Me Stéphanie SIOËN-GALLINA est intervenue au Salon à Paris, le 1er juillet dernier pour parler du transfert de données personnelles vers les USA.
Depuis l'arrêt Schrems II rendue par la CJUE le 16 juin 2020 (C-311/18), le Privacy Shields est invalidé. dès lors, les transferts de données personnelles vers les USA n'étaient plus possibles sauf à mettre en place des garanties supplémentaires prévues par l'article 46 du RGPD (clauses contractuelles types dont la dernière version date du 4 juin 2021, des règles contraignantes d'entreprise, des codes de bonne conduite etc...).
Encore faut-il que ces garanties supplémentaires assurent un niveau de protection substantiellement équivalent au niveau de protection prévu par le droit de l’Union Européenne !
Or, par la mise en demeure anonymisée mise en ligne par la CNIL le 16 février 2022, dans le cadre de l’utilisation de Google Analytics, la CNIL a considéré que Google Analytics n’était pas conforme au RGPD.
Il ressort de cette mise en demeure et des explications de la CNIL que :
Pour rappel, la pseudonymisation consiste souvent à attribuer un identifiant à une personne ayant pour conséquence de ne plus pouvoir lui attribuer les données personnelles le concernant sans information supplémentaire.
Bien qu’il y ait par défaut dans le contrat concernant Google Analytics, les clauses contractuelles types standard, les autorités américaines peuvent avoir accès aux données personnelles des européens, sans limitation de pouvoir et surtout sans que les européens puissent exercer un recours efficace.
Dès lors, malgré l’existence de mesures supplémentaires, le niveau de protection n’est pas substantiellement équivalent à celui prévu par le droit de l’Union Européenne.
Toujours dans le cadre de son intervention, Me SIOËN-GALLINA a évoqué les solutions alternatives proposées par la CNIL (autres outils) ainsi que la proxyfication et les conditions de mise en œuvre de cette proxyfication pour que cela soit conforme au RGPD.
07.07.2022