
Depuis l'arrêt Schrems II de la Cour de justice de l’Union européenne (CJUE, arrêt du 16 juillet 2020, réf. C-311/18, diverses réactions des autorités de contrôle ont été publiées en Allemagne. Il y a unanimité sur le fait que les transferts de données vers les États-Unis ne peuvent plus être basés sur le Privacy Shield UE-USA ; les violations à cet égard pourraient à l'avenir donner lieu à des amendes et à des demandes de dommages et intérêts. Les responsables de traitement sont invités sans délai à prendre, si nécessaire, des mesures supplémentaires pour assurer un niveau de protection adéquat des données dans les transferts internationaux de données. Selon la Conférence des autorités indépendantes de protection des données du Gouvernement Fédéral et Etatique allemands, les évaluations de la décision s'appliquent non seulement aux clauses contractuelles types, mais aussi à d'autres garanties prévues par l'art. 46 du RGPD, par exemple aux règles d'entreprise contraignantes. Le Délégué à la protection des données de Berlin a fixé des normes particulièrement élevées et a appelé les entreprises à se tourner vers des prestataires de services basés dans l'UE. Le délégué à la protection des données du Bade-Wurtemberg a publié un guide d'orientation. Son approche sera notamment fondée sur la question de savoir si les responsables de traitement ont accès à d'autres prestataires raisonnables sans problématiques de transfert. L'Association allemande pour la Protection et la Sécurité des Données e.V. a également publié des recommandations d'action.
S’agissant de l'utilisation de clauses contractuelles types, il est conseillé de demander une explication supplémentaire à l'importateur de données. Cette explication doit aller au-delà de la simple promesse de respect des clauses contractuelles types et démontrer comment le respect peut être effectivement assuré. Cela peut se faire, par exemple, en recourant à des mesures techniques et organisationnelles, en particulier le cryptage, l'anonymisation et la pseudonymisation. En effet, si l'importateur de données dans le pays tiers n'a pas effectivement accès aux données à caractère personnel, il n'y a en principe aucun risque que les autorités du pays tiers puissent y avoir accès. Cette recommandation s'aligne sur le point de vue du délégué à la protection des données du Bade-Wurtemberg. Il conseille également de compléter les clauses contractuelles types, par exemple en ce qui concerne les exigences en matière d'information pour les demandes de transfert de données juridiquement contraignantes. En outre, l'obligation pour l'importateur de données d'intenter une action en justice contre une demande de transfert de données et de ne divulguer les données qu'en cas de décision juridiquement contraignante pourrait également être prévue. Enfin, une limitation de responsabilité envers le prestataire de services non européen ou un intermédiaire européen pourrait être envisagée, ce qui ne conduirait toutefois pas forcément à une exclusion de responsabilité et d'action extérieure de la part des autorités de contrôle.
Les autorités de contrôle allemandes se baseront sur l'arrêt Schrems II dans leur future pratique de contrôle et recommandent aux responsables de traitement d’examiner leurs transferts internationaux de données et, si nécessaire, qu’ils mettent en œuvre des mesures supplémentaires, qui peuvent comprendre le cryptage et l'anonymisation ainsi que des garanties contractuelles.
S’agissant de l'utilisation de clauses contractuelles types, il est conseillé de demander une explication supplémentaire à l'importateur de données. Cette explication doit aller au-delà de la simple promesse de respect des clauses contractuelles types et démontrer comment le respect peut être effectivement assuré. Cela peut se faire, par exemple, en recourant à des mesures techniques et organisationnelles, en particulier le cryptage, l'anonymisation et la pseudonymisation. En effet, si l'importateur de données dans le pays tiers n'a pas effectivement accès aux données à caractère personnel, il n'y a en principe aucun risque que les autorités du pays tiers puissent y avoir accès. Cette recommandation s'aligne sur le point de vue du délégué à la protection des données du Bade-Wurtemberg. Il conseille également de compléter les clauses contractuelles types, par exemple en ce qui concerne les exigences en matière d'information pour les demandes de transfert de données juridiquement contraignantes. En outre, l'obligation pour l'importateur de données d'intenter une action en justice contre une demande de transfert de données et de ne divulguer les données qu'en cas de décision juridiquement contraignante pourrait également être prévue. Enfin, une limitation de responsabilité envers le prestataire de services non européen ou un intermédiaire européen pourrait être envisagée, ce qui ne conduirait toutefois pas forcément à une exclusion de responsabilité et d'action extérieure de la part des autorités de contrôle.
