Le Comité européen de la protection des données (« EDPB ») a publié des lignes directrices sur l’application de l’article 37 de la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénal (19 juin)
L’EDPB indique les garanties nécessaires au transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, conformément à l’article 37, et sur les critères pertinents pour l’évaluation de l’existence de ces garanties. Il conclut entre autres, que l’article 37 exige un niveau de protection des données équivalent à l’Etat émetteur, dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est limitée au transfert spécifique de données ou à la catégorie de transferts en question. Par ailleurs, le Comité, considère que l’utilisation d’un instrument juridiquement contraignant réglementant les transferts de données à caractère personnel entre les parties devrait, en l’absence d’une décision, prévaloir en principe sur une évaluation du transfert par le responsable du traitement. (CZ)