[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fY1YY1sL2gCxxm05FO_IXt5aO8Q-rqkULwGoj0A643-E":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":48,"imageUrl":49,"imageThumbUrls":50,"id":57},false,"2e volet de notre série sur l'arrêt Schrems II.\r\n\r\n1. [Privacy Shield - Le coup d’arrêt de la CJUE pour les transferts vers les USA](https://www.dastra.eu/fr/article/le-coup-d-arret-de-la-CJUE-pour-les-transferts-vers-les-USA/198)\r\n2. [Transferts vers les USA : point d’étape sur les clauses contractuelles type de l'UE](https://www.dastra.eu/fr/article/schrems2-transferts-point-etape/277)\r\n3. [Transfert des données hors UE : les 6 étapes à suivre !](https://www.dastra.eu/fr/article/cepd-transferts-recommandations/299)\r\n\r\n## Rappel : l’arrêt SCHREMS II de la CJUE\r\n\r\nLe 16 juillet 2020, dans un arrêt SHREMS II très attendu, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord entre l’Union européenne et les Etats-Unis dit “Privacy Shield”.\r\n\r\n**Le Privacy Shield n’est plus une base légale acceptable pour réaliser de tels transferts**.\r\n\r\nLa Cour s’est également prononcée sur les clauses contractuelles type de la Commission européennes qu’elle n’a pas invalidées. Elle a cependant rappelé qu’il appartenait aux parties de s’assurer du niveau de protection des données dans les pays où sont exportées les données afin que celui ci garantisse le respect des principes du RGPD. En particulier, **l’importateur (qui emmène les données aux USA), doit assurer à l’autre partie que la législation de son pays permet le respect des clauses et donc d’assurer un niveau de garanties conforme au droit européen**. L’exportateur doit prendre, en cas de législation contraire au droit européen, des mesures telles que la résiliation ou la suspension du transfert (articles 5.b et 8.3 des clauses type pour les curieux).\r\n\r\nL’utilisation de ces clauses pose difficulté car une incompatibilité est liée au régime de surveillance américain et au fait qu’il n’est pas encadré de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.\r\n\r\nAutrement dit, les clauses contractuelles type n’empêchent pas les Etats-Unis de dépasser le cadre protecteur européen et ainsi ne peuvent pas être utilisées en l’état.\r\n\r\n## Que faire ?\r\n\r\n**Maintenant qu’on sait ça et qu’on s’est rendu compte qu’un très grand nombre de services transfèrent des données sous ma responsabilité vers les USA, que faire ?**\r\n\r\nNous l'avions déjà dit : **recenser ces services et vérifier qu’on ne transfère rien sur la base du Privacy Shield**.\r\n\r\nEnsuite, il n’y a pas de solutions miracles. Le CEPD (comité européen de protection des données, regroupement des CNIL européennes) s’est prononcé et a publié une FAQ (disponible [ici](https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fr.pdf)).\r\n\r\nIl considère que la législation américaine ne garantit pas un niveau de protection substantiellement équivalent donc n’est pas suffisante en l’état. En vertu des articles 5.b et 8.3 des clauses, il faut ainsi : soit cesser le transfert/résilier le contrat, soit informer l’autorité de contrôle dont on dépend de la continuité du transfert.\r\n\r\nIl indique surtout qu’une évaluation doit être faite pour mesurer le niveau de risques sur le transfert eu égard à la législation américaine. Cette évaluation qui fait partie de la documentation à tenir impérativement est l’occasion d’envisager des mesures complémentaires au transfert.\r\n\r\nSi vous considérez que l’évaluation conclut à ce que des garanties sont suffisantes pour assurer un transfert dans le respect du droit européen, alors vous pouvez continuer le transfert.\r\n\r\nSi vous considérez que l’évaluation conclut à ce que les garanties ne sont pas suffisantes, alors il faut soit arrêter, soit informer l’autorité de contrôle si on continue.\r\n\r\n## Quelles mesures complémentaires ?\r\n\r\n### \r\n\r\nC’est du cas par cas, mais on pense bien évidemment à des **mesures techniques**. Plusieurs autorités de contrôle ont déjà émis ces hypothèses, tel que l’autorité de contrôle du Baden Wurtemberg en Allemagne, qui évoque les mesures acceptables suivantes ([ici](https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf)) :\r\n\r\n- **chiffrement des données** dont la clé est connue uniquement de l’exportateur de données et qui ne peut être brisé même par les services américains (ce qui en l’espèce sera bien difficile à prouver),\r\n- **anonymisation** des données personnelles.