[Mise à jour 16/09/2020]

La Haute Cour d’Irlande a ce Lundi 15 Septembre temporairement gelée l’enquête de la CNIL irlandaise, autorisant Facebook à procéder à un contrôle judiciaire de la décision préliminaire de l’autorité de régulation.

L’homologue irlandaise de la CNIL ordonne à Facebook de stopper les transferts de données vers les USA

Les premières conséquences sur l’invalidation de l’accord de transfert transatlantique du Privacy Shield rendue par une décision de la CJUE du 16 juillet 2020 ne se sont pas fait attendre. En effet, comme le rapporte, le Wall Street Journal dans un article publié le 9 septembre, la CNIL irlandaise, Data Protection Commission, a rendu une ordonnance préliminaire contre Facebook fin août.

L’objet : L’autorité irlandaise interdit à Facebook de se prévaloir des clauses contractuelles types afin d’envoyer des données outre-Atlantique. Ainsi, il n’est plus possible pour le géant américain d’envoyer les données des utilisateurs européens vers les serveurs situés aux États-Unis.

Pourquoi : Alors que ces clauses contractuelles types n’ont pas été invalidées par les juges européens, il revenait à chaque autorité nationale d’en apprécier le recours. L’arrêt Schrems II a invalidé le Bouclier de protection des données pour défaut de garanties juridiques offertes par les États-Unis concernant leurs programmes de surveillance (retrouvez notre article ici). L’utilisation des clauses contractuelles types pour transférer les données européennes outre-Atlantique est subordonnée au respect par la législation étasunienne d’un niveau de protection adéquat au droit européen. Or, ce niveau de protection n’étant pas atteint du côté américain, l’usage par Facebook des clauses contractuelles pour le transfert de données transatlantique n’est pas possible.

Conséquences : Facebook doit choisir entre :

- Cesser tout transfert vers les États-Unis en utilisant des serveurs hébergés dans un pays adéquat pour traiter les données des utilisateurs européens ;

- Arrêter tout traitement des données et donc fermer ses services aux utilisateurs européens.

Résistance du Géant américain

Du côté de Facebook, la réaction ne s’est pas fait attendre, car ce dernier a fait appel devant la Haute Cour irlandaise afin de contester l’ordonnance. En effet, alors que l’entreprise dit avoir travaillé durement afin de se conformer à la décision de la CJUE, selon le porte-parole de la société, Nick Clegg déclare que « L'absence d'un mécanisme de transfert de données international, sûr, sécurisé et légal aurait des conséquences néfastes pour l’économie européenne ». La position du 1er réseau social est claire, tant qu’aucune précision n’aura été apportée, elle continuera de transférer les données du Vieux Continent vers ses serveurs américains conformément à la décision des juges européens.

Le refus du géant américain envers la demande du gendarme irlandais est risqué car l’entreprise s’expose à une amende pouvant aller jusqu’à 20 millions d’euros ou bien 4% de son chiffre d’affaires mondial (Article 83 du RGPD). Pour rappel, selon son rapport annuel 2019, Facebook totalise un chiffre d’affaires confortable de 18,5 milliards de dollars [article source https://www.nextinpact.com/lebrief/41302/11058-facebook---pres-de-70-milliards-de-dollars-de-chiffre-d-affaires--2-89-milliards-d-utilisateurs-par-mois] .  

La CNIL irlandaise mettra-t-elle ses menaces à exécution ?

Dans ce cas, face au montant encouru de l’amende, est-ce que Mark Zuckerberg se pliera aux exigences de la Commission ou bien préférera-t-il payer l’amende et tenter le bras de fer ?

Les conséquences de l’invalidation du Privacy Shield

Cette affaire illustre parfaitement l’incertitude juridique de la décision rendue par la CJUE en invalidant le Privacy Shield. Pour Facebook, une décision claire doit être prise, « les entreprises ont besoin de règles claires et précises, étayées par un solide État de droit, pour protéger à long terme les flux de données transatlantiques » [article source https://www.lesnumeriques.com/vie-du-net/privacy-shield-facebook-somme-de-garder-les-donnees-des-utilisateurs-europeens-loin-des-etats-unis-n154327.html].

C’est pourquoi une initiative a déjà été prise par certains acteurs du cloud (Google, IBM, Cisco,..) dans le but de créer des standards internationaux afin d’encadrer le transfert des données personnelles hors UE.

Il est certain que l’arrêt du 16 Juillet 2020 a remis totalement en cause le fonctionnement des GAFAM et plus largement de tous les services en ligne qui constituent notre écosystème numérique, et cela « pourrait avoir un effet très significatif sur les entreprises qui en dépendent et sur les services en ligne dont dépendent de nombreuses personnes et entreprises », selon Nick Glenn.

