Étiquette: transfert international de données personnelles

Attention : Publications de documents importants sur les « transferts » et « traitements » de données personnelles

Plusieurs documents importants relatifs aux règles encadrant les transferts de données personnelles ont été publiés la deuxième semaine de novembre 2020 par le Comité Européen de Protection des Données ou « CEPD » (en anglais « EDPB ») et la Commission européenne. La Commission a aussi publié un projet de clauses contractuelles types pour les relations entre un responsable de traitement et un sous-traitant.

Lire la suite

La CJUE condamne le Privacy Shield et sauve les Clauses Contractuelles Type mais avec d’importantes mises en garde.

privacy shieldArrêt en grande chambre de la CJUE du 16 juillet 2020 dans l’affaire C311/18   (dite « Schrems II ») http://curia.europa.eu/juris/document/document.jsf?text=&&docid=228677&&pageIndex=0  

La CJUE a rendu le 16 juillet 2020 une décision historique (dite « Schrems II ») concernant le transfert international de données personnelles. Cette décision invalide la décision d’adéquation de la Commission européenne sur le Privacy Shield (« bouclier de protection des données ») entre l’UE et les Etats-Unis sur lequel s’appuyaient des milliers d’entreprises américaines pour transférer légalement des données personnelles de l’Union vers les Etats-Unis.

Lire la suite

Invalidation du Privacy Shield mais pas des Clauses Contractuelles Types par la CJUE (« Schrems II »)

privacy shield

Décision de la cour de Justice de l’Union Européenne du 16 juillet 2020 Affaire C311/18

Communiqué de presse https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

La décision tant attendue et redoutée dans l’affaire « Shrems II » vient de tomber. La Cour de Justice de l’Union Européenne vient d’invalider le Privacy Shield !

Lire la suite

Les autorités allemandes de protection des données lancent un audit général des transferts internationaux

Communiqué de presse des autorités allemandes du 3 novembre 2016 (En langue allemande)

Le 3 novembre 2016, dix des autorités allemandes en charge de la protection des données personnelles[1] ont annoncé qu’elles allaient identifier, ensemble, environ 500 entreprises qui feront l’objet d’un audit concernant les transferts internationaux de données personnelles.

Lire la suite

Clauses contractuelles types et Privacy Shield en danger


Contexte

La réglementation européenne offre plusieurs outils pout protéger les données personnelles lorsqu’elles sont transférées ou partagées avec les personnes situées dans des pays n’offrant pas une protection équivalente à celle de l’UE. Pour les transferts répétitifs et concernant un grand nombre de personnes, il s’agit principalement :

– des clauses contractuelles types
– des règles contraignantes d’entreprise (BCR)
– pour les transferts les vers USA, la certification Privacy Shield des destinataires, cette certification étant venue remplacer celle du  Safe Harbor.

Lire la suite

Un point sur le Privacy Shield


Rappel

Pour rappel, le Privacy Shield, accord négocié entre la Commission européenne et le ministère américain du Commerce (U.S. Department of Commerce) afin d’encadrer les transferts de données personnelles de citoyens de l’Union européenne vers les États-Unis, remplace le dispositif du Safe Harbor, invalidé par la Cour de Justice de l’Union européenne (CJUE) en octobre 2015.

Lire la suite

Attention : la Commission européenne adopte le Privacy Shield (le bouclier de la vie privée)

La Commission européenne a adopté le 12 Juillet 2016 la décision d’adéquation du Privacy Shield, accord négocié ces derniers mois avec le Ministère Américain du Commerce afin d’encadrer les transferts des données personnelles de citoyens de l’Union européenne vers les Etats-Unis.

Très attendu, le dispositif du Privacy Shield vient remplacer celui du Safe Harbor, invalidé par la Cour de Justice de l’Union Européenne (CJUE) en octobre 2015.

Lire la suite

Invalidation du Safe harbor : sanctions en Allemagne

Communiqué de presse du 6 juin 2016  de l’autorité de protection des données personnelles de Hambourg

Après l’invalidation du Safe Harbor par la CJUE, l’autorité a effectué des contrôles auprès de 35 entreprises internationales établies à Hambourg.  Il est apparu que certaines d’entre elles n’avaient pas adopté de mesures permettant de légitimer leurs transferts de données vers les Etats-Unis.

