Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 307

possible d'adopter les anciennes
clauses contractuelles types en
vigueur, ceci pour permettre
aux entreprises de disposer du
temps nécessaire pour analyser
les nouvelles clauses et de se
mettre en conformité avant
leur adoption au plus tard le
27 décembre 2022 ;
■ si les parties envisagent toutefois
de réaliser un transfert qui ne
serait pas encadré par l'une
des options proposées par les
anciennes CCT (ex : s'il a lieu
entre deux sous-traitants ou d'un
sous-traitant à un responsable
du traitement), alors les parties
seront contraintes d'adopter dès
maintenant les nouvelles clauses
contractuelles types adoptées
par la Commission européenne.
Une vraie réponse
à Schrems II ?
La mise à jour des CCT vingt ans
après leur élaboration était une
étape essentielle et ce nouveau
jeu de CCT répond en théorie tant
aux nouvelles exigences règlementaires
qu'aux problématiques
soulevées par la CJUE. Toutefois,
si cette mise à jour apparaît
comme « la » réponse permettant
de répondre aux inquiétudes
soulevées par la Cour, cela ne sera
pas sans provoquer de grandes
incertitudes
pratiques
pour
Si les nouvelles CCT répondent
à l'évolution des normes règlementaires
européennes, elles
ne permettent toujours pas de
répondre à l'ensemble des problématiques
soulevées par la CJUE.
Les transferts de données envisagés
vers des importateurs qui
seraient soumis à la législation
américaine FISA semblent désormais
impossibles, le nouveau
jeu de CCT ne répondant pas à la
problématique de la surveillance
américaine. Les mêmes interrogations
se posent pour tout pays qui
soumettrait ses entreprises à des
lois contraignantes de surveillance.
De plus, ces obligations d'évaluation
devront être réitérées à chaque
évolution de la législation du pays
tiers, alourdissant encore plus le
processus de vérification pour les
éventuels transferts futurs.
Par ailleurs, c'est également l'exportateur
des données qui devra définir
les « mesures appropriées » dans le cas
où l'importateur aurait des raisons
de croire qu'il n'est plus en mesure
de respecter les CCT, sans pour
autant que ne soient précisées
quelles garanties pourraient être
requises dans pareille situation.
Depuis la publication des nouvelles
CCT, le CEPD a publié une nouvelle
version de ses « Recommandations
sur
les
instruments
de
les
exportateurs et importateurs de
données concernées. C'est en effet
l'exportateur qui devra « évaluer » la
législation du pays tiers, sans pour
autant disposer d'une méthode
pour mettre en œuvre cette
obligation.
Une question se pose d'ores et déjà
pour les transferts qui ont lieu vers
un responsable du traitement ou
un sous-traitant situé aux ÉtatsUnis.
L'arrêt Schrems II mentionne
en effet les programmes de
surveillance fondés sur les articles
702 du FISA et sur l'E.O 12333
qui « ne seraient pas soumis à des
exigences assurant (...) un niveau
de protection substantiellement
équivalent » à celui garanti par la
règlementation européenne.
proposant,
en
■ d'un algorithme et d'un paramétrage
de cryptage « conforme
aux règles de l'art » et pouvant
être considérés comme robustes
face à une analyse cryptographique
effectuée par les autorités
publiques du pays destinataire ;
■ une gestion « fiable » de la clé
de décryptage qui doit être
conservée sous le contrôle de
l'exportateur ;
■ des mesures de pseudonymisation
;
■ de chartes de sécurité informatique
ou de politique de sécurité
informatique ;
■ d'obligations contractuelles d'utiliser
des mesures techniques
spécifiques ;
■ d'audits
mesures
réguliers
couplés de
strictes qui doivent
être mises en œuvre afin de
contrôler et de faire respecter
les mesures de minimisation
des données, y compris dans le
contexte du transfert.
les mesures qui complètent
transfert
destinés à garantir le respect
du niveau de protection des
données » en
annexe, une liste de mesures techniques
et opérationnelles pouvant
être adoptées, selon les pays
où les données seront transférées
et selon le traitement effectué.
Le CEPD distingue les situations
dans lesquelles des mesures effectives
seraient déjà mises en œuvre,
de situations où aucune mesure ne
serait identifiée.
Dans
le premier
cas,
le CEPD
envisage des mesures pouvant être
mises en œuvre pour éviter une
ingérence étrangère, et notamment
la mise en place :
■ de mesures de « cryptage
fort » des données avant tout
transfert ;
EXPERTISES SEPTEMBRE 2021
Il existe toutefois des situations
dans lesquelles le CEPD a indiqué
ne pas avoir identifié de mesures
de sécurité qui seraient suffisantes
face au transfert envisagé, et
notamment lorsqu'un responsable
de traitement transfère des
données à caractère personnel à un
fournisseur de services en nuage
ou à un autre sous-traitant, qui a
besoin d'accéder aux données en
clair afin d'exécuter la tâche qui
lui a été confiée, lorsque le pouvoir
accordé aux autorités publiques du
pays destinataire va au-delà de ce
qui est nécessaire et proportionné.
Dans ce cas, le CEPD indique « qu'en
l'état actuel de la technique, [il est]
incapable d'envisager une mesure
technique efficace pour empêcher
que cet accès ne porte atteinte
aux droits
fondamentaux de la
personne concernée », ce qui ne va
certes pas rassurer les responsables
de traitement et sous-traitants
concernés.
Le CEPD n'exclut pas que des développements
technologiques ultérieurs
puissent offrir des mesures
permettant d'atteindre les objectifs
307

Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CYBERSURVEILLANCE : L'UE RENFORCE LE CONTRÔLE DE L'EXPORT DES LOGICIELS ESPIONS
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - ENTENTES ALGORITHMIQUES
DOCTRINE
DONNÉES PERSONNELL - LES NOUVELLES CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION EUROPÉENNE
INTELLIGENCE ARTIFICIELLE - EMERGENCE D’UN CADRE LÉGAL HARMONISÉ : DE L’ÉTHIQUE A LA CONFORMITÉ
LOGICIEL - SAISIE-CONTREFAÇON : RETOUR SUR LES SINGULARITÉS DE LA DEMANDE DE MAINLEVÉE
DONNÉES PERSONNELLES - CNIL ET PLATEFORMES COLLABORATIVES : LES PRESTATAIRES AMÉRICAINS DE NOUVEAU DANS LE VISEUR
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - SOMMAIRE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CYBERSURVEILLANCE : L'UE RENFORCE LE CONTRÔLE DE L'EXPORT DES LOGICIELS ESPIONS
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 289
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 291
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 292
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 293
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 295
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 296
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - ENTENTES ALGORITHMIQUES
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 298
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 299
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 300
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 301
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELL - LES NOUVELLES CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION EUROPÉENNE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 303
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 304
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 305
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 306
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 307
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 308
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - INTELLIGENCE ARTIFICIELLE - EMERGENCE D’UN CADRE LÉGAL HARMONISÉ : DE L’ÉTHIQUE A LA CONFORMITÉ
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 310
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 311
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 312
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 313
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 314
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 315
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 316
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 317
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - LOGICIEL - SAISIE-CONTREFAÇON : RETOUR SUR LES SINGULARITÉS DE LA DEMANDE DE MAINLEVÉE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 319
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 320
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 321
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CNIL ET PLATEFORMES COLLABORATIVES : LES PRESTATAIRES AMÉRICAINS DE NOUVEAU DANS LE VISEUR
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 323
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 324
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com