La Commission nationale pour la protection des données (CNPD) salue l'arrêt de la Cour de justice de l'Union européenne (CJUE) dans l'affaire Data Protection Commissioner contre Facebook Ireland et Maximillian Schrems (Schrems II), rendu le 16 juillet 2020.
La CJUE a invalidé la décision 2016/1250 sur l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (« Privacy Shield »). Dans son arrêt, la Cour a constaté que le « Privacy Shield » n'assurait pas un niveau de protection essentiellement équivalent à celui garanti par le RGPD et la Charte des droits fondamentaux de l’UE.
La CJUE a également jugé que le mécanisme de transfert des clauses contractuelles types restait, en principe, valide. Cependant, elle a souligné que ces clauses contractuelles imposent une obligation pour l’exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection. A charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.
La CNPD, en collaboration avec le Comité Européen de la Protection des Données (en anglais « EDPB » ou « European Data Protection Board ») et les autorités de contrôle de l'UE, évalue actuellement la décision pour assurer la cohérence dans l'EEE (Espace économique européen).
Le 23 juillet, l’EDPB a adopté un document visant à présenter des réponses à certaines questions fréquement posées (« FAQ ») aux autorités de protection des données. Ce document est disponible ci-dessous en version anglaise. Il sera développé et complété avec une analyse plus détaillée, alors que la CNPD et ses collègues européens continue d’examiner et d’analyser le jugement de la Cour de justice de l’Union européenne.