Les chefs d’autorités européennes influentes en matière de données ont apporté un éclairage sur leur approche de la gestion des conséquences de la décision Schrems II.
Le 21 octobre, le chef du Conseil européen de la protection des données (CEPD), Andrea Jelinek, et le Contrôleur européen de la protection des données (CEPD), Wojciech Wiewiórowski, ont exposé leur point de vue sur la manière dont les entreprises peuvent transférer des données conformément à l’arrêt Schrems II.
La pseudonymisation est-elle une garantie supplémentaire ?
Andrea Jelinek a été demandé si la pseudonymisation peut être considérée comme une « garantie supplémentaire », ce que la Cour européenne de justice (CEJ) considère comme des mesures qui permettent des transferts de données sûrs en utilisant le mécanisme de la clause contractuelle standard (SCC).
Jelinek a répondu que cela est toujours à l’étude et que la pseudonymisation pourrait potentiellement fonctionner en « paquet » avec d’autres mesures supplémentaires telles que le cryptage. Jelinek a également déclaré qu’un guide sur les questions de pseudonymisation et de garanties en général, est un « travail en cours », tel qu’il est actuellement examiné par le sous-groupe d’experts d’EDPB.
L’obligation d’évaluer le pays d’importation pourrait-elle s’avérer être un obstacle important pour les entreprises ?
Il a été demandé à M. Wiewiórowski si le résultat de la décision laisserait aux entreprises une grande tâche à accomplir, notamment en ce qui concerne l’évaluation des cadres de protection et de surveillance des données du pays dans lequel les données sont importées. Il a répondu que « ce n’est pas nouveau » et que de telles exigences existaient avant la décision de la CJCE. Il s’agit d’exigences selon lesquelles chaque responsable du traitement a le devoir d’évaluer ce qui se passera avec les données, lors de leur transfert vers un pays tiers.
Il a soutenu ce point en tirant des similitudes avec le domaine des produits pharmaceutiques, en déclarant qu’une telle évaluation se produit lors de l’importation de tout ingrédient médical d’un autre pays.
Wiewiórowskia reconnu qu’il peut être difficile de résister aux demandes de données faites par le gouvernement et les forces de l’ordre, mais il a déclaré que les entreprises devraient enregistrer la manière dont ces demandes sont traitées. Cela permettrait aux exportateurs de données d’évaluer plus précisément s’ils peuvent transférer des données à l’entreprise en toute sécurité.
Comment la décision Shcrems II sera-t-elle appliquée ?
Jeliner et Wiewiórowski ont également abordé la question de l’application de la décision par les autorités de protection des données. En particulier, Jelinek a fait référence au groupe de travail qui a été créé lorsque l’ONG Noyb a déposé 101 plaintes. Wiewiórowski a déclaré que son bureau travaille actuellement à une évaluation des pratiques de transfert de données de toutes les institutions européennes et que cela prendra probablement encore plusieurs mois.