreprises à se fier aux CSC depuis que le Safe Harbor de 2000 avait été invalidé. Cela a créé une situation étrange, Alice au pays des merveilles, car les CSC ne font rien pour limiter les actions du gouvernement du pays tiers. En termes simples, la réponse initiale de la Commission à Schrems I n’a absolument rien fait pour remédier à la surveillance gouvernementale excessive qui avait motivé la décision Schrems I.
La décision 2016/2297 de la CSC parle très brièvement des obligations de l'entreprise exportatrice de tenir compte des institutions et pratiques juridiques dans le pays tiers importateur de données (4), mais cela n'a pas été appliqué et, dans la pratique, dans la plupart des cas, cela n'a probablement pas été fait .
En ce qui concerne les obligations des autorités de contrôle responsables de la protection de la vie privée au niveau des États membres, le renvoi de la DPC (l'autorité de surveillance de la vie privée de l'Irlande) à la High Court irlandaise et de là à la CJUE montre clairement que ni la DPC ni la High Court étaient certains que les autorités ou les tribunaux irlandais avaient le pouvoir de bloquer les transferts dans le cas où une décision d'adéquation de la Commission déclarait qu'ils étaient autorisés.
Ce que la CJUE a décidé
La décision de la CJUE a eu pour conséquence directe que la décision d'adéquation de l'accord sur le bouclier de protection des données, que la Commission a promulguée en 2016 et qui a été ratifiée par le Parlement, a été invalidée, apparemment avec effet immédiat. À l'heure actuelle, aucune décision d'adéquation n'est en vigueur pour les transferts de données vers les États-Unis.
La validité des clauses contractuelles types en tant que mécanisme a été maintenue. Un certain nombre d'articles de presse supposent à tort que cela signifie que peu de choses changeront.
Nous notons une fois de plus que les CSC représentent un mécanisme général permettant à deux entreprises de convenir d'échanger des données d'une manière qui respecte les données personnelles. La décision de la Commission qui a mis en place les CSC a établi un mécanisme général, indépendant du pays vers lequel les données doivent être transférées.
Sur le plan pratique, la CJUE a imposé ou clarifié des obligations importantes aux entreprises qui transfèrent des données de l'UE vers des pays tiers.
- Les entreprises exportatrices de données (ou plus précisément dans le jargon RGPD, leur contrôleurs de données ou processeurs) sont désormais tenus de «veiller à ce que les personnes concernées dont les données à caractère personnel sont transférées vers un pays tiers en vertu des (CSC) bénéficient d'un niveau de protection essentiellement équivalent à celui garanti au sein de l'Union européenne par ce règlement… À cette fin, l'évaluation des le niveau de protection accordé dans le cadre d'un tel transfert doit notamment prendre en considération (non seulement l'effet des SCC eux-mêmes, mais également) en ce qui concerne tout accès des autorités publiques de ce pays tiers aux données à caractère personnel transférées , les aspects pertinents du système juridique de ce pays tiers, en particulier ceux énoncés, de manière non exhaustive, à l'article 45, paragraphe 2, du (RGPD).
- Les autorités de contrôle de la protection des données des États membres ont désormais à la fois l'autorité et la responsabilité d'évaluer la surveillance des pays tiers. Si les CCN ne peuvent pas être respectés dans un pays tiers, compte tenu de toutes les circonstances et en l'absence d'une décision d'adéquation valide de la Commission européenne, l'autorité de contrôle compétente est tenue de suspendre ou d'interdire un transfert de données vers un pays tiers en vertu des CCP. . Si des plaintes sont déposées auprès de l'autorité de contrôle, celle-ci est tenue d'y réagir avec diligence.
Dans le cas présent, la décision d'adéquation de 2016 a maintenant été invalidée, de sorte que l'autorité de contrôle irlandaise est désormais libre d'agir et est vraisemblablement obligée et habilitée à aller plus loin dans le traitement de la plainte soulevée par Schrems.
La nouvelle décision de la CJUE établit également effectivement les règles formelles de renversement des décisions d'adéquation de la Commission, et elles sont exactement conformes à ce qui s'est passé de manière irréversible dans cette affaire. L'autorité de contrôle nationale est tenue d'examiner les plaintes qui pourraient lui être adressées, même dans les cas où une décision d'adéquation est en place, et elle est tenue d'examiner si la décision d'adéquation est justifiée. Si l'autorité de contrôle nationale juge qu'une décision d'adéquation n'est pas justifiée, elle ne peut pas simplement passer outre la décision d'adéquation, mais doit plutôt faire part de ses préoccupations à la CJUE pour résolution.