\r\n\r\nOn peut également ajouter la minimisation des données, la pseudonymisation, l’absence de conservation des données. Selon le contexte, les mesures seront plus ou moins fortes et nécessaires. Dans le cas de transferts de données en vue d’un support technique, on pourrait par exemple imaginer que seules les données indirectement identifiantes soient transmises (tel qu’un morceau de code expurgé de données directement identifiantes) et qu’aucune réidentification ne soit possible pour l’importateur (aux USA).\r\n\r\nAujourd’hui, les autorités ne se sont pas prononcées de concert. La CNIL n’a pas encore communiqué sur le sujet et analyse les conséquences de l’arrêt.\r\n\r\nLe CEPD a indiqué revenir avec des **lignes directrices claires** pour présenter ces mesures complémentaires acceptables.\r\n\r\n## Que faire ?\r\n\r\n### \r\n\r\nCesser tout transfert sans avoir de propositions concrètes des autorités de contrôle apparaît sans doute prématuré. Le risque réel n’a pas été démultiplié depuis l’arrêt SCHREMS II, la législation américaine existait auparavant. Aujourd’hui, le **risque principal est juridique** et européen.\r\n\r\nAinsi, dans la logique de responsabilité, il convient d’évaluer les transferts et de documenter… en attendant des lignes directrices. Il y a fort à parier que les autorités de contrôle adoptent une position raisonnée devant ce séisme juridique.\r\n\r\nLa même autorité du Baden Wurtemberg a indiqué qu’Office 365 de Microsoft n’est pas utilisable dans les conditions actuelles en vertu de la réglementation sur la protection des données. Cependant, elle a [annoncé](https://www.baden-wuerttemberg.datenschutz.de/gemeinsame-pressemitteilung-zu-microsoft-office-365/) se rapprocher de Microsoft pour trouver des solutions. Les grands acteurs américains, premiers concernés par cette décision, prendront certainement des mesures pour apporter des garanties suffisantes pour respecter le droit européen dans le cadre des transferts sur la base des clauses type.\r\n\r\nCes clauses type constituent aujourd’hui l'un des seuls moyens de continuer les transferts massifs de données vers les USA.\r\n\r\nEn tant que responsable du traitement, vous pouvez demander à vos sous-traitants américains les mesures complémentaires mises en oeuvre afin de documenter votre conformité.\r\n\r\n## Et après ?\r\n\r\n### \r\n\r\nLa Commission européenne a indiqué qu’une **nouvelle version des clauses est à l’étude afin de prendre en compte les dispositions de l’arrêt SCHREMS II**. D’après Margrethe Vestager, la vice Présidente exécutive de la Commission européenne en charge du digital, celles ci devraient voir le jour **avant Nöel** … en attendant un nouvel accord avec les USA ?","\u003Cp>2e volet de notre série sur l'arrêt Schrems II.\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Ca href=\"https://www.dastra.eu/fr/article/le-coup-d-arret-de-la-CJUE-pour-les-transferts-vers-les-USA/198\">Privacy Shield - Le coup d’arrêt de la CJUE pour les transferts vers les USA\u003C/a>\u003C/li>\r\n\u003Cli>\u003Ca href=\"https://www.dastra.eu/fr/article/schrems2-transferts-point-etape/277\">Transferts vers les USA : point d’étape sur les clauses contractuelles type de l'UE\u003C/a>\u003C/li>\r\n\u003Cli>\u003Ca href=\"https://www.dastra.eu/fr/article/cepd-transferts-recommandations/299\">Transfert des données hors UE : les 6 étapes à suivre !\u003C/a>\u003C/li>\r\n\u003C/ol>\r\n\u003Ch2 id=\"rappel-larret-schrems-ii-de-la-cjue\">Rappel : l’arrêt SCHREMS II de la CJUE\u003C/h2>\r\n\u003Cp>Le 16 juillet 2020, dans un arrêt SHREMS II très attendu, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord entre l’Union européenne et les Etats-Unis dit “Privacy Shield”.\u003C/p>\r\n\u003Cp>\u003Cstrong>Le Privacy Shield n’est plus une base légale acceptable pour réaliser de tels transferts\u003C/strong>.