Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 423

Les recommandations
du CEPD

sur les quatre garanties essentielles
pour les mesures de surveillances10.

Le 10 novembre 2020, le CEPD a
émis des recommandations sur
les mesures qui complètent les
outils de transfert pour assurer
le respect du niveau européen
de
protection
des
données
personnelles9. Malheureusement, ces
recommandations sont d'une portée
pratique très limitées. Elles sont
divisées en 6 étapes, dont les deux
premières assez évidentes : connaître
ses flux géographiques de données
et identifier si les pays peuvent
bénéficier
d'une
décision
d'adéquation. Dans ce premier cas, il
n'y a effectivement aucun besoin de
conclure des CCT.

Ces garanties concernant les
traitements de données européennes
importées par les autorités de sécurité
des Etats tiers sont :
■	 le traitement doit être basé sur
des règles claires, précises et
accessibles ;
■	 la nécessité de ces traitements et
leur proportionnalité au regard
de leur objectif légitime doit être
démontrée ;
■	 un mécanisme de supervision
indépendant doit exister ;
■	 des recours effectifs doivent être
à la disposition des personnes
européennes concernées.

La troisième étape requiert d'évaluer
si des éléments dans la loi de l'état
tiers ou dans la pratique de ses
autorités pourrait constituer un
obstacle à l'effectivité des CCT. Cette
étape existe déjà dans les trois jeux
de CCT proposés par la Commission
européenne, qui font peser cette
obligation sur l'importateur de
données en lui faisant garantir qu'il
n'a « aucune raison de croire que la
législation le concernant l'empêche
de remplir les instructions données
par l'exportateur de données et
les obligations qui lui incombent
conformément au contrat, et si
ladite législation fait l'objet d'une
modification susceptible d'avoir
des
conséquences
négatives
importantes pour les garanties et les
obligations offertes par les clauses,
il communiquera la modification à
l'exportateur de données sans retard
après en avoir eu connaissance,
auquel cas ce dernier a le droit de
suspendre le transfert de données et/
ou de résilier le contrat ».
D'un point de vue pratique, il semble
logique que cette obligation pèse sur
l'importateur de données, ne seraitce que pour des raisons linguistiques.
Cependant, le CEPD, suivant le
raisonnement de la Cour, fait porter
cette obligation sur l'exportateur de
données. Afin d'assister l'exportateur
de données dans cette analyse, le
CEPD a émis une recommandation

Comme nous l'avons exposé
ci-dessus, en réalité, il semble
probable que l'examen de la législation de la plupart des Etats membres
concernant l'accès aux données
personnelles
de
ressortissants
étrangers, pour des raisons de sécurité, démontrerait qu'aucun d'entre eux
ne répond à ces critères. Ceci est en
tous cas établi pour la France et la
Belgique, qui ne font preuve à notre
connaissance d'aucun zèle pour
modifier leur législation suite à l'arrêt
Quadrature du Net cité ci-dessus.
Cette demande d'analyse de la
législation de pays situés à l'autre bout
du monde semble assez irréaliste. On
voit en effet mal comment une société
française, ou un cabinet spécialisé
en la matière, accepterait d'exposer
sa responsabilité en analysant la
législation concernant l'accès aux
données personnelles étrangères par
les autorités de l'Uttar Pradesh ou de
Taïwan (pour prendre des Etats ou
des régions démocratiques) lorsque
la Commission européenne, avec
tous les moyens dont elle dispose, se
montre de manière répétée incapable
d'analyser le niveau de conformité
d'un pays de langue anglaise avec
un système juridique qui est, quoi
qu'on puisse en dire, très proche
de celui de certains Etats membres.
Le résultat de l'analyse de chaque
pays au vu de ces critères sera
probablement qu'il est impossible d'y
transférer des données personnelles
EXPERTISES Décembre 2020

en utilisant le mécanisme des CCT.
La seule solution pratique serait de
demander aux autorités de contrôle
de procéder à une telle analyse, afin
d'indiquer vers quels pays le transfert
de données par le mécanisme de
SCC est possible, mais on constate
qu'au vu de l'ampleur de la tâche,
aucune autorité ne semble se porter
volontaire.
La quatrième étape, si l'analyse
démontre que la législation du pays
concerné ne permet pas de transfert
des données de façon sécurisée,
serait d'adopter des mesures supplémentaires, au cas par cas et bien
évidemment sous la responsabilité
de l'exportateur de données. Le CEPD
propose dans une annexe de 16 pages
des exemples de mesures possibles
qui vont toutes vers la dépersonnalisation des données, par l'anonymisation, la pseudonymisation ou
le cryptage des données transférées.
Néanmoins à part ces mesures
techniques, aucun moyen juridique
contractuel ne semble véritablement
opposable à la réglementation d'un
pays tiers prévoyant l'accès aux
données transférées par ses autorités
en charge de la sécurité nationale.
Le CEPD a effectué une analyse
très poussée de tous les moyens
juridiques disponibles, mais on ne
peut que constater qu'un contrat entre
deux parties ne peut pas prévaloir sur
la loi d'un Etat souverain, ce qui n'est
pas véritablement surprenant.
Si des mesures supplémentaires sont
envisageables, ce qui ne concernera
en pratique qu'un nombre très limité
de cas, la cinquième étape consiste
en l'adoption des étapes procédurales
pour mettre en place ces mesures
supplémentaires. Si les CCT doivent
être modifiées pour mettre en place
ces
mesures
supplémentaires,
l'exportateur de données doit obtenir
l'autorisation de son autorité de
contrôle, en application de l'article
46.3 du RGPD, puisqu'il ne fonde
plus son transfert de données hors
de l'Union européenne sur les CCT
approuvées par la Commission.
La sixième étape consiste en une
réévaluation régulière de la législation
de l'Etat vers lequel les données sont
transférées.

423



Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
DOCTRINE
DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 403
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 405
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 407
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 408
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 409
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 410
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 412
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 413
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 414
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 416
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 417
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 418
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 419
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 421
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 422
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 423
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 424
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 426
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 427
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 429
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 430
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 431
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 433
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 435
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 436
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 437
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 438
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 439
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 440
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com