Les autorités de contrôle allemandes se baseront sur l'arrêt Schrems II dans leur future pratique de contrôle et recommandent aux responsables de traitement d’examiner leurs transferts internationaux de données et, si nécessaire, qu’ils mettent en œuvre des mesures supplémentaires, qui peuvent comprendre le cryptage et l'anonymisation ainsi que des garanties contractuelles.
The Privacy Shield in Germany
“The German supervisory authorities will base their future supervisory practice on the Schrems II ruling and recommend that controllers review their international data transfers and, if necessary, implement additional measures, which may include encryption and anonymization as well as contractual safeguards.”
Since the Schrems II judgment of the European Court of Justice (ECJ, judgment of 16 July 2020, Ref. C-311/18, various reactions from supervisory authorities have been published in Germany. There is unanimity on the point that data transfers to the USA can no longer be based on the EU-US Privacy Shield; violations in this regard may in future result in fines and claims for damages. Controllers are urged to take, if necessary, additional measures to ensure an adequate level of data protection in international data transfers. In the opinion of the Conference of the independent data protection authorities of the Federal and State Governments of Germany, the evaluations from the decision apply not only to the standard contractual clauses, but also to other guarantees under Art. 46 GDPR, e.g. to binding corporate rules. The Data protection officer for Berlin has set particularly high standards and called on companies to switch to service providers based in the EU. The data protection officer of Baden-Württemberg published an orientation guide. His approach will be based in particular on whether the controllers have access to reasonable alternative providers without transfer problems. The German Association for Data Protection and Data Security e.V. also issued recommendations for action.
For the use of standard contractual clauses, it is advisable to request a supplementary explanation from the data importer. This must go beyond the mere promise of compliance with the standard contractual clauses and show how compliance can be effectively ensured. This can be done, for example, by employing technical and organizational measures, in particular encryption, anonymization and pseudonymization. For, if the data importer in the third country does not actually have access to the personal data, there is in principle no risk that third country authorities will be able to access them. This recommendation aligns with the view of the data protection officer of Baden-Württemberg.. He also advises supplementing the standard contractual clauses, e.g. with regard to the information requirements for legally binding requests for data transfer. In addition, an obligation of the data importer to take legal action against a request for data transfer and to disclose data only in the event of a legally binding ruling could also be stipulated. In addition, a limitation of liability towards the non-European or an intermediary European service provider could be considered, which, however, would not lead to an exemption from external liability and action by the supervisory authorities.
The German supervisory authorities will base their future supervisory practice on the Schrems II ruling and recommend that controllers review their international data transfers and, if necessary, implement additional measures, which may include encryption and anonymization as well as contractual safeguards.
Since the Schrems II judgment of the European Court of Justice (ECJ, judgment of 16 July 2020, Ref. C-311/18, various reactions from supervisory authorities have been published in Germany. There is unanimity on the point that data transfers to the USA can no longer be based on the EU-US Privacy Shield; violations in this regard may in future result in fines and claims for damages. Controllers are urged to take, if necessary, additional measures to ensure an adequate level of data protection in international data transfers. In the opinion of the Conference of the independent data protection authorities of the Federal and State Governments of Germany, the evaluations from the decision apply not only to the standard contractual clauses, but also to other guarantees under Art. 46 GDPR, e.g. to binding corporate rules. The Data protection officer for Berlin has set particularly high standards and called on companies to switch to service providers based in the EU. The data protection officer of Baden-Württemberg published an orientation guide. His approach will be based in particular on whether the controllers have access to reasonable alternative providers without transfer problems. The German Association for Data Protection and Data Security e.V. also issued recommendations for action.
For the use of standard contractual clauses, it is advisable to request a supplementary explanation from the data importer. This must go beyond the mere promise of compliance with the standard contractual clauses and show how compliance can be effectively ensured. This can be done, for example, by employing technical and organizational measures, in particular encryption, anonymization and pseudonymization. For, if the data importer in the third country does not actually have access to the personal data, there is in principle no risk that third country authorities will be able to access them. This recommendation aligns with the view of the data protection officer of Baden-Württemberg.. He also advises supplementing the standard contractual clauses, e.g. with regard to the information requirements for legally binding requests for data transfer. In addition, an obligation of the data importer to take legal action against a request for data transfer and to disclose data only in the event of a legally binding ruling could also be stipulated. In addition, a limitation of liability towards the non-European or an intermediary European service provider could be considered, which, however, would not lead to an exemption from external liability and action by the supervisory authorities.
The German supervisory authorities will base their future supervisory practice on the Schrems II ruling and recommend that controllers review their international data transfers and, if necessary, implement additional measures, which may include encryption and anonymization as well as contractual safeguards.