Le Contrôleur européen de la protection des données (« CEPD ») a présenté la méthode de contrôle envisagée afin que les institutions et organes européens se conforment à l’arrêt dit « Schrems II » de la Cour de justice de l’Union européenne (aff. C-311/18) (29 octobre)
A court terme, le CEPD demande en priorité aux institutions européennes de cartographier les transferts réalisés en vertu de contrats en cours liant une institution responsable de traitement à un sous-traitant, et entre un sous-traitant et ses propres sous-traitants. Cette cartographie permettra d’identifier les transferts sans base légale, à risque élevé, ou fondés sur des dérogations qu’il conviendra de déclarer au CEPD. En outre, ce dernier recommande aux institutions de ne pas conclure de nouveaux contrats prévoyant des transferts vers les Etats-Unis d’Amérique. A moyen terme, le CEPD souhaite que les institutions évaluent l’impact de chaque transfert, particulièrement vers les Etats-Unis d’Amérique, et l’existence ou non d’une protection équivalente dans l’Etat tiers afin de se mettre en conformité avec le droit de l’Union européenne tel qu’interprété par la Cour. (MAB)
