Tous les articles du blog

Affaire Schrems II et le Privacy Shield | CCT (clauses contractuelles types) de l’UE 2021 pour des transferts de données sûrs

Le règlement général sur la protection des données (RGPD) et la directive ePrivacy (ePR) affectent la manière dont votre site web peut utiliser les cookies et à quel endroit dans le monde il peut envoyer des données personnelles.

Mis à jour le 28 juillet 2021.

En juillet 2020, la Cour de justice de l’Union européenne (CJUE) a annulé le Privacy Shield qui garantissait la libre circulation des données entre l’UE et les États-Unis.

Le 4 juin 2021, le Commission européenne a adopté deux séries de clauses contractuelles types (CCT) pour remplacer l’ancien régime de transfert, permettant de faciliter les transferts de données personnelles entre l’UE et les pays sans décision d’adéquation.

Dans cet article, nous vous guidons à travers l’arrêt Schrems II, les nouvelles clauses contractuelles types (CCT) et les conséquences pour votre site web.

Utilisez le puissant scanner Cookiebot CMP pour voir où votre site web envoie des données.

Schrems II, résumé rapide

Schrems II, Privacy Shield et les CCT de l’UE 2021

Le 16 juillet 2020, la Cour de justice de l’UE (CJUE) a invalidé le Privacy Shield, l’un des méchanismes les plus utilisés pour les transferts de données personnelles entre l’UE et les États-Unis.

Dans une décision historique, la CJUE a invalidé le Privacy Shield, l’un des mécanismes les plus largement utilisés permettant aux sociétés commerciales américaines de transférer et de stocker des données personnelles de l’UE aux États-Unis.

La décision de la CJUE d’invalider le Privacy Shield fait des États-Unis un pays inadéquat qui n’a donc aucun accès particulier aux flux de données à caractère personnel de l’Europe.

Le 4 juin 2021, la Commission européenne a adopté deux séries de clauses contractuelles types (CCT) pour remplacer le système de transfert de données Privacy Shield – une série pour les responsables du traitement et les sous-traitants, et une autre pour le transfert de données personnelles vers des pays tiers.

Les clauses contractuelles types (CCT) de l’UE 2021

Les nouvelles CCT de l’UE de juin 2021 reflètent, selon la Commission européenne, les nouvelles exigences du règlement général sur la protection des données (RGPD) et tiennent compte de l’arrêt Schrems II de la Cour de justice de l’UE, garantissant un niveau élevé de protection des données pour les citoyens.

Les CCT de l’UE 2021 –

  • Autorisent les transferts de données à caractère personnel entre l’UE et tout pays tiers (ce qui est inadéquat en vertu du RGPD) et suppriment la nécessité d’un accord de traitement des données (ATD) et d’une CCT signée.
  • Garantissent que la législation locale des pays tiers n’empêche pas le respect des obligations des CCT.
  • Ont des dispositions pour garantir que la législation locale n’empêche pas le respect des CCT, par exemple le remplir un rapport de transparence.
  • Exigent une documentation supplémentaire pour sécuriser les transferts, par exemple la fréquence du transfert, la finalité, la période de conservation des données, la base juridique pour les transferts de sous-traitants, etc.
  • Permettent à des tiers d’adhérer à l’accord, ce qui facilite la gestion des remplacements futurs des parties.
Les nouvelles clauses contractuelles types de l’UE permettent les transferts de données à caractère personnel entre l’UE et tout pays tiers.

Alors que les anciennes CCT n’autorisaient les transferts de données que dans le cadre d’un accord de traitement des données (ATD), les nouvelles clauses contractuelles types adoptées en juin 2021 permettent aux parties suivantes de transférer des données personnelles entre elles :

  • Des responsables du traitement des données vers les sous-traitants de données,
  • Des sous-traitants de données vers les responsables du traitement de données,
  • Des responsables du traitement des données vers d’autres responsables du traitement des données,
  • Des sous-traitants de données vers d’autres sous-traitants de données.

Les nouvelles clauses contractuelles types (CCT) peuvent être utilisées à partir du 27 juin 2021, tandis que les CCT existantes peuvent être utilisées jusqu’au 27 septembre 2021.

Le EDPB a également publié des recommandations actualisées pour les transferts de données en dehors de l’UE, dans lesquelles vous trouverez le guide en cinq étapes pour transférer en toute sécurité des données personnelles vers un pays tiers (comme les États-Unis).

