{"id":13312,"date":"2023-09-05T17:39:50","date_gmt":"2023-09-05T15:39:50","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=13312"},"modified":"2023-09-29T15:49:57","modified_gmt":"2023-09-29T13:49:57","slug":"que-doit-faire-un-dpd-avec-le-data-privacy-framework","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/que-doit-faire-un-dpd-avec-le-data-privacy-framework\/","title":{"rendered":"Que doit faire un DPD avec le Data Privacy Framework?"},"content":{"rendered":"

Que doit faire un DPD avec le Data Privacy Framework ? M\u00eame si cet article porte aussi sur le DPF (Data Privacy Framework), l\u2019objectif n\u2019est pas d\u2019\u00e9crire un \u00e9ni\u00e8me article dont les trois premi\u00e8res sections sont identiques \u00e0 toutes les autres. Si vous lisez le pr\u00e9sent article, nous supposons que vous \u00eates d\u00e9j\u00e0 familier de Schrems II et du Privacy Shield et que vous \u00eates au courant de l\u2019existence d\u2019un nouveau cadre pour les transferts vers les Etats-Unis, \u00e0 savoir le DPF. Ce n\u2019est pas le cas ? Vous trouverez ici<\/a><\/u> et ici<\/a><\/u> deux descriptions claires et compl\u00e8tes r\u00e9dig\u00e9es par des cabinets d\u2019avocats r\u00e9put\u00e9s, et ici<\/a><\/u> une note d\u2019information de l\u2019EDPB lui-m\u00eame.<\/p>\n

Nous aimerions n\u00e9anmoins aussi nous pencher sur le sujet. \u00a0Malgr\u00e9 tous les articles qui ont d\u00e9j\u00e0 \u00e9t\u00e9 publi\u00e9s \u00e0 propos du DPF, nous sommes un peu rest\u00e9s sur notre faim\u00a0: il n\u2019est indiqu\u00e9 nulle part concr\u00e8tement ce qu\u2019il faut faire en tant que DPD. C\u2019est sur ce point que nous voulons mettre l\u2019accent dans cet article. Vous trouverez ci-dessous les actions que nous vous recommandons d\u2019entreprendre en tant que DPD.<\/p>\n

Contr\u00f4le des sous-traitants<\/strong><\/p>\n

Les entreprises qui \u00e9taient d\u00e9j\u00e0 \u2018certifi\u00e9es Privacy Shield\u2019 ne doivent rien faire\u00a0: depuis le 17 juillet, elles sont automatiquement notifi\u00e9es comme \u00e9tant certifi\u00e9es au titre du DPF. Ceci est logique dans la mesure o\u00f9 les probl\u00e8mes soulev\u00e9s par Schrems II ne se situaient pas au niveau des organisations qui traitent les donn\u00e9es, mais au niveau du gouvernement am\u00e9ricain. Dans un premier temps, il importe donc de v\u00e9rifier si une organisation \/ un sous-traitant est effectivement enregistr\u00e9. Pour ce faire, nous vous renvoyons sur le site du gouvernement am\u00e9ricain LINK<\/a><\/p>\n

R\u00e9vision des accords existants et des TIA<\/strong><\/p>\n

Ces deux derni\u00e8res ann\u00e9es, nous avons d\u00fb, en tant que DPD, effectuer des analyses de l\u2019impact du transfert (Transfer Impact Assessment ou TIA). Le Privacy Shield n\u2019existant plus, pratiquement tous les sous-traitants concern\u00e9s ont donc commenc\u00e9 \u00e0 utiliser des clauses contractuelles types (CCT) et \u00e0 effectuer un Transfer Impact Assessment. Soyons honn\u00eates\u00a0: tous les TIA qui devaient \u00eatre faits n\u2019ont pas \u00e9t\u00e9 r\u00e9alis\u00e9s, et certains mod\u00e8les utilis\u00e9s n\u2019avaient qu\u2019un seul but\u00a0: justifier pourquoi le transfert pouvait avoir lieu.<\/p>\n

Une actualisation des TIA s\u2019av\u00e8re n\u00e9cessaire aujourd\u2019hui, une mise \u00e0 jour qui les rendra d\u2019ailleurs nettement plus simples. Classiquement, les TIA suivent les six \u00e9tapes bien connues, \u00e9tablies par les lignes directrices de l\u2019EDPB. D\u00e9sormais, l\u2019on peut s\u2019arr\u00eater \u00e0 l\u2019\u00e9tape 3, \u00e0 savoir la d\u00e9termination de l\u2019ad\u00e9quation de l\u2019instrument de transfert. Gr\u00e2ce au DPF, les CCT incluent maintenant des mesures suffisantes pour assurer une protection ad\u00e9quate des donn\u00e9es.<\/p>\n