Lire la suite

Privacy Shield : le Parlement européen demande l’amélioration de certains points

Résolution du parlement européen du 26 mai 2016
  Le Parlement européen s’est prononcé de façon globalement positive sur le Privacy Shield[1] ou « bouclier de la vie privé », proposé en substitution du Safe Harbor, mais considère que certains aspects doivent encore être améliorés.

La résolution relève notamment :

  • Que l’assurance donnée par les USA que la collecte massive et indifférenciée de données par les services secrets sera « ajustée lorsque cela est possible » et « raisonnable », ne répond pas aux critères de « nécessité » et de « proportionnalité » établis par la Charte des droits fondamentaux de l’UE ;
  • Que la procédure de recours doit être simplifiée de façon à la rendre efficace et utilisable ;
  • Que la nature juridique des « assurances écrites » des USA doit être clarifiée ;
  • Que l’Ombudsman doit être d’avantage indépendant et bénéficier de d’avantage de pouvoirs ;
  • Qu’il doit s’agir d’un programme offrant une sécurité juridique claire et à long terme afin de renforcer la confiance des consommateurs, de permettre le développement des affaires transatlantiques et la coopération dans la mise en œuvre des lois.


Lire la suite

Transferts de données personnelles : possible examen de la validité des clauses types par la CJUE


Rappel du contexte : l’invalidation du Safe Harbor

Un étudiant en droit autrichien (Maximillian Schrems) a entrepris une action relative au transfert systématique par Facebook de ses données vers les serveurs aux USA.  Ce transfert était protégé en application du droit européen par la certification Safe Harbor du réseau social. 

La Cour de justice de l’Union européenne (CJUE) a jugé, le 6 octobre 2015 que la décision de la Commission européenne approuvant le Safe Harbor entre les Etats-Unis et l’Union européenne était « invalide » (Voir notre article La CJUE invalide le programme de sphère de sécurité dit Safe Harbor et les autres articles sur le sujet).

Lire la suite

Attention : avis du G29 sur le Privacy Shield

Avis WP 238 du Groupe de travail de l’article 29 du 13 avril 2016 sur le projet de décision d’adéquation du Privacy Shield[1]

L’avis rendu le 13 avril par le Groupe de l’article 29 (G 29)[2] sur le Privacy Shield (« Bouclier de la Vie Privé »)[3] ouvre la voie à une possible décision d’adéquation par la Commission européenne.  Le fait que malgré certaines rumeurs, le G29 n’ait pas rejeté en bloc le programme proposé représente un soulagement pour bon nombre de sociétés.

Lire la suite

Les éléments du Privacy Shield (Bouclier de la vie Privée) dévoilés

Communication du 29 février de la Commission européenne sur son site web

Le 29 février 2016, les États-Unis et l’Union Européenne ont rendu publiques 128 pages couvrant les éléments du Bouclier de la Vie Privé  (EU-U.S. Privacy Shield materials), précisant le cadre convenu le 2 février (Voir notre article Le Safe Harbor est mort… Peut-on dire « vive le Privacy Shield » (le bouclier de protection de la vie privée) ?

Lire la suite

Stéphanie Faber invitée de France Culture sur le thème « Europe-Etats-Unis : les données personnelles en question »

Stéphanie Faber a participé au magazine de géopolitique « Affaires étrangères » de Christine Ockrent diffusé sur France Culture le 13 février sur le thème « Europe-Etats-Unis : les données personnelles en question ».

L’émission peut être réécoutée sur le site http://www.franceculture.fr/emissions/affaires-etrangeres/europe-etats-unis-les-donnees-personnelles-en-question

Lire la suite

EU-US Privacy Shield: New Framework for Transatlantic Data Flows Agreed Upon by EU and US Negotiators

After two years of negotiations, the European Commission (EU Commission) and the US Government have agreed upon a new data flow framework to replace the “Safe Harbor” program, the legal basis for which was invalidated by the European Court of Justice in October 2015. According to an EU Commission press release, the new EU-US Privacy … Continue Reading on our Global Business IP & Technology Blog

 

Lire la suite

Le Safe Harbor est mort… Peut-on dire « vive le Privacy Shield » (le bouclier de protection de la vie privée) ?

Communiqué de presse de la Commission européenne du 2 février 2016
Déclaration du Groupe de l’article 29 du 3 février 2016

Après moultes péripéties, entrecoupées par l’invalidation du Safe Harbor par la CJUE le 6 octobre 2015 (voir notre article « ALERTE : La CJUE invalide le programme de sphère de sécurité dit Safe Harbor » et les autres articles sur le sujet), la Commission européenne a annoncé qu’un nouvel accord vient d’être trouvé qui devrait pouvoir remplacer l’ancienne « sphère de sécurité ».