Voir les nouvelles CCT (clauses contractuelles types) de l’UE

Voir les recommandations actualisées du EDPB et le guide en cinq étapes

Communiqué de presse officiel de la Cour de justice de l’UE sur l’arrêt Schrems II

FAQ du EDPB sur l’affaire Schrems II (Privacy Shield)

Utilisez Cookiebot CMP pour voir où dans le monde vous envoyez des données

Recommandations du EDPB pour les transferts de données en dehors de l’UE

Le 18 juin 2021, le Comité Européen de Protection des Données (EDPB) a adopté de nouvelles recommandations sur les tranferts sûrs de données personnelles en dehors de l’UE dans un guide en 5 étapes destiné aux entreprises et aux organisations, apportant ainsi des éclaircissements sur la confusion qui règne dans le secteur depuis la suppression du bouclier de protection de la vie privée au début de l’année 2020.

Les recommandations du EDPB aident les propriétaires et les opérateurs de sites web à naviguer dans l’océan juridique de l’envoi de données en dehors de l’UE vers des pays non adéquats, tels que les États-Unis, tout en s’assurant que les données restent protégées.

Le EDPB a également publié un second document – les garanties essentielles de l’UE – qui peut être utilisé comme support pour les propriétaires et les opérateurs de sites web, lorsqu’ils évaluent si les transferts de données vers un pays sont sécurisés ou non.

Nouvelles recommandations du EDPB de juin 2021 (PDF)

Les garanties essentielles de l’UE (PDF)

Dans la section suivante, nous passons en revue les nouvelles recommandations du EDPB pour des transferts de données sûrs en dehors de l’UE, en mettant l’accent sur les conséquences de l’utilisation de cookies par votre site web et du traitement des données personnelles de vos utilisateurs finaux.

N.B. : n’oubliez pas que les sites web peuvent envoyer des données par d’autres moyens que les cookies et les traceurs.

Étape 1 – Où envoyer les données ?

Vous devez savoir à quel endroit votre site web envoie des données à caractère personnel de l’utilisateur final – c’est la première étape.

C’est la clé de tout le reste, car si vous découvrez que votre site web envoie des données à caractère personnel d’utilisateurs vers les États-Unis, par exemple, des mesures supplémentaires doivent être prises pour assurer le respect de la réglementation.

La cartographie du flux de données de votre site web peut être une tâche très difficile, mais l’utilisation du plus puissant scanner de site web Cookiebot CMP détectera automatiquement tous les cookies et traceurs de votre site et vous donnera un rapport détaillé sur les endroits où votre site web envoie des données.

Scannez gratuitement votre site web pour savoir où dans le monde vous envoyez des données

Étape 2 – comment envoyer les données ?

Une fois que vous avez une vue d’ensemble des endroits dans le monde où votre site web envoie des données à caractère personnel, la deuxième étape des recommandations du EDPB consiste à s’assurer que vous utilisez le bon mécanisme de transfert.

Si votre site web envoie des données à caractère personnel à des pays ayant conclu un accord d’adéquation avec l’UE (par exemple le Japon), vous n’avez pas besoin de prendre d’autres mesures concernant ces transferts de données.

Mais si votre site web envoie également des données à caractère personnel à des pays qui n’ont pas conclu d’accord d’adéquation avec l’UE (par exemple les États-Unis), vous devez vous assurer que votre site web utilise l’un des outils de transfert énumérés à l’article 46 du RGPD.

Et n’oubliez pas que vous devez toujours obtenir le consentement de vos utilisateurs finaux avant de collecter ou de traiter des données à caractère personnel, même si vous ne les envoyez pas à des pays situés en dehors de l’UE.

Scannez gratuitement votre site web pour savoir quels sont les cookies qui permettent de suivre les données personnelles des utilisateurs


Étape 3 – Les données seront-elles protégées après leur envoi ?

La troisième étape du guide de recommandations du EDPB consiste à évaluer si un pays a mis en place des lois ou des pratiques de protection de la vie privée qui peuvent garantir un niveau équivalent de protection des données pour les utilisateurs de votre site web et leurs données personnelles.

Cette étape peut sembler un peu délicate – peut-être n’êtes-vous pas très familier avec la législation américaine sur la protection de la vie privée ?