\u003C/p>\r\n\u003Cp>La Cour s’est également prononcée sur les clauses contractuelles type de la Commission européennes qu’elle n’a pas invalidées. Elle a cependant rappelé qu’il appartenait aux parties de s’assurer du niveau de protection des données dans les pays où sont exportées les données afin que celui ci garantisse le respect des principes du RGPD. En particulier, \u003Cstrong>l’importateur (qui emmène les données aux USA), doit assurer à l’autre partie que la législation de son pays permet le respect des clauses et donc d’assurer un niveau de garanties conforme au droit européen\u003C/strong>. L’exportateur doit prendre, en cas de législation contraire au droit européen, des mesures telles que la résiliation ou la suspension du transfert (articles 5.b et 8.3 des clauses type pour les curieux).\u003C/p>\r\n\u003Cp>L’utilisation de ces clauses pose difficulté car une incompatibilité est liée au régime de surveillance américain et au fait qu’il n’est pas encadré de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.\u003C/p>\r\n\u003Cp>Autrement dit, les clauses contractuelles type n’empêchent pas les Etats-Unis de dépasser le cadre protecteur européen et ainsi ne peuvent pas être utilisées en l’état.\u003C/p>\r\n\u003Ch2 id=\"que-faire\">Que faire ?\u003C/h2>\r\n\u003Cp>\u003Cstrong>Maintenant qu’on sait ça et qu’on s’est rendu compte qu’un très grand nombre de services transfèrent des données sous ma responsabilité vers les USA, que faire ?\u003C/strong>\u003C/p>\r\n\u003Cp>Nous l'avions déjà dit : \u003Cstrong>recenser ces services et vérifier qu’on ne transfère rien sur la base du Privacy Shield\u003C/strong>.\u003C/p>\r\n\u003Cp>Ensuite, il n’y a pas de solutions miracles. Le CEPD (comité européen de protection des données, regroupement des CNIL européennes) s’est prononcé et a publié une FAQ (disponible \u003Ca href=\"https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fr.pdf\" rel=\"nofollow\">ici\u003C/a>).\u003C/p>\r\n\u003Cp>Il considère que la législation américaine ne garantit pas un niveau de protection substantiellement équivalent donc n’est pas suffisante en l’état. En vertu des articles 5.b et 8.3 des clauses, il faut ainsi : soit cesser le transfert/résilier le contrat, soit informer l’autorité de contrôle dont on dépend de la continuité du transfert.\u003C/p>\r\n\u003Cp>Il indique surtout qu’une évaluation doit être faite pour mesurer le niveau de risques sur le transfert eu égard à la législation américaine. Cette évaluation qui fait partie de la documentation à tenir impérativement est l’occasion d’envisager des mesures complémentaires au transfert.\u003C/p>\r\n\u003Cp>Si vous considérez que l’évaluation conclut à ce que des garanties sont suffisantes pour assurer un transfert dans le respect du droit européen, alors vous pouvez continuer le transfert.\u003C/p>\r\n\u003Cp>Si vous considérez que l’évaluation conclut à ce que les garanties ne sont pas suffisantes, alors il faut soit arrêter, soit informer l’autorité de contrôle si on continue.\u003C/p>\r\n\u003Ch2 id=\"quelles-mesures-complementaires\">Quelles mesures complémentaires ?\u003C/h2>\r\n\u003Ch3 id=\"section\">\u003C/h3>\r\n\u003Cp>C’est du cas par cas, mais on pense bien évidemment à des \u003Cstrong>mesures techniques\u003C/strong>. Plusieurs autorités de contrôle ont déjà émis ces hypothèses, tel que l’autorité de contrôle du Baden Wurtemberg en Allemagne, qui évoque les mesures acceptables suivantes (\u003Ca href=\"https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf\" rel=\"nofollow\">ici\u003C/a>) :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>chiffrement des données\u003C/strong> dont la clé est connue uniquement de l’exportateur de données et qui ne peut être brisé même par les services américains (ce qui en l’espèce sera bien difficile à prouver),\u003C/li>\r\n\u003Cli>\u003Cstrong>anonymisation\u003C/strong> des données personnelles.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>On peut également ajouter la minimisation des données, la pseudonymisation, l’absence de conservation des données. Selon le contexte, les mesures seront plus ou moins fortes et nécessaires. Dans le cas de transferts de données en vue d’un support technique, on pourrait par exemple imaginer que seules les données indirectement identifiantes soient transmises (tel qu’un morceau de code expurgé de données directement identifiantes) et qu’aucune réidentification ne soit possible pour l’importateur (aux USA).\u003C/p>\r\n\u003Cp>Aujourd’hui, les autorités ne se sont pas prononcées de concert. La CNIL n’a pas encore communiqué sur le sujet et analyse les conséquences de l’arrêt.\u003C/p>\r\n\u003Cp>Le CEPD a indiqué revenir avec des \u003Cstrong>lignes directrices claires\u003C/strong> pour présenter ces mesures complémentaires acceptables.