Dans une d\u00e9cision historique, la CJUE a invalid\u00e9 le Privacy Shield<\/strong>, l'un des m\u00e9canismes les plus largement utilis\u00e9s permettant aux soci\u00e9t\u00e9s commerciales am\u00e9ricaines de transf\u00e9rer et de stocker des donn\u00e9es personnelles de l'UE aux \u00c9tats-Unis.<\/p>\n\n\n\n La d\u00e9cision de la CJUE d'invalider le Privacy Shield fait des \u00c9tats-Unis un pays inad\u00e9quat<\/strong> qui n'a donc aucun acc\u00e8s particulier aux flux de donn\u00e9es \u00e0 caract\u00e8re personnel de l'Europe.<\/p>\n\n\n\n Le 4 juin 2021, la Commission europ\u00e9enne a adopt\u00e9 deux s\u00e9ries de clauses contractuelles types (CCT)<\/a> pour remplacer le syst\u00e8me de transfert de donn\u00e9es Privacy Shield - une s\u00e9rie pour les responsables du traitement et les sous-traitants<\/a>, et une autre pour le transfert de donn\u00e9es personnelles vers des pays tiers<\/a>.<\/p>\n\n\n\n Les nouvelles CCT de l'UE de juin 2021<\/a> refl\u00e8tent, selon la Commission europ\u00e9enne, les nouvelles exigences du r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) et tiennent compte de l'arr\u00eat Schrems II de la Cour de justice de l'UE, garantissant un niveau \u00e9lev\u00e9 de protection des donn\u00e9es pour les citoyens.<\/p>\n\n\n\n Les CCT de l'UE 2021 -<\/p>\n\n\n\n Alors que les anciennes CCT n'autorisaient les transferts de donn\u00e9es que dans le cadre d'un accord de traitement des donn\u00e9es (ATD), les nouvelles clauses contractuelles types adopt\u00e9es en juin 2021 permettent aux parties suivantes de transf\u00e9rer des donn\u00e9es personnelles entre elles :<\/p>\n\n\n\n Les nouvelles clauses contractuelles types (CCT) peuvent \u00eatre utilis\u00e9es \u00e0 partir du 27 juin 2021<\/strong>, tandis que les CCT existantes peuvent \u00eatre utilis\u00e9es jusqu'au 27 septembre 2021<\/strong>.<\/p>\n\n\n\n Le EDPB a \u00e9galement publi\u00e9 des recommandations actualis\u00e9es pour les transferts de donn\u00e9es en dehors de l'UE<\/a>, dans lesquelles vous trouverez le guide en cinq \u00e9tapes pour transf\u00e9rer en toute s\u00e9curit\u00e9 des donn\u00e9es personnelles vers un pays tiers (comme les \u00c9tats-Unis).<\/p>\n\n\n\n Voir les nouvelles CCT (clauses contractuelles types) de l'UE<\/a><\/p>\n\n\n\n Voir les recommandations actualis\u00e9es du EDPB et le guide en cinq \u00e9tapes<\/a><\/p>\n\n\n\n Communiqu\u00e9 de presse officiel de la Cour de justice de l'UE sur l'arr\u00eat Schrems II<\/a><\/p>\n\n\n\n FAQ du EDPB sur l'affaire Schrems II (Privacy Shield)<\/a><\/p>\n\n\n\n Utilisez Cookiebot CMP pour voir o\u00f9 dans le monde vous envoyez des donn\u00e9es<\/a><\/p>\n\n\n\n Le 18 juin 2021, le Comit\u00e9 Europ\u00e9en de Protection des Donn\u00e9es (EDPB)<\/a> a adopt\u00e9 de nouvelles recommandations sur les tranferts s\u00fbrs de donn\u00e9es personnelles en dehors de l'UE dans un guide en 5 \u00e9tapes<\/a> destin\u00e9 aux entreprises et aux organisations, apportant ainsi des \u00e9claircissements sur la confusion qui r\u00e8gne dans le secteur depuis la suppression du bouclier de protection de la vie priv\u00e9e au d\u00e9but de l'ann\u00e9e 2020.<\/p>\n\n\n\n Les recommandations du EDPB<\/a> aident les propri\u00e9taires et les op\u00e9rateurs de sites web \u00e0 naviguer dans l'oc\u00e9an juridique de l'envoi de donn\u00e9es en dehors de l'UE vers des pays non ad\u00e9quats, tels que les \u00c9tats-Unis, tout en s'assurant que les donn\u00e9es restent prot\u00e9g\u00e9es.