Alors que certains pointent la décision et les lourdes conséquences que cela pourrait avoir sur l’économie européenne, d’autres plaident pour une souveraineté européenne et voient une opportunité pour le développement des entreprises de la tech européennes ainsi qu’une réforme du droit américain.

La révision du Privacy Shield ainsi que l’enquête de la CNIL irlandaise devraient nous apporter plus de réponse sur l’avenir du transfert des données personnelles.

Invalidation du Privacy Shield par la CJUE : quelles conséquences pour les entreprises transférant des données vers les Etats-Unis ?

RAPPEL JURIDIQUE

Tout d’abord, il est de bon ton de rappeler quelques règles juridiques de base.

L’accord Privacy Shield était un mécanisme d’auto-certification permettant aux entreprises américaines de traiter des données personnelles de citoyens européens. Il avait pour fondement juridique une décision d’adéquation de la Commission Européenne (Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016).

La Commission Européenne avait donc considéré que ce mécanisme offrait des garanties équivalentes à celles mises en œuvre par le droit de l’Union en matière de protection des données personnelles.

Néanmoins, la Cour de Justice de l’Union Européenne (CJUE) est habilitée à se prononcer sur la validité d’un acte de l’Union sur renvoi préjudiciel.

Dans le cas d’espèce, la CJUE indique aux autorités nationales que le mécanisme du Privacy Shield n’est pas valide au regard du droit de l’Union mais que les clauses contractuelles types encadrant les transferts de données vers des états tiers sont valides sous réserve de mécanismes effectifs de protection.

QUE DIT LE COMITÉ EUROPÉEN DE PROTECTION DES DONNÉES ?

Le CEPD interdit désormais tout transfert de données personnelles vers les Etats-Unis fondé sur le Privacy Shield, et ce de manière immédiate [1].

QUE DISENT LA COMMISSION EUROPÉENNE ET LE SECRÉTAIRE DU DÉPARTEMENT DU COMMERCE AMÉRICAIN ?

Dans un communiqué paru le 10 août 2020 sur le site de la Commission européenne, il est simplement indiqué que la Commission et le département du commerce américain allaient entamer des discussions afin d’améliorer le Privacy Shield afin de se conformer à la décision de la CJUE [2].

QUE FAIRE ?

Par suite de l’invalidation du Privacy Shield par la CJUE, plus de 5300 entreprises certifiées Privacy Shield doivent désormais trouver un nouveau mécanisme garantissant la protection des données personnelles en matière de transfert UE-Etats-Unis [3].

Il reste alors à évaluer les mécanismes les plus pertinents au cas par cas :

·       Les clauses contractuelles types de la Commission européenne (dans le respect des réserves émises par la CJUE)

·       Les règles d’entreprise contraignantes (article 47 du RGPD)

·       Les codes de conduite (article 46 du RGPD)

·       Les exceptions de l’article 49 du RGPD tels que le traitement fondé sur le consentement de la personne concernée ou sur l’exécution d’un contrat [4]

Chaque entreprise réalisant des transferts de données personnelles devra procéder en plusieurs étapes :

1.       Cartographier ses transferts et ses contrats

2.       Auditer ses cocontractants pour vérifier la localisation des transferts de données, si possible interdire les transferts vers les Etats-Unis   

3.       Si transfert vers les Etats-Unis, modifier ses contrats pour obliger le prestataire américain à ne divulguer les données que sur décision de justice

4.       Auditer ses cocontractants en cours d’exécution du contrat pour vérifier qu’ils se conforment bien aux exigences du RGPD

5.       Informer les personnes concernées par le transfert vers les Etats-Unis et leur indiquer leurs droits

Si vous ne pouvez pas mettre en place les garanties appropriées et que vous souhaitez continuer à transférer vos données vers les Etats-Unis, vous êtes tenus de notifier votre autorité de contrôle [5].

Au regard de l’incertitude juridique régnant actuellement et dans l’attente de précisions de la part des autorités de protection de données, il est aujourd’hui souhaitable et fortement recommandable de :

• Exiger des garanties contractuelles supplémentaires du prestataire situé sur le territoire américain (qui soient plus protectrices que les CCT actuelles).

• Recourir à des prestataires dont les centres de données se situent sur le territoire de l’Espace Economique Européen.

• Recourir à des prestataires dont les centres de données se situent sur le territoire d’un pays présentant un niveau de protection adéquat.

• Transférer des données vers les Etats-Unis dans les cas limitativement énumérés par l’article 49 du RGPD si ces transferts ne sont pas répétitifs et ne concernent qu’un nombre limité de personnes.
  