Lire la suite

Conclusion de l’accord UE-USA relatif aux transferts de données à caractère personnel dans le cadre de la coopération en matière policière et pénale

Après quatre ans de négociations, l’Union européenne et les États-Unis ont conclu, le 8 septembre 2015, un accord-cadre dit « Umbrella Agreement » afin d’encadrer le transfert des données personnelles en matière policière et judiciaire pénale.[1] Cet accord-cadre tend à assurer que les transferts de données personnelles entre l’Union européenne et les États-Unis dans le cadre de la collaboration en matière policière et judiciaire pénale respectent un certain nombre de principes fondamentaux, notamment:

– les données personnelles ne pourront être utilisées que dans un but de prévention, d’enquête, de détection ou de poursuite des délits et des crimes ;
– les données personnelles ne pourront pas être à nouveau transférées dans un pays situé hors de l’Union européenne où des États-Unis sans l’accord de l’autorité compétente du pays d’origine des données ;
– la conservation des données personnelles transférées devra être limitée en tenant compte de l’impact de celle-ci sur les droits et intérêts des personnes concernées (principes de proportionnalité et de nécessité) ;
– les personnes dont les données seront transférées disposeront d’un droit d’accès et de rectification ;
– un mécanisme de notification des failles de sécurité à l’autorité compétente sera mis en place et si nécessaire, les personnes concernées seront informées en cas de fuite.

Lire la suite

Alerte : Communiqué du G29 sur les prochaines étapes concernant le Safe Harbor

Suite à la décision de la Cour de justice de l’Union européenne (CJUE) dans l’affaire Schrem[1], le groupe de travail « article 29 » (G29) a publié le 16 octobre 2015 un communiqué de presse précisant sa position sur les points critiques à résoudre. La CNIL en a fait une traduction sur son site.

Le G29 regroupe toutes les autorités de protections des données personnelles de l’UE.

Lire la suite

Safe Harbor Guidance: What Next For Companies?

The recent Safe Harbor decision by the European Court of Justice means that companies should put in place the EU Model Clauses between the relevant data exporters and data importers, prioritising key transfers first (unless and until the Article 29 Working Party or the relevant national Data Protection Authority issues different advice).

Lire la suite

Article 29 Working Party issues Statement on Next Steps for Safe Harbor

Following the EU Court of Justice (CJEU) ruling in the Schrems case the Article 29 Working Party (WP29) has issued a statement setting out its views on several critical issues going forward. The WP29 comprises all of the national Data Protection Authorities across the EU. Although the WP29’s statement it not decisive, it is influential and… Continue Reading

Lire la suite

Invalidation du Safe Harbor : suite

Affiché sur le site de la CNIL
« Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation  » Safe Habor  » permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.

En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.

Lire la suite

ALERTE : La CJUE invalide le programme de sphère de sécurité dit Safe Harbor

Dans une décision très attendue, la Cour de justice de l’Union européenne (CJUE) a jugé le 6 octobre 2015 que la décision de la Commission européenne approuvant le Safe Harbor entre les Etats-Unis et l’Union européenne était « invalide ».
 
Par conséquent, les sociétés américaines et européennes se prévalant actuellement du Safe Harbor afin d’encadrer les transferts de données depuis l’Union européenne, se doivent d’évaluer sans attendre si d’autres moyens de légitimer ou protéger un transfert peuvent être mis en place.

Lire la suite

« Clarifications » concernant le Safe Harbor et le cloud computing

Document : Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing

Le Safe Harbor est un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001. Les entreprises établies aux États-Unis peuvent adhérer à ces principes auprès du Département du Commerce américain.

Lire la suite

Transfert de données entre l’Union Européenne et l’Asie Pacifique

Communiqué de presse du groupe29

Le Groupe 29 qui regroupe les autorités de protection des données personnelles des États membres de l’UE coopère avec l’APEC (Asia Pacific Economic Cooperation) qui regroupe des pays de l’Asie Pacifique [1] en vue d’une facilitation des transferts de données entre les deux régions.

L’un des axes de discussion est la similitude entre les BCR ou règles contraignantes d’entreprise développées au niveau européen (et récemment aussi pour les sous-traitants[2]) et les Cross-Border Privacy Rules (CBPR) finalisées par l’APEC en 2012.

Lire la suite

LexBlog