C’est ici que les garanties essentielles de l’UE du EDPB peuvent vous aider à déterminer le niveau de protection des données d’un pays.

Les garanties essentielles de l’UE peuvent vous aider à avoir une vue d’ensemble de la manière de procéder à une telle évaluation dans les pays où votre site web envoie des données, par exemple en cherchant à savoir si –

  • le traitement des données dans le pays est basé sur des règles claires, précises et accessibles
  • les objectifs légitimes du traitement des données sont démontrés conformément à la législation de l’UE
  • le pays dispose d’un mécanisme de contrôle indépendant, par exemple une autorité de protection des données
  • vos utilisateurs ont des recours juridiques à exercer si leurs droits garantis par le RGPD ont été violés

Voir également l’annexe 3, page 47 des nouvelles recommandations du EDPB concernant les sources d’information possibles pour évaluer un pays tiers.

Scannez votre site web pour voir où dans le monde vous envoyez des données

Vous devez savoir où, dans le monde, votre site web envoie les données personnelles des utilisateurs finaux.

Étape 4 – Adoption de protections supplémentaires pour le transfert de données

Si vous découvrez que votre site web envoie des données personnelles d’utilisateurs finaux aux États-Unis, par exemple, qui ne sont pas reconnus comme ayant un niveau de protection des données adéquat, la quatrième étape des recommandations du EDPB indique comment vous pouvez assurer une sécurité supplémentaire autour de vos transferts de données afin qu’ils répondent aux normes d’équivalence de l’UE.

Ces mesures supplémentaires dans les recommandations du EDPB comprennent –

  • Des garanties techniques (telles que les protocoles de cryptage et la pseudonymisation)
  • Garanties contractuelles (telles que les engagements de transparence des importateurs et les audits renforcés)
  • Mesures organisationnelles (telles que les politiques de gouvernance des transferts internes)

Ces mesures complémentaires se trouvent à l’annexe 2 des recommandations du EDPB (PDF)

Etapes 5 & 6 – Documenter et réévaluer

Dans les deux dernières étapes du guide de recommandations du EDPB, vous êtes encouragés à documenter vos pratiques en matière de transfert de données et la manière dont vous assurez une protection adéquate des utilisateurs finaux de votre site web.

Vous êtes également encouragé à réévaluer vos pratiques de transfert de données à intervalles appropriés pour vous assurer que vous êtes toujours au courant des derniers développements dans les pays où vous envoyez des données personnelles.

Scannez votre site web pour voir où vous envoyez des données

Où votre site web envoie-t-il des données ?

Scannez gratuitement votre site web avec la plateforme de gestion des consentements Cookiebot CMP

Scannez votre site web pour obtenir une vue d’ensemble et un contrôle complet de tous les cookies et du suivi en cours sur votre site web. Cookiebot CMP est une plateforme de gestion des consentements, leader mondial, construite autour d’une technologie de scan inégalée qui vous permet de déterminer le type de données traitées par votre domaine et l’endroit dans le monde où les données sont envoyées.

Obtenez gratuitement un rapport d’analyse de Cookiebot CMP indiquant à quels pays chaque cookie de votre site web envoie des données sur les utilisateurs et si ces pays sont considérés comme adéquats par l’UE.

Grâce à Cookiebot CMP, vous bénéficiez d’une transparence totale des flux de données de votre site web et d’un contrôle total des cookies tiers, tels que les cookies de Facebook et de Google en provenance des États-Unis.

Logo banner powered by Cookiebot by Usercentrics
Le bandeau de consentement de Cookiebot CMP permet de respecter pleinement le RGPD sur votre site web.

La plateforme de gestion des consentements Cookiebot CMP permet un véritable consentement des utilisateurs finaux grâce à un bandeau cookie qui regroupe automatiquement tous les traceurs en quatre catégories de cookies faciles à comprendre, que les utilisateurs finaux peuvent activer et désactiver de manière granulaire, garantissant un consentement valide selon le RGPD.

Une transparence totale

La technologie de scan de Cookiebot CMP détecte tous les cookies et les traceurs de votre site web et détermine exactement le type de données personnelles qu’ils traitent et le lieu où ils envoient des données, ce qui vous permet de connaître rapidement le niveau de conformité de votre domaine et la protection des données de l’utilisateur final.