Motifs d'invalidation de la décision d'adéquation du bouclier de protection des données
Le règlement général sur la protection des données (RGPD), qui n'existait pas au moment où l'affaire a été introduite pour la première fois, parle de la nécessité de transférer des personnes vers des pays tiers pour prendre en compte «l'État de droit, le respect des droits de l'homme et des libertés fondamentales, législation pertinente, à la fois générale et sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal et l'accès des autorités publiques aux données à caractère personnel », et de garantir que les citoyens de l'UE disposent de« droits effectifs et exécutoires des personnes concernées et de réparation pour les personnes concernées dont les données personnelles sont en cours de transfert ». (5)
La CJUE développe quelque peu cela en déclarant que, pour que l'intrusion dans la protection des données à caractère personnel soit considérée comme étant proportionnelle, la loi correspondante «doit établir des règles claires et précises régissant le champ d'application et l'application de la mesure en question et imposant des garanties minimales , afin que les personnes dont les données ont été transférées disposent de garanties suffisantes pour protéger efficacement leurs données personnelles contre les risques d'abus. Il doit notamment indiquer dans quelles circonstances et dans quelles conditions une mesure prévoyant le traitement de ces données peut être adoptée, garantissant ainsi que l'ingérence est limitée à ce qui est strictement nécessaire. »
La CJUE conclut que les programmes de surveillance pertinents aux États-Unis sont bien en deçà de cette norme. La Haute Cour d'Irlande avait déjà noté que le quatrième amendement à la Constitution des États-Unis (la principale cause d'action disponible pour contester la surveillance illégale) ne s'applique pas aux citoyens de l'UE; pour une personne de l'UE, établir sa qualité pour agir peut être extrêmement difficile; et les activités de la NSA en vertu du décret 12333 ne sont pas soumises à un contrôle judiciaire et ne sont pas justiciables. La CJUE note en outre que la loi applicable au renseignement étranger (6) ne prévoit aucune limitation significative de la surveillance et que le tribunal qui supervise (7) autorise des programmes entiers, pas une surveillance individuelle. La CJUE semble avoir été particulièrement préoccupée par le fait que les divers éléments de la législation américaine et des décrets exécutifs présidentiels permettent une collecte massive et sans discrimination de données.
Tout aussi important, l'arrêt de la CJUE note que le RGPD «exige que toute personne dont les droits et libertés garantis par le droit de l'Union sont violés ait le droit à un recours effectif devant un tribunal». L'arrêt note que toutes les mesures de surveillance américaines ne sont pas soumises à un contrôle juridictionnel, et il y a de multiples indications tout au long de l'arrêt que les Européens sont confrontés à des difficultés pour obtenir réparation. (8)
Le principal mécanisme sur lequel la Commission s'est appuyée dans sa décision d'adéquation est celui du médiateur du bouclier de protection des données. La CJUE n'a pas été impressionnée. Le médiateur peut être en mesure de servir de médiateur, mais il ne fournit pas de tribunal pour obtenir réparation. Le médiateur fait «partie intégrante du département d'État américain» et ne peut donc pas être considéré comme indépendant de l'exécutif. De plus, rien dans le bouclier de protection des données « n'indique que ce médiateur a le pouvoir d'adopter des décisions contraignantes pour ces services de renseignement ».
En fait, le gouvernement américain a négligé de nommer un médiateur pour les deux premières années de l'administration Trump. Jusqu'au 20 juin 2019, la position était inoccupée. (9) La CJUE n'a pas mentionné cela, mais le Parlement européen a exprimé à plusieurs reprises sa préoccupation.
Il est également important de noter ce qui n'a pas changé à la suite de l'arrêt de la CJUE. C'est la décision d'adéquation permettant des transferts illimités de données personnelles vers les États-Unis qui a été invalidée. Bouclier de confidentialité en soi reste vraisemblablement en vigueur pour le moment, y compris les engagements que les entreprises américaines ont pris envers le Département américain du commerce, qui sont exécutoires par la Federal Trade Commission des États-Unis. Ces accords commerciaux n'ont pas posé de problème, mais ils sont largement sans rapport avec les décisions Schrems I et Schrems II.
