Le comité européen de la protection des données (EDPB) a publié hier ses recommandations finales établissant des orientations pour effectuer des transferts de données à caractère personnel vers des pays tiers afin de se conformer aux règles de l’UE en matière de protection des données à la lumière de la décision historique de la CJUE de l’été dernier (alias Schrems II).

Le long et le court de ces recommandations — qui sont assez longues ; s’étendant sur 48 pages — est que certains transferts de données vers des pays tiers ne seront tout simplement pas possibles (légalement). Malgré l’existence continue de mécanismes juridiques qui peuvent, en théorie, être utilisés pour effectuer de tels transferts (comme les clauses contractuelles types ; un outil de transfert qui a été récemment mis à jour par la Commission).

Cependant, il appartient au responsable du traitement d’évaluer la viabilité de chaque transfert, au cas par cas, afin de déterminer si les données peuvent légalement circuler dans ce cas particulier. (Ce qui peut signifier, par exemple, qu’une entreprise procède à des évaluations complexes des régimes de surveillance des gouvernements étrangers et de la manière dont ils empiètent sur ses opérations spécifiques.)

Les entreprises qui prennent régulièrement les données des utilisateurs de l’UE en dehors du bloc pour les traiter dans des pays tiers (comme les États-Unis), qui n’ont pas d’accords d’adéquation des données avec l’UE, sont confrontées à des coûts et à des défis importants pour atteindre la conformité – dans le meilleur des cas.

Ceux qui ne peuvent pas appliquer de « mesures spéciales » viables pour garantir la sécurité des données transférées sont tenus de suspendre les flux de données – avec le risque, s’ils ne le font pas, d’être ordonnés par une autorité de protection des données (qui pourrait également s’appliquer sanctions supplémentaires).

Une option alternative pourrait être pour une telle entreprise de stocker et de traiter les données des utilisateurs de l’UE localement – au sein de l’UE. Mais il est clair que cela ne sera pas viable pour toutes les entreprises.

Les cabinets d’avocats seront probablement très satisfaits de ce résultat, car la demande de conseils juridiques augmentera à mesure que les entreprises s’efforceront de structurer leurs flux de données et de s’adapter à un monde post-Schrems II.

Dans certaines juridictions de l’UE (comme l’Allemagne), les agences de protection des données sont…