Conformité totale

La plateforme de gestion des consentements Cookiebot CMP donne le contrôle total à l’utilisateur final, lui permettant de donner un consentement granulaire pour chaque objectif spécifique de traitement des données, comme l’exige le RGPD pour garantir une protection totale des données personnelles.

Personnalisation complète

Cookiebot CMP est entièrement personnalisable, ce qui permet à votre site web d’informer ses utilisateurs de votre configuration spécifique de cookies et de suivi et de les engager dans un dialogue honnête et transparent sur les données que vous traitez, comment, dans quel but et à quel endroit du monde elles sont envoyées.

Scannez gratuitement votre site web pour voir où dans le monde les données personnelles sont envoyées

Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web

Voir les nouvelles CCT (clauses contractuelles types) de l’UE

Voir les nouvelles recommandations du EDPB de juin 2021 (en anglais)

Voir l’article de l’équipe de support client de Cookiebot CMP sur l’envoi de données personnelles à des pays non adéquats (en anglais)

En savoir plus sur le RGPD et le consentement aux cookies

En savoir plus sur la conformité du CCPA avec Cookiebot CMP

En quoi consiste l’affaire Schrems II ?

Du nom de Max Schrems, avocat autrichien et militant de la protection des données à caractère personnel de la NOYB, l’affaire Schrems II a remis en cause deux des mécanismes les plus utilisés pour le transfert de données à caractère personnel de l’UE vers les États-Unis, à savoir les Clauses Contractuelles Types (CCT) et le Privacy Shield.

Le règlement général sur la protection des données (RGPD) de l’UE exige qu’un pays dispose d’un niveau de protection des données adéquat avant que des données personnelles puissent lui être transférées depuis l’UE. Les décisions d’adéquation prises par la Commission européenne déterminent si les données à caractère personnel peuvent légalement être envoyées à un pays en dehors de l’UE.

Les États-Unis ne sont pas reconnus par l’UE comme ayant un niveau de protection des données adéquat, mais plusieurs mécanismes de transfert permettent aux sociétés et organisations commerciales des États-Unis d’effectuer des transferts de données à caractère personnel de l’UE vers les États-Unis où elles sont ensuite stockées.

Il s’agit notamment des Clauses Contractuelles Types (CCT), du Privacy Shield et des règles d’entreprise contraignantes (BCR).

L’affaire Schrems II a remis en cause la légalité de ce système, en faisant valoir qu’un niveau de protection des données adéquat pour l’UE ne peut pas être assuré par Facebook, puisque les lois américaines (telles que FISA 702 et EO 12.333) imposent une surveillance de masse, contrairement à la législation européenne (telle que le RGPD) qui impose une forte confidentialité des données.

Les normes de protection des données de l’UE peuvent-elles être garanties après le transfert vers les États-Unis ?

L’affaire Schrems II a été portée devant la CJUE à la suite d’une demande adressée en 2015 par Max Schrems au commissaire irlandais à la protection des données (Data Protection Commissioner) afin d’ordonner à Facebook de suspendre ses transferts de données de l’UE vers les États-Unis.

Les pratiques de Facebook consistant à transférer des données personnelles hors de l’UE via leurs serveurs en Irlande vers leur siège aux États-Unis reposent sur les CCT.

L’affaire Schrems II a remis en cause la légalité de ce système, en faisant valoir qu’un niveau adéquat de protection des données dans l’UE ne peut être assuré par Facebook, puisque les lois américaines (comme la FISA 702 et le décret présidentiel 12.333) imposent une surveillance de masse, ce qui contraste fortement avec la législation européenne (comme le RGPD) qui impose une forte protection des données.

La demande de M. Schrems d’interdire les transferts de données de Facebook de l’UE vers les États-Unis a été transmise à la CJUE par la Haute Cour irlandaise. Cette dernière a posé onze questions qui portent toutes sur la question de savoir si et comment les données personnelles des citoyens européens peuvent être protégées aux États-Unis, dont le paysage juridique est fondamentalement différent.

L’arrêt rendu par la CJUE dans l’affaire Schrems II le 16 juillet 2020 a donné raison en grande partie à Max Schrems, invalidant le Privacy Shield en tant que mécanisme de transfert de données personnelles entre l’UE et les États-Unis. Il impose également de fortes obligations aux responsables du traitement des données et aux autorités de protection des données dans chaque État membre de l’UE afin d’assurer une protection adéquate des transferts de données personnelles lors de l’utilisation des Clauses Contractuelles Types.