Étant donné que Privacy Shield n'a jamais inclus un accord réel avec le gouvernement américain pour limiter ses activités de surveillance de manière significative (Marcus, 2017)), il n'y a rien à invalider en ce qui concerne la surveillance par le gouvernement américain.
Encore une fois, ce qui a changé, c'est que le bouclier de protection des données n'est plus suffisant pour justifier une décision d'adéquation.
Implications à court terme
La décision de la CJUE est assez claire, mais le timing et les effets pourraient prendre un certain temps à se manifester.
Les entreprises exportatrices de données sont désormais tenues d'examiner rapidement les lois et pratiques en vertu desquelles les données qu'elles envoient aux entreprises des pays importateurs de données obligent les entreprises importatrices à mettre les données à la disposition des autorités publiques. Plus précisément, Facebook Ireland est obligé de déterminer si Facebook, Inc. aux États-Unis est obligée de transmettre des données à la NSA et au FBI des États-Unis, et si les protections américaines pour les personnes de l'UE lésées par le transfert sont adéquates (ou peuvent être rendues adéquates. ) lorsque cela se produit.
Étant donné que la CJUE a déjà longuement exposé ses raisons de considérer la pratique américaine actuelle comme inadéquate, il serait pervers (mais pas inconcevable) pour des entreprises exportatrices de données comme Facebook Ireland de conclure autrement à moins qu'un changement positif ne soit introduit. Des entreprises comme Facebook ne sont pas en mesure de forcer le gouvernement américain à modifier ses pratiques de surveillance des données; cependant, les autorités américaines pourraient bien choisir de le faire afin de protéger la libre circulation des données à travers l'Atlantique, ce qui profite clairement aux entreprises Internet américaines et aux consommateurs de l'UE.
En 2016, l'administration Obama a accepté le bouclier de protection des données. Le bouclier de protection des données n'a pas entièrement résolu les problèmes soulevés dans Schrems I, mais avec PPD 28, le gouvernement américain a au moins reconnu (à son crédit) que les Européens ont des intérêts légitimes en matière de vie privée aux États-Unis. Le bouclier de protection des données a également fourni un mécanisme de médiation pour créer au moins la possibilité d'une résolution à l'amiable.
Même si les entreprises américaines bénéficient grandement de la libre circulation des données, il est peu probable qu'une administration Trump fasse preuve de ce type de flexibilité. Rien de bon ne se produira avant novembre – une réponse politique «d'abord aux États-Unis», dénigrant l'UE, semble beaucoup plus probable. Si Trump est démis de ses fonctions en novembre, il devrait être possible d'avoir une discussion calme avec une administration Biden, mais toute résolution positive des autorités américaines et européennes ne sera probablement ni rapide ni facile. Il existe trop de lacunes distinctes dans la législation et la pratique américaines.
La DPC irlandaise, l'autorité de contrôle, a elle aussi désormais l'obligation d'agir. Il semble probable qu'ils offriront à Facebook un peu de temps pour répondre. Si absolument rien n'a été fait, il semble clair qu'ils ont à la fois l'autorité et la responsabilité de bloquer les transferts de données ultérieurs de l'UE vers les États-Unis. Ce serait une ligne de conduite extrême et malheureuse, mais elle est hautement improbable dans la pratique.
L'arrêt de la CJUE n'établit pas de calendrier pour que les entreprises ou les autorités de contrôle prennent des décisions, mais il est fort possible que les entreprises ressentent le besoin de modifier leurs pratiques commerciales afin d'atténuer le risque d'être forcées d'arrêter brusquement les flux de données transatlantiques.
Certaines des entreprises concernées par la décision pourraient simplement trouver des moyens de cesser complètement d'exporter des données de l'UE vers les États-Unis. Les données personnelles des personnes de l'UE resteraient au sein de l'UE, soit dans des centres de données exploités par les entreprises en question, soit dans des services cloud qui s'engagent contractuellement à ce que les données ne quittent jamais l'UE. Cela implique probablement des coûts et du temps pour les entreprises impliquées – la réingénierie des processus, l'ingénierie logicielle et l'expansion de la capacité du centre de données seront probablement dans les cartes. La mesure dans laquelle cela sera pratique dépend en grande partie du modèle économique de chaque entreprise, de la manière dont elle gère ses données, de la mesure dans laquelle elle dépend de la combinaison de sources de données de l'UE avec des sources de données américaines, et peut-être d'une manière critique de la taille de l'entreprise et les économies d’échelle dont il dispose.