Attention\u00a0: ceci ne s\u2019applique \u00e9videmment qu\u2019aux transferts vers les \u00c9tats-Unis\u00a0! Pour les autres pays tiers ne b\u00e9n\u00e9ficiant pas d\u2019une d\u00e9cision d\u2019ad\u00e9quation, le TIA reste tel quel.<\/p>\n

Demandez \u00e9galement \u00e0 vos sous-traitants quel m\u00e9canisme ils utiliseront et, le cas \u00e9ch\u00e9ant, s\u2019ils ont \u00e9galement pos\u00e9 la m\u00eame question \u00e0 leurs sous-traitants ult\u00e9rieurs. Il n\u2019y a aucune obligation de passer au DPF et, comme indiqu\u00e9 dans l\u2019action \u00e0 entreprendre suivante, il y a m\u00eame une excellente raison de continuer \u00e0 se fier aux CCT et au TIA\u00a0: qui sait dans combien de temps Schrems III fera son apparition\u00a0?<\/p>\n

Nouveaux accords avec les sous-traitants<\/strong><\/p>\n

Pour les nouveaux accords avec des sous-traitants aux \u00c9tats-Unis, deux options s\u2019offrent \u00e0 vous. Les deux options conduisent \u00e0 des transferts l\u00e9gitimes\u00a0:<\/p>\n

Continuer \u00e0 utiliser les CCT et le TIA y aff\u00e9rent. Ce TIA est toutefois plus facile \u00e0 documenter aujourd\u2019hui. (Conseil\u00a0: avec le DPF, la situation est d\u00e9sormais la m\u00eame pour tous les sous-traitants am\u00e9ricains. Vous pouvez donc cr\u00e9er un TIA g\u00e9n\u00e9rique pour tous les transferts vers les \u00c9tats-Unis).<\/p>\n

S\u2019en tenir au DPF si le sous-traitant fait partie de la liste. Pas de CCT, pas de TIA.<\/p>\n

Attention\u00a0! L\u2019option 2 appelle quelques commentaires\u00a0: vous devez toujours disposer d\u2019un accord de sous-traitance ou d\u2019un DPA (Data Processing Agreement), et NOYB et Schrems sont en train d\u2019aiguiser leurs couteaux pour Schrems III. Il n\u2019est certainement pas inconcevable que Schrems III fasse son apparition d\u2019ici un an et demi. Si tel est le cas, il sera beaucoup plus facile de tout r\u00e9gler \u00e0 partir de l\u2019option 1 que de s\u2019en remettre enti\u00e8rement au DPF.<\/p>\n

Mise \u00e0 jour des d\u00e9clarations de confidentialit\u00e9<\/strong><\/p>\n

Vous avez d\u00e9j\u00e0 d\u00fb faire r\u00e9f\u00e9rence \u00e0 plusieurs endroits \u00e0 l\u2019utilisation de l\u2019instrument ad\u00e9quat pour transf\u00e9rer des donn\u00e9es, soit plus particuli\u00e8rement les CCT. Il faut maintenant y ajouter le DPF. Nous ne nous attendons pas vraiment \u00e0 ce qu\u2019une s\u00e9rie de personnes concern\u00e9es se mettent \u00e0 scruter votre d\u00e9claration de confidentialit\u00e9 pour y trouver la r\u00e9f\u00e9rence appropri\u00e9e, mais il faut bien s\u00fbr que cela soit en ordre.<\/p>\n

Suivi<\/strong><\/p>\n

Ind\u00e9pendamment d\u2019un \u00e9ventuel Schrems III, la Commission europ\u00e9enne et l\u2019EDPB proc\u00e9deront \u00e9galement \u00e0 une \u00e9valuation et une r\u00e9vision du DPF d\u2019ici un an, c\u2019est-\u00e0-dire vers le 10 juillet 2024. \u00c0 surveiller donc, mais vous pouvez aussi compter sur DPI pour vous en informer en temps utile\u00a0!<\/p>\n

 <\/p>\n

* * *<\/p>\n

Rester inform\u00e9(e) ?<\/span><\/span> Abonnez-vous \u00e0 notre newsletter!<\/span><\/span><\/h5>\n
\n
\n
\n
\nNewsletter<\/legend>\r\n\r\n
\n\n\n\n\n\n\t\t\n\t\t\t\t\n\t\t\t\t\n\t\t
\r\n \r\n