Testez gratuitement votre site web pour voir s’il envoie des données personnelles à des pays qui ne sont pas adéquats

Le Privacy Shield Suisse – Etats-Unis également aboli

Le 8 septembre 2020, à la suite d’une évaluation du Privacy Shield entre la Suisse et les Etats-Unis qui assure le transfert de données entre les deux pays, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a déclaré que le régime de transfert était inadéquat.

Le PFPDT a estimé que le niveau de protection des données aux États-Unis était insuffisant et le mécanisme de transfert dans le cadre du Privacy Shield Suisse – Etats-Unis a été invalidé – tout comme la CJUE a invalidé le Privacy Shield UE – Etats-Unis.

En savoir plus sur la décision Privacy Shield Suisse – Etats-Unis

FAQ

Qu’est-ce que Schrems II ?

Schrems II est une affaire de la Cour de justice de l’Union européenne (CJUE) portant sur les mécanismes qui permettent aux données personnelles de circuler de l’UE vers les États-Unis. La CJEU a annulé le Privacy Shield, un cadre largement utilisé pour le transfert de données personnelles vers les États-Unis, et a statué que les Clauses Contractuelles Types (CCT) peuvent être utilisées, à condition que le responsable du traitement des données, le destinataire des données et l’autorité de protection des données du pays membre de l’UE estiment que le transfert est en mesure d’assurer un niveau de protection des données adéquat.

Scanner gratuitement pour voir où votre site web envoie des données

Mon site web envoie-t-il des données aux États-Unis ?

Si votre site web utilise des cookies et des traceurs provenant de plateformes de médias sociaux, d’outils d’analyse ou de logiciels de marketing gérés par des entreprises américaines, il est très probable qu’ils transfèrent et stockent des données personnelles de vos utilisateurs finaux aux États-Unis.

Scannez votre site web avec Cookiebot CMP pour obtenir une transparence totale

Mon site web est-il conforme au RGPD ?

Pour que votre site web soit conforme au règlement général sur la protection des données (RGPD), vous devez demander et obtenir le consentement explicite des utilisateurs finaux avant toute collecte, traitement ou partage de leurs données personnelles. Si vous avez des cookies Facebook ou Google sur votre site web, ceux-ci ne peuvent être activés qu’après que vos utilisateurs ont donné leur consentement.

En savoir plus sur le RGPD et le consentement aux cookies

Comment puis-je rechercher des cookies sur mon site web ?

L’utilisation d’une plateforme de gestion des consentements dotée d’une technologie de scan de pointe vous permet d’analyser en profondeur votre domaine afin de détecter et de contrôler tous les cookies et autres technologies de suivi analogues. La cartographie de la configuration des cookies de votre site web vous donne un aperçu instantané de la manière dont votre site web traite les données personnelles et des endroits dans le monde où il envoie ces données.

Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.

Ressources

Communiqué de presse officiel de la Cour de justice de l’UE (CJUE) dans l’affaire Schrems II/Privacy Shield

Les nouvelles CCT (clauses contractuelles types) de l’UE de juin 2021

Les nouvelles recommandations du EDPB de juin 2021 (en anglais)

La décision Schrems II selon les mots de Max Schrems à NOYB

Arrêt dans l’affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland

Le Monde : « L’accord sur le transfert de données personnelles entre l’UE et les Etats-Unis annulé par la justice européenne »

En savoir plus sur le RGPD et le consentement aux cookies

Pour en savoir plus sur la conformité de votre site web avec le RGPD

En savoir plus sur les lignes directrices du EDPB sur le consentement valide dans l’UE

    Suivez l’actualité

    Rejoignez dès maintenant notre communauté grandissante d’amateurs de la confidentialité des données. Abonnez-vous à la newsletter de Cookiebot™ et recevez les dernières actualités directement dans votre boîte mail.

    En cliquant sur "S'abonner", je confirme que je souhaite m'abonner à la newsletter de Cookiebot™. Je peux facilement me désabonner de la newsletter de Cookiebot™ et révoquer le consentement à l'utilisation de mes données en cliquant sur le lien de désabonnement ou je peux écrire à [email protected] pour en faire la demande. Politique de confidentialité.