L'article 49 du RGPD spécifie déjà clairement les options juridiques qui s'offrent aux entreprises lorsque ni une décision d'adéquation ni les SCC ne fournissent une base pour le transfert. Les deux options les plus pertinentes ici sont que l'utilisateur peut fournir un consentement éclairé, ou les données peuvent être envoyées si elles font partie intégrante de la fourniture d'un service que l'utilisateur a explicitement demandé. (10)
Se conformer à ces dispositions de l'article 49 serait-il la fin du monde? Probablement pas!
Lorsqu'on accepte aujourd'hui une licence de logiciel, on est généralement obligé de cocher une case par laquelle on approuve la licence. Les entreprises qui exportent des données vers les États-Unis pourraient bien conclure que leur option la plus sûre est d'exiger que leurs utilisateurs cochent une case reconnaissant que leurs données peuvent, dans certaines circonstances assez générales, être remises aux services de renseignement américains, et que leurs options de recours judiciaire dans le Les États-Unis dans ce cas sont négligeables. Irritant pour tous peut-être, mais pas un changement fondamental. La formulation exacte qui conviendrait et qui ne dérangerait pas la communauté du renseignement américaine reste à voir, mais cela semble être le cours le plus probable.
Même ainsi, le risque d'une contestation judiciaire affirmant que la case cochée ne représente pas un consentement véritablement éclairé pourrait subsister.
Si cette approche se maintient, la perturbation des affaires serait probablement limitée – la plupart des Européens qui souhaitent utiliser les services de Facebook, Google, Amazon, Apple ou les nombreuses petites entreprises qui bénéficient également du transfert transatlantique de données personnelles sont susceptibles de simplement vérifier les boîte. (11)
Références
- CJUE (Cour de justice de l'Union européenne) (2020a), Communiqué de presse n ° 91/20: Arrêt dans l'affaire C-311/18: Commissaire à la protection des données contre Facebook Ireland et Maximillian Schrems, Luxembourg, 16 juillet 2020.
- CJUE (Cour de justice de l'Union européenne) (2020b), Arrêt de la Cour (grande chambre), 16 juillet 2020, dans l'affaire C ‑ 311/18, Data Protection Commissioner (Ireland) contre Facebook Ireland et Maximillian Schrems, http: //curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=9791227.
- Marcus, Scott et G. Petropoulos (2015) «Transferts de données sous la menace d'attaques terroristes», https://www.bruegel.org/2015/12/data-transfers-under-the-threat-of-terrorist-attacks /.
- Marcus, Scott (2017) «Quelle est la qualité d'un bouclier Privacy Shield?», Https://www.bruegel.org/2017/02/how-good-a-shield-is-privacy-shield/.
- Marcus, Scott (2018) «Transferts post-Brexit de données personnelles: le temps presse», https://www.bruegel.org/2018/11/post-brexit-transfers-of-personal-data-the-clock -est-ticking /.
(1) La plupart des articles de presse semblent avoir fondamentalement mal compris la décision, se concentrant sur la décision autorisant le maintien de l'utilisation des CSC. L'utilisation des CSC en tant que mécanisme général reste autorisée, mais il existe de nouvelles obligations pour déterminer si le transfert à des organismes publics dans les pays qui reçoivent les données sont respectifs des droits à la vie privée des citoyens de l'UE. Pour les États-Unis, le point de vue de la CJUE à ce sujet est clair.
(2) Art. 46 RGPD: «Les garanties appropriées… peuvent être prévues, sans nécessiter d'autorisation spécifique d'une autorité de contrôle, par: (a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics; b) des règles d'entreprise contraignantes conformément à l'article 47; c) les clauses types de protection des données adoptées par la Commission… »
(3) Les règles d'entreprise contraignantes en sont une autre, qui convient aux entités interdépendantes au sein d'un groupe d'entreprises. Aux fins de cette discussion, les règles d'entreprise contraignantes sont à peu près équivalentes aux SCC et ne seront pas examinées plus avant. Art. 4 (20) RGPD définit règles d'entreprise contraignantes en tant que «politiques de protection des données à caractère personnel auxquelles adhère un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou un ensemble de transferts de données à caractère personnel vers un responsable du traitement ou un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou un groupe d'entreprises exerçant une activité économique conjointe ».