[1] https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences

[2] https://ec.europa.eu/info/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-ross-7-august-2020-2020-aug-07_en

[3] https://www.commerce.gov/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and

[4] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[5] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

•  Rappel du contexte :

Ce jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a eu l’effet d’une bombe (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Irlande Ltd et Schrems). Bien qu’assez prévisible, la Cour invalide la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dit « accord Privacy Shield ». Adopté en 2016, à la suite de l’invalidation de l’accord du Safe Harbor par la CJUE, le Privacy Shield avait pour mission d’encadrer le transfert des données personnelles entre l’Europe et les États-Unis. Cependant dès ses débuts, ce « bouclier » fait l’objet d’attaques de la part du Parlement européen, de la CNIL et de diverses associations (La quadrature du Net, NYOB). Ces entités reprochaient l’accès des services de sécurité américaine (FBI, NSA …)  aux données européennes transférées, à la suite des révélations d’Edward Snowden de 2013. D’ailleurs, le G29 avait jugé trop faible les dispositions du texte encadrant les données personnelles transmises Outre Atlantique ainsi que trop complexes les modalités de recours à un médiateur américain.

• Les Faits :

[1]Cette affaire débute par l’arrêt Schrems I, dans lequel Maximilian Schrems, activiste autrichien et fervent défenseur de la protection de la vie privée, décide de porter plainte auprès de l’Autorité irlandaise de contrôle[2] pour contester les transferts[3] des données personnelles européennes opérés par Facebook vers les États-Unis. En tant qu’utilisateur Facebook, ses données à caractère personnel[4] étaient transférées par Facebook Irlande vers les centres de données de Facebook Inc établis aux États-Unis afin d’y être traitées. Cependant, ce dernier reprochait une protection trop faible de la part de la législation américaine, notamment du fait de l’ingérence des services de sécurité américaine dans les données européennes transmises.

Dans un premier temps, cette demande fut rejetée au motif que dans sa décision 2000/520 du 26 juillet 2000, la Commission européenne avait jugé que les États-Unis assuraient un niveau de protection adéquat[5].

Peu de temps après, à la suite d’une question préjudicielle posée par la Haute Cour d’Irlande, la CJUE affirma l’inverse et annula l’accord Safe Harbor[6]. De là, M. Schrems fut invité par l’Autorité de contrôle irlandaise à reformuler sa plainte[7], dans laquelle, il demanda d’interdire pour l’avenir la transmission des données personnelles européennes vers les États-Unis, surtout que Facebook Irlande effectuait désormais ce transfert sur le fondement des clauses types de protection de l’annexe de la décision 2010/87[8] .

Alors que l’Autorité de contrôle irlandaise initia une procédure devant la Haute Cour d’Irlande, afin que cette dernière pose une question préjudicielle à la CJUE. Au même moment, on apprenait l’adoption de l’accord Privacy Shield par une décision de la Commission européenne, en date du 12 juillet 2016 (UE 2016/1250).

• Problème :

La Haute Cour d’Irlande a alors fait un recours préjudiciel devant la CJUE afin que celle-ci se prononce sur : l’applicabilité du RGPD en matière de transfert de données fondé sur des clauses contractuelles types (1), le niveau de protection requis par le RGPD dans le cadre d’un tel transfert (2), ainsi que sur la validité de ces clauses et de l’accord Privacy Shield (3).

• Apports :

C’est par une décision très attendue, que la CJUE rend un arrêt le 16 juillet 2020, dans lequel elle invalide le bouclier de protection des données UE/États-Unis mais juge la décision relative aux clauses contractuelles types conformes à la Charte des droits fondamentaux de l’Union.

Pour rappel, le RGPD met en place des mécanismes qui encadrent le transfert des données personnelles vers des pays tiers. L’accord du Privacy Shield est un des principaux mécanismes permettant une adéquation. Cependant en l’absence de cet accord, il revient au responsable de traitement de s’assurer de cette adéquation en vertu de l’article 46 du RGPD

La CJUE répond aux deux (2) premières questions préjudicielles ; et :

-          Confirme que le droit de l’Union et a fortiori le RGPD s’applique aux transferts de données personnelles européennes vers les États-Unis, dans un but commercial et même si les données sont au cours du transfert susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités américaines.[9]

-          Affirme que dans le cadre du transfert des données personnelles fondé sur des clauses types de protection, le niveau de protection requis par le RGPD en matière de droit des personnes concernées (droits opposables et voies de droit effectives) doit être substantiellement équivalent au droit de l’Union[10]. Dans son considérant 108, le RGPD rappelle que des garanties doivent  « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».