\u003C/p>\r\n\u003Ch2 id=\"que-faire-1\">Que faire ?\u003C/h2>\r\n\u003Ch3 id=\"section-1\">\u003C/h3>\r\n\u003Cp>Cesser tout transfert sans avoir de propositions concrètes des autorités de contrôle apparaît sans doute prématuré. Le risque réel n’a pas été démultiplié depuis l’arrêt SCHREMS II, la législation américaine existait auparavant. Aujourd’hui, le \u003Cstrong>risque principal est juridique\u003C/strong> et européen.\u003C/p>\r\n\u003Cp>Ainsi, dans la logique de responsabilité, il convient d’évaluer les transferts et de documenter… en attendant des lignes directrices. Il y a fort à parier que les autorités de contrôle adoptent une position raisonnée devant ce séisme juridique.\u003C/p>\r\n\u003Cp>La même autorité du Baden Wurtemberg a indiqué qu’Office 365 de Microsoft n’est pas utilisable dans les conditions actuelles en vertu de la réglementation sur la protection des données. Cependant, elle a \u003Ca href=\"https://www.baden-wuerttemberg.datenschutz.de/gemeinsame-pressemitteilung-zu-microsoft-office-365/\" rel=\"nofollow\">annoncé\u003C/a> se rapprocher de Microsoft pour trouver des solutions. Les grands acteurs américains, premiers concernés par cette décision, prendront certainement des mesures pour apporter des garanties suffisantes pour respecter le droit européen dans le cadre des transferts sur la base des clauses type.\u003C/p>\r\n\u003Cp>Ces clauses type constituent aujourd’hui l'un des seuls moyens de continuer les transferts massifs de données vers les USA.\u003C/p>\r\n\u003Cp>En tant que responsable du traitement, vous pouvez demander à vos sous-traitants américains les mesures complémentaires mises en oeuvre afin de documenter votre conformité.\u003C/p>\r\n\u003Ch2 id=\"et-apres\">Et après ?\u003C/h2>\r\n\u003Ch3 id=\"section-2\">\u003C/h3>\r\n\u003Cp>La Commission européenne a indiqué qu’une \u003Cstrong>nouvelle version des clauses est à l’étude afin de prendre en compte les dispositions de l’arrêt SCHREMS II\u003C/strong>. D’après Margrethe Vestager, la vice Présidente exécutive de la Commission européenne en charge du digital, celles ci devraient voir le jour \u003Cstrong>avant Nöel\u003C/strong> … en attendant un nouvel accord avec les USA ?\u003C/p>\r\n",null,1109,6,"Transferts vers les USA : point d’étape sur les clauses contractuelles type de l'UE",0,"fr","schrems2-transferts-point-etape","Le 16 juillet dernier, la CJUE annulait le Privacy Shield dans un arrêt désormais célèbre : SCHREMS 2. Nous faisons le point sur les solutions envisageables, en particulier les clauses contractuelles type de l'Union européenne (SCCs) pour encadrer les transferts de données personnelles vers les USA.",true,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":21,"blogUrl":22,"color":7,"userId":18,"creationDate":23},31,"Jérôme de Mercey","https://static.dastra.eu/tenant-10/avatar/31/Zuh7XFZe5EnnTo/design-sans-titre-2-150.png","COO/cofounder","https://www.dastra.eu","2021-11-15T12:57:57","2020-10-05T21:02:56.021","2020-11-11T23:25:36.4318741","2025-12-17T10:47:07.2541036",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":33},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[34,36,39],{"lang":12,"name":29,"description":35},"Une liste d'articles rédigés par la communauté",{"lang":37,"name":29,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":40,"name":29,"description":41},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[43],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":44},[45,46,47],{"lang":12,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},[],"https://static.dastra.eu/content/d2002b3a-7f94-4b47-8ad6-0fd8d2c44045/commission-europenne-1000.jpg",[51,52,53,54,55,56],"https://static.dastra.eu/content/d2002b3a-7f94-4b47-8ad6-0fd8d2c44045/commission-europenne-1000.webp","https://static.dastra.eu/content/d2002b3a-7f94-4b47-8ad6-0fd8d2c44045/commission-europenne.webp","https://static.dastra.eu/content/d2002b3a-7f94-4b47-8ad6-0fd8d2c44045/commission-europenne-800.webp","https://static.dastra.eu/content/d2002b3a-7f94-4b47-8ad6-0fd8d2c44045/commission-europenne-600.webp","https://static.dastra.eu/content/d2002b3a-7f94-4b47-8ad6-0fd8d2c44045/commission-europenne-300.webp","https://static.dastra.eu/content/d2002b3a-7f94-4b47-8ad6-0fd8d2c44045/commission-europenne-100.webp",277]