Le 16 juillet dernier, la Cour de Justice de l’Union européenne (la « CJUE » ou la « Cour ») par son arrêt « Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18 », a invalidé la décision n° 2016/1250 et, par conséquent, l’accord conclu entre l’Union européenne et les États-Unis destiné à protéger et régir le transfert de données personnelles de citoyens de l’Union à des destinataires situés sur le territoire américain (le « Privacy Shield »).

Pour ceci, Comité européen de la protection des données (« l’EDPB ») a préparé une « Foire Aux Questions » (« FAQ ») que l’Autorité de protection italienne (« l’Autorité de protection ») a traduit en Italien.

Celles-ci prennent le soin de souligner que peuvent encore être considérés comme aptes à justifier le transfert des données personnelles à des destinataires établis hors du territoire de l’Union européenne les autres instruments prévus par le Règlement UE 2016/679 en matière de protection des données personnelles (le « Règlement »), en citant les Clauses contractuelles types (les « Standard Contractual Clauses » ou « SCC ») et les règles d’entreprise contraignantes (les « Binding Corporate Rules » ou « BCR »). Il est de plus souligné que les parties ont la responsabilité d’évaluer au cas par cas les transferts effectués étant précisé que : « le Comité européen de la protection des données est en train d’analyser l’arrêt de la Cour pour décider quelles mesures supplémentaires pourraient être mises en place en plus des SCC ou des BCR, qu’il s’agisse de mesures juridiques, techniques ou organisationnelles, pour transférer des données vers des pays tiers dans lesquels les SCC ou les BCR ne pourront pas garantir seules un niveau suffisant de garanties ».

Cela dit, les FAQ renvoient à un autre instrument servant de base juridique justifiant de tels transferts, à savoir le consentement des personnes concernées. En particulier, il est bien précisé que le langage du consentement doit être simple et clair et doit informer de façon transparente les personnes concernées sur les éventuels risques qu’un transfert vers les États-Unis ou, en tout état de cause, d’autres juridictions étrangères pourrait poser.

Par souci d’exhaustivité, il est de plus signalé que les autres instruments prévus par le Règlement comme bases juridiques permettant de justifier les transferts à l’étranger sont : (i) la présence d’une Décision constatant le niveau de protection adéquat aux exigences européennes en matière de protection des données personnelles et (ii) l’adhésion à des Codes de conduite spécifiques ou, en tout état de cause, à des mécanismes de certification qui doivent être appliqués par la personne à laquelle les données sont transférées.

◊◊◊◊

En tout état de cause, à la lumière des commentaires de la Cour à travers l’arrêt commenté et des FAQ de l’EDPB, toute organisation effectuant des transferts de données vers des destinataires établis hors du territoire de l’Union doit effectuer une évaluation spécifique des traitements ainsi que des risques afférents en identifiant au cas par cas l’instrument permettant de justifier le transfert effectué.

Autres Insights:

Privacy Shield (ndt : Bouclier de Protection des Données) : la Cour de Justice Européenne annule l’Accord UE – USA

Le 8 août dernier a été approuvé dans sa version définitive le projet de décret législatif dit « d’harmonisation » du Code de protection de la vie privée (Décret législatif n° 196/03) avec le Règlement européen (UE) 2016/679 sur la protection des données à caractère personnel (RGPD). Plus précisément, le décret stipule que les droits de la personne concernée peuvent être limités ou exclus lorsqu’ils entrent en conflit avec les exigences des lois de l’État, comme dans le cas de la lutte contre le blanchiment d’argent ou le whistleblowing (lancement d’alerte). Ce décret présente aussi certains types de délits qui ne seraient pas absorbés par le principe ne bis in idem et qui resteraient donc prévus et sanctionnés par le droit pénal du système italien. Il s’agit, entre autres : (i) du traitement illicite de données ; (ii) de la communication et de la divulgation illicites de données faisant l’objet d’un traitement à grande échelle ; (iii) de l’acquisition frauduleuse de données à caractère personnel faisant l’objet d’un traitement à grande échelle ; (iv) de la violation des dispositions en matière de contrôles à distance et aux enquêtes sur l’opinion des travailleurs. Le projet prévoit également que les affaires pendantes devant l’Autorité de contrôle et non réglée à la date du 25 mai 2018 pourront se conclure par le paiement des deux cinquièmes du montant minimal prévu pour la sanction administrative pécuniaire, dans un délai de 60 jours à compter de la date d’entrée en vigueur du décret. En revanche, en ce qui concerne les litiges futurs, le contrevenant et la partie solidairement responsable peuvent régler le litige en se conformant aux dispositions de l’Autorité de contrôle (si elles sont données) et en payant une somme correspondant à la moitié de la sanction infligée. En outre, le nouveau projet abaisse à 14 ans l’âge à partir duquel les enfants peuvent donner leur consentement directement, pour des activités sur les réseaux sociaux ou similaires (également et précisément en ce qui concerne le marketing et le profilage). Enfin, il convient de noter qu’aux fins de l’application de sanctions administratives et dans la mesure où cela est compatible avec le RGPD, au cours des huit premiers mois, il est demandé à l’Autorité de contrôle de tenir compte des difficultés de mise en œuvre des premiers mois. La publication au Journal officiel de la République italienne est attendue dans les prochains jours (semaines) : l’entrée en vigueur du décret est prévue le jour même de sa la publication.