(4) La note de bas de page 1 de la décision précise que «les exigences obligatoires de la législation nationale applicables à l'importateur de données qui n'excèdent pas ce qui est nécessaire dans une société démocratique au motif qu'elles constituent une mesure nécessaire pour sauvegarder la sécurité nationale, défense, sécurité publique, prévention, enquête, détection et poursuite des infractions pénales ou des manquements à l'éthique des professions réglementées, d'un intérêt économique ou financier important de l'État ou de la protection de la personne concernée ou des droits et libertés d'autrui, ne sont pas en contradiction avec les clauses contractuelles types. Certains exemples de telles exigences obligatoires qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sont, entre autres, les sanctions internationalement reconnues, les obligations de déclaration fiscale ou les exigences de déclaration de lutte contre le blanchiment d'argent.
(5) Art. 44-46 GDPR: «Tout transfert de données à caractère personnel qui font l'objet d'un traitement ou sont destinées à être traitées après transfert vers un pays tiers… n'a lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel du pays tiers… vers un autre pays tiers… Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers … En question garantit un niveau de protection adéquat. Un tel transfert ne nécessite aucune autorisation spécifique. Lorsqu'elle évalue l'adéquation du niveau de protection, la Commission tient notamment compte des éléments suivants: l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris concernant la sécurité publique, la défense, la sécurité nationale et le droit pénal et l'accès des autorités publiques aux données personnelles, (pas d'italique dans l'original) ainsi que la mise en œuvre de ces législations, règles de protection des données, règles professionnelles et mesures de sécurité,… la jurisprudence, ainsi que droits effectifs et opposables des personnes concernées et recours administratif et judiciaire efficaces pour les personnes concernées dont les données personnelles sont transférées (pas d'italique dans l'original)… La Commission, après avoir évalué l'adéquation du niveau de protection, peut décider, au moyen d'un acte d'exécution, qu'un pays tiers… assure un niveau de protection adéquat… En l'absence d'une (telle) décision…, un responsable du traitement ou un sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou une organisation internationale que si le responsable du traitement ou le sous-traitant a fourni des garanties appropriées, et à condition que des droits opposables de la personne concernée et des recours juridiques effectifs soient disponibles pour les personnes concernées. »
(6) L'arrêt fait référence à l'article 702 de la loi FISA.
(7) La Cour de surveillance du renseignement extérieur des États-Unis (FISC).
(8) Cet auteur a servi, et continue de servir, comme témoin expert dans plusieurs procédures judiciaires américaines impliquant une surveillance gouvernementale alors illégale. Je peux dire par expérience personnelle que même pour un citoyen américain, il est presque impossible d'obtenir réparation.
(9) EurActiv (2020), les États-Unis nommeront un médiateur permanent du bouclier de protection des données, comme le dit la pression de l'UE, https://www.euractiv.com/section/data-protection/news/us-to-appoint-permanent-privacy-shield -médiateur-suivant-pression-eu /.
(10) Art. 49 RGPD: «En l'absence de décision d'adéquation en vertu de l'article 45, paragraphe 3, ou de garanties appropriées en vertu de l'article 46, y compris des règles d'entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou une organisation internationale l'organisation n'a lieu que dans l'une des conditions suivantes: (a) la personne concernée a explicitement consenti au transfert proposé, après avoir été informée des risques possibles de tels transferts pour la personne concernée en raison de l'absence de décision d'adéquation et des garanties appropriées; (b) le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée; … »
(11) Il est toutefois possible que certains services pour lesquels une licence n'est pas requise aujourd'hui pour une utilisation occasionnelle soient désormais obligés de demander à l'utilisateur de cocher une case.
Republication et référencement
Bruegel se considère comme un bien public et ne prend aucun point de vue institutionnel. Tout le monde est libre de republier et / ou de citer ce message sans consentement préalable. Veuillez fournir une référence complète, en indiquant clairement Bruegel et l'auteur concerné comme source, et inclure un hyperlien proéminent vers le message d'origine
Republication et référencement
Bruegel se considère comme un bien public et ne prend aucun point de vue institutionnel. Tout le monde est libre de republier et / ou de citer cet article sans consentement préalable. Veuillez fournir une référence complète, indiquant clairement Bruegel et l'auteur concerné comme source, et inclure un hyperlien bien en vue vers le message original.