<\/p>\n\n\n\n Le EDPB a \u00e9galement publi\u00e9 un second document - les garanties essentielles de l'UE<\/a> - qui peut \u00eatre utilis\u00e9 comme support pour les propri\u00e9taires et les op\u00e9rateurs de sites web, lorsqu'ils \u00e9valuent si les transferts de donn\u00e9es vers un pays sont s\u00e9curis\u00e9s ou non.<\/p>\n\n\n\n Nouvelles recommandations du EDPB de juin 2021 (PDF)<\/a><\/p>\n\n\n\n Les garanties essentielles de l'UE (PDF)<\/a><\/p>\n\n\n\n Dans la section suivante, nous passons en revue les nouvelles recommandations du EDPB<\/a> pour des transferts de donn\u00e9es s\u00fbrs en dehors de l'UE, en mettant l'accent sur les cons\u00e9quences de l'utilisation de cookies par votre site web et du traitement des donn\u00e9es personnelles de vos utilisateurs finaux<\/strong>.<\/p>\n\n\n\n N.B. : n'oubliez pas que les sites web peuvent envoyer des donn\u00e9es par d'autres moyens que les cookies et les traceurs.<\/p>\n\n\n\n Vous devez savoir \u00e0 quel endroit votre site web envoie des donn\u00e9es \u00e0 caract\u00e8re personnel de l'utilisateur final - c'est la premi\u00e8re \u00e9tape<\/strong>.<\/p>\n\n\n\n C'est la cl\u00e9 de tout le reste, car si vous d\u00e9couvrez que votre site web envoie des donn\u00e9es \u00e0 caract\u00e8re personnel d'utilisateurs vers les \u00c9tats-Unis, par exemple, des mesures suppl\u00e9mentaires doivent \u00eatre prises pour assurer le respect de la r\u00e9glementation.<\/p>\n\n\n\n La cartographie du flux de donn\u00e9es de votre site web peut \u00eatre une t\u00e2che tr\u00e8s difficile, mais l'utilisation du plus puissant scanner de site web Cookiebot CMP d\u00e9tectera automatiquement tous les cookies et traceurs<\/strong> de votre site et vous donnera un rapport d\u00e9taill\u00e9 sur les endroits<\/strong> o\u00f9 votre site web envoie des donn\u00e9es.<\/p>\n\n\n\n Scannez gratuitement votre site web pour savoir o\u00f9 dans le monde vous envoyez des donn\u00e9es<\/a><\/p>\n\n\n\n Une fois que vous avez une vue d'ensemble des endroits dans le monde o\u00f9 votre site web envoie des donn\u00e9es \u00e0 caract\u00e8re personnel, la deuxi\u00e8me \u00e9tape<\/strong> des recommandations du EDPB consiste \u00e0 s'assurer que vous utilisez le bon m\u00e9canisme de transfert<\/strong>.<\/p>\n\n\n\n Si votre site web envoie des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des pays ayant conclu un accord d'ad\u00e9quation avec l'UE<\/strong> (par exemple le Japon), vous n'avez pas besoin de prendre d'autres mesures concernant ces transferts de donn\u00e9es.<\/p>\n\n\n\n Mais si votre site web envoie \u00e9galement des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des pays qui n'ont pas conclu d'accord d'ad\u00e9quation avec l'UE<\/strong> (par exemple les \u00c9tats-Unis), vous devez vous assurer que votre site web utilise l'un des outils de transfert \u00e9num\u00e9r\u00e9s \u00e0 l'article 46 du RGPD<\/a>.<\/p>\n\n\n\n Et n'oubliez pas que vous devez toujours obtenir le consentement de vos utilisateurs finaux avant de collecter ou de traiter des donn\u00e9es \u00e0 caract\u00e8re personnel, m\u00eame si vous ne les envoyez pas<\/strong> \u00e0 des pays situ\u00e9s en dehors de l'UE.<\/p>\n\n\n\n Scannez gratuitement votre site web pour savoir quels sont les cookies qui permettent de suivre les donn\u00e9es personnelles des utilisateurs<\/a><\/p>\n\n\n\n La troisi\u00e8me \u00e9tape du guide de recommandations du EDPB consiste \u00e0 \u00e9valuer si un pays a mis en place des lois ou des pratiques de protection de la vie priv\u00e9e qui peuvent garantir un niveau \u00e9quivalent de protection des donn\u00e9es<\/strong> pour les utilisateurs de votre site web et leurs donn\u00e9es personnelles.<\/p>\n\n\n\n Cette \u00e9tape peut sembler un peu d\u00e9licate - peut-\u00eatre n'\u00eates-vous pas tr\u00e8s familier avec la l\u00e9gislation am\u00e9ricaine sur la protection de la vie priv\u00e9e ?<\/p>\n\n\n\n C'est ici que les garanties essentielles de l'UE du EDPB<\/a> peuvent vous aider \u00e0 d\u00e9terminer le niveau de protection des donn\u00e9es d'un pays.<\/p>\n\n\n\n Les garanties essentielles de l'UE peuvent vous aider \u00e0 avoir une vue d'ensemble de la mani\u00e8re de proc\u00e9der \u00e0 une telle \u00e9valuation dans les pays o\u00f9 votre site web envoie des donn\u00e9es, par exemple en cherchant \u00e0 savoir si -<\/p>\n\n\n\n Voir \u00e9galement l'annexe 3, page 47 des nouvelles recommandations du EDPB concernant les sources d'information possibles pour \u00e9valuer un pays tiers<\/a>.<\/p>\n\n\n\n Scannez votre site web pour voir o\u00f9 dans le monde vous envoyez des donn\u00e9es<\/a><\/p>\n\n\n\n Si vous d\u00e9couvrez que votre site web envoie des donn\u00e9es personnelles d'utilisateurs finaux aux \u00c9tats-Unis, par exemple, qui ne sont pas reconnus comme ayant un niveau de protection des donn\u00e9es ad\u00e9quat, la quatri\u00e8me \u00e9tape<\/strong> des recommandations du EDPB indique comment vous pouvez assurer une s\u00e9curit\u00e9 suppl\u00e9mentaire autour de vos transferts de donn\u00e9es afin qu'ils r\u00e9pondent aux normes d'\u00e9quivalence de l'UE.<\/p>\n\n\n\n Ces mesures suppl\u00e9mentaires dans les recommandations du EDPB comprennent \u2013<\/p>\n\n\n\n Ces mesures compl\u00e9mentaires se trouvent \u00e0 l'annexe 2 des recommandations du EDPB (PDF)<\/a><\/p>\n\n\n\n Dans les deux derni\u00e8res \u00e9tapes du guide de recommandations du EDPB, vous \u00eates encourag\u00e9s \u00e0 documenter vos pratiques en mati\u00e8re de transfert de donn\u00e9es et la mani\u00e8re dont vous assurez une protection ad\u00e9quate des utilisateurs finaux de votre site web.<\/p>\n\n\n\n Vous \u00eates \u00e9galement encourag\u00e9 \u00e0 r\u00e9\u00e9valuer vos pratiques de transfert de donn\u00e9es \u00e0 intervalles appropri\u00e9s pour vous assurer que vous \u00eates toujours au courant des derniers d\u00e9veloppements dans les pays o\u00f9 vous envoyez des donn\u00e9es personnelles.<\/p>\n\n\n\n Scannez votre site web pour voir o\u00f9 vous envoyez des donn\u00e9es<\/a><\/p>\n\n\n\n Scannez votre site web pour obtenir une vue d'ensemble et un contr\u00f4le complet de tous les cookies et du suivi en cours sur votre site web. Cookiebot CMP<\/a> est une plateforme de gestion des consentements, leader mondial, construite autour d'une technologie de scan in\u00e9gal\u00e9e qui vous permet de d\u00e9terminer le type de donn\u00e9es trait\u00e9es par votre domaine et l'endroit dans le monde o\u00f9 les donn\u00e9es sont envoy\u00e9es.<\/p>\n\n\n\n Obtenez gratuitement un rapport d'analyse de Cookiebot CMP indiquant \u00e0 quels pays chaque cookie de votre site web envoie des donn\u00e9es sur les utilisateurs et si ces pays sont consid\u00e9r\u00e9s comme ad\u00e9quats par l'UE.<\/a><\/p>\n\n\n\n Gr\u00e2ce \u00e0 Cookiebot CMP<\/a>, vous b\u00e9n\u00e9ficiez d'une transparence totale<\/strong> des flux de donn\u00e9es de votre site web et d'un contr\u00f4le total<\/strong> des cookies tiers, tels que les cookies de Facebook et de Google en provenance des \u00c9tats-Unis.<\/p>\n\n\n\n La plateforme de gestion des consentements Cookiebot CMP<\/a> permet un v\u00e9ritable consentement des utilisateurs finaux gr\u00e2ce \u00e0 un bandeau cookie qui regroupe automatiquement tous les traceurs en quatre cat\u00e9gories de cookies faciles \u00e0 comprendre, que les utilisateurs finaux peuvent activer et d\u00e9sactiver de mani\u00e8re granulaire, garantissant un consentement valide selon le RGPD.<\/p>\n\n\n\n La technologie de scan de Cookiebot CMP<\/a> d\u00e9tecte tous les cookies et les traceurs de votre site web et d\u00e9termine exactement le type de donn\u00e9es personnelles qu'ils traitent et le lieu o\u00f9 ils envoient des donn\u00e9es, ce qui vous permet de conna\u00eetre rapidement le niveau de conformit\u00e9 de votre domaine et la protection des donn\u00e9es de l'utilisateur final.<\/p>\n\n\n\n La plateforme de gestion des consentements Cookiebot CMP<\/a> donne le contr\u00f4le total \u00e0 l'utilisateur final, lui permettant de donner un consentement granulaire pour chaque objectif sp\u00e9cifique de traitement des donn\u00e9es, comme l'exige le RGPD pour garantir une protection totale des donn\u00e9es personnelles.<\/p>\n\n\n\n Cookiebot CMP<\/a> est enti\u00e8rement personnalisable, ce qui permet \u00e0 votre site web d'informer ses utilisateurs de votre configuration sp\u00e9cifique de cookies et de suivi et de les engager dans un dialogue honn\u00eate et transparent sur les donn\u00e9es que vous traitez, comment, dans quel but et \u00e0 quel endroit du monde elles sont envoy\u00e9es.<\/p>\n\n\n\n Scannez gratuitement votre site web pour voir o\u00f9 dans le monde les donn\u00e9es personnelles sont envoy\u00e9es<\/a><\/p>\n\n\n\n Essayez Cookiebot CMP gratuitement pendant 14 jours<\/a>... ou pour toujours si vous avez un petit site web<\/p>\n\n\n\n Voir les nouvelles CCT (clauses contractuelles types) de l'UE<\/a><\/p>\n\n\n\n Voir les nouvelles recommandations du EDPB de juin 2021 (en anglais)<\/a><\/p>\n\n\n\n Voir l'article de l'\u00e9quipe de support client de Cookiebot CMP sur l'envoi de donn\u00e9es personnelles \u00e0 des pays non ad\u00e9quats (en anglais)<\/a><\/p>\n\n\n\n En savoir plus sur le RGPD et le consentement aux cookies<\/a><\/p>\n\n\n\n En savoir plus sur la conformit\u00e9 du CCPA avec Cookiebot CMP<\/a><\/p>\n\n\n\n Du nom de Max Schrems, avocat autrichien et militant de la protection des donn\u00e9es \u00e0 caract\u00e8re personnel de la NOYB<\/a>, l'affaire Schrems II a remis en cause deux des m\u00e9canismes les plus utilis\u00e9s pour le transfert de donn\u00e9es \u00e0 caract\u00e8re personnel de l'UE vers les \u00c9tats-Unis, \u00e0 savoir les Clauses Contractuelles Types (CCT)<\/a> et le Privacy Shield<\/a>.<\/p>\n\n\n\n Le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/a> de l'UE exige qu'un pays dispose d'un niveau de protection des donn\u00e9es ad\u00e9quat<\/strong> avant que des donn\u00e9es personnelles puissent lui \u00eatre transf\u00e9r\u00e9es depuis l'UE. Les d\u00e9cisions d'ad\u00e9quation prises par la Commission europ\u00e9enne<\/a> d\u00e9terminent si les donn\u00e9es \u00e0 caract\u00e8re personnel peuvent l\u00e9galement \u00eatre envoy\u00e9es \u00e0 un pays en dehors de l'UE.<\/p>\n\n\n\n Les \u00c9tats-Unis ne sont pas reconnus<\/strong> par l'UE comme ayant un niveau de protection des donn\u00e9es ad\u00e9quat, mais plusieurs m\u00e9canismes de transfert permettent aux soci\u00e9t\u00e9s et organisations commerciales des \u00c9tats-Unis d'effectuer des transferts de donn\u00e9es \u00e0 caract\u00e8re personnel de l'UE vers les \u00c9tats-Unis o\u00f9 elles sont ensuite stock\u00e9es.<\/p>\n\n\n\n Il s'agit notamment des Clauses Contractuelles Types (CCT), du Privacy Shield et des r\u00e8gles d'entreprise contraignantes (BCR).<\/p>\n\n\n\n L'affaire Schrems II<\/strong> a \u00e9t\u00e9 port\u00e9e devant la CJUE \u00e0 la suite d'une demande adress\u00e9e en 2015 par Max Schrems au commissaire irlandais \u00e0 la protection des donn\u00e9es (Data Protection Commissioner) afin d'ordonner \u00e0 Facebook de suspendre ses transferts de donn\u00e9es de l'UE vers les \u00c9tats-Unis.<\/p>\n\n\n\n Les pratiques de Facebook consistant \u00e0 transf\u00e9rer des donn\u00e9es personnelles hors de l'UE via leurs serveurs en Irlande vers leur si\u00e8ge aux \u00c9tats-Unis reposent sur les CCT.<\/p>\n\n\n\n L'affaire Schrems II a remis en cause la l\u00e9galit\u00e9 de ce syst\u00e8me, en faisant valoir qu'un niveau ad\u00e9quat de protection des donn\u00e9es dans l'UE ne peut \u00eatre assur\u00e9 par Facebook, puisque les lois am\u00e9ricaines (comme la FISA 702 et le d\u00e9cret pr\u00e9sidentiel 12.333) imposent une surveillance de masse, ce qui contraste fortement avec la l\u00e9gislation europ\u00e9enne (comme le RGPD) qui impose une forte protection des donn\u00e9es.<\/p>\n\n\n\n La demande de M. Schrems d'interdire les transferts de donn\u00e9es de Facebook de l'UE vers les \u00c9tats-Unis a \u00e9t\u00e9 transmise \u00e0 la CJUE par la Haute Cour irlandaise. Cette derni\u00e8re a pos\u00e9 onze questions<\/a> qui portent toutes sur la question de savoir si et comment les donn\u00e9es personnelles des citoyens europ\u00e9ens peuvent \u00eatre prot\u00e9g\u00e9es aux \u00c9tats-Unis, dont le paysage juridique est fondamentalement diff\u00e9rent.<\/p>\n\n\n\n L'arr\u00eat rendu par la CJUE dans l'affaire Schrems II le 16 juillet 2020 a donn\u00e9 raison en grande partie \u00e0 Max Schrems, invalidant le Privacy Shield en tant que m\u00e9canisme de transfert de donn\u00e9es personnelles entre l'UE et les \u00c9tats-Unis. Il impose \u00e9galement de fortes obligations aux responsables du traitement des donn\u00e9es et aux autorit\u00e9s de protection des donn\u00e9es dans chaque \u00c9tat membre de l'UE afin d'assurer une protection ad\u00e9quate des transferts de donn\u00e9es personnelles lors de l'utilisation des Clauses Contractuelles Types.<\/p>\n\n\n\nLes clauses contractuelles types (CCT) de l'UE 2021<\/h3>\n\n\n\n
\n
![\"\"](\"\/media\/4244\/image-1-schrems.jpeg?width=450&&mode=max\")
\n
Recommandations du EDPB pour les transferts de donn\u00e9es en dehors de l'UE<\/h2>\n\n\n\n
\u00c9tape 1 - O\u00f9 envoyer les donn\u00e9es ?<\/h3>\n\n\n\n
\u00c9tape 2 - comment envoyer les donn\u00e9es ?<\/h3>\n\n\n\n
\u00c9tape 3 - Les donn\u00e9es seront-elles prot\u00e9g\u00e9es apr\u00e8s leur envoi ?<\/h3>\n\n\n\n\n
![\"\"](\"\/media\/4245\/image-2-schrems.jpeg?width=450&&mode=max\")
\u00c9tape 4 - Adoption de protections suppl\u00e9mentaires pour le transfert de donn\u00e9es<\/h3>\n\n\n\n
\n
Etapes 5 & 6 - Documenter et r\u00e9\u00e9valuer<\/h3>\n\n\n\n
O\u00f9 votre site web envoie-t-il des donn\u00e9es ?<\/h2>\n\n\n\n
Scannez gratuitement votre site web avec la plateforme de gestion des consentements Cookiebot CMP<\/h3>\n\n\n\n
![\"Logo](\"\/media\/4357\/consent_fr.png?width=500&\")
Une transparence totale<\/h3>\n\n\n\n
Conformit\u00e9 totale<\/h3>\n\n\n\n
Personnalisation compl\u00e8te<\/h3>\n\n\n\n
En quoi consiste l'affaire Schrems II ?<\/h2>\n\n\n\n
![\"\"](\"\/media\/4246\/image-3-schrems.jpeg?width=450&&mode=max\")
Les normes de protection des donn\u00e9es de l'UE peuvent-elles \u00eatre garanties apr\u00e8s le transfert vers les \u00c9tats-Unis ?<\/h3>\n\n\n\n