La Cour rajoute que les autorités de contrôle doivent obligatoirement suspendre ou interdire un tel transfert vers un pays tiers lorsque les clauses types de protection des données ne sont pas respectées conformément au droit de l’Union dans l’État en question[11].

o    L’accord Privacy Shield = Une invalidité des transferts de données  

De façon assez prévisible, les juges européens décident d’invalider l’accord Privacy Shield au motif que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Il est clair que pour la Cour, la législation américaine ne limite pas au strict minimum l’accès de ses autorités aux données personnelles et ne répond donc pas au principe de proportionnalité, encadrant la protection des données. L’exigence d’équivalence prévue à l’article 45 du RGPD n’est donc pas respectée. En effet, il n’existe aucune limitation à la permission de certains programmes de surveillance à user des données transmises, ni de garanties fortes pour les citoyens non américains, éventuellement visés et encore moins pour ces derniers, de droits concrets à opposer aux autorités américaines devant le juge.

Enfin, la possibilité du recours à un médiateur américain, (comme indiqué dans la décision BPD) n’assurait pas selon la Cour, l’indépendance du médiateur à prendre des décisions contraignantes à l’encontre des services de renseignements américains.[12]

 Cet arrêt a donc un impact important sur toutes entreprises transférant des données vers les États-Unis qui vont devoir revoir leurs contrats. En effet, dans sa FAQ sur l’invalidation du Privacy Shield, la CNIL affirme qu’aucun délai de grâce n’est offert aux entreprises transférant des données aux États-Unis sur le cadre juridique du Privacy Shield car la loi américaine ne fournit pas un niveau de protection équivalent à celui de l’Union européenne.

o   La validation des clauses contractuelles types

La CJUE valide la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants situés dans des pays tiers[13]. Il s’agit d’un modèle de contrat type défini par la Commission européenne autorisant les entreprises à exporter les données personnelles de citoyens européens vers le reste du monde[14].

Une condition est néanmoins à respecter : L’usage de clauses contractuelles types est autorisé seulement si le niveau de protection imposé par le droit européen est assuré. La CNIL précise que cette évaluation, doit prendre en compte les circonstances des transferts et les mesures supplémentaires qu’il est possible de mettre en place.

Dans le cas contraire, le transfert de données devra soit être suspendu, soit interdit par le responsable de traitement. Un travail de renforcement des clauses relative à la protection des données personnelle devra être effectué, afin que les entreprises puissent transmettre des données à leur filiales ou maison mères situées sur le sol américain.

Attention, bien qu’en théorie, la CJUE donne la liberté à chaque entreprise de décider si les données personnelles transférées dans le pays destinataire sont conformément protégées ; en pratique sa mise en œuvre semble être beaucoup plus hasardeuse. En effet, alors que la Cour reproche à la législation américaine de ne pas respecter les droits du RGPD, elle ne tranche pas la question concernant le transfert de données sur le sol américain, laissant planer une insécurité juridique. Comme indiqué dans ses conclusions, la protection offerte par la législation américaine est insuffisante et les clauses types ne permettent pas un encadrement du transfert des données suffisantes. Cette question se posera pour tous les États disposant de lois relatives à la sécurité nationale qui permettent des ingérences dans les droits fondamentaux européens (Exemples : Australie, Chine).  

En effet comme le précise la CNIL dans sa FAQ, il sera possible de transférer des données vers des États tiers en se fondant sur les clauses types ou des règles d’entreprises contraignantes à condition qu’importateur et exportateur, vérifient que dans leur mise en œuvre, le niveau de protection demandé par le RGPD soit respecté dans le pays tiers.

Il est également possible de fonder un transfert de données vers un État tiers sur une nouvelle mesure d’adéquation. Il s’agit d’une mesure se fondant sur les lois nationales de l’État tiers pour déterminer qu’il assure un niveau de protection substantiellement équivalent à celui de l’Union en matière de droits et libertés fondamentales.

Néanmoins, ces mesures sont aujourd’hui en nombre restreint. En effet, il n’existe pour le moment de mesures d’adéquation que pour les pays suivants :  Andorre, Argentine, Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.

Il faudrait donc que la Commission européenne et les États-Unis renégocient un nouvel accord.

Ainsi, même si les clauses contractuelles types sont validées par le règlement[15] de nombreuses questions restent en suspens tel que leur articulation en pratique par le responsable de traitement, le destinataire des données et le sous-traitant qui s’engagent à mettre en place un traitement en conformité avec le règlement. Ainsi que la définition des notions d’exportateur et/ou de destinataire de données, qui relèvera des autorités européennes en accord avec les autorités américaines.

La CNIL a d’ores et déjà commencé à répondre à quelques interrogations à la suite de l’invalidation du Privacy Shield. Ainsi elle rappelle que l’article 28.3 du RGPD régit les relations entre le responsable de traitement et les sous-traitants, et que ce dernier ne peut effectuer des transferts vers un autre État que s’il dispose d’une autorisation contractuelle. L’autorité de contrôle précise aussi les cas de dérogation possible au transfert de données personnelles vers les États-Unis ainsi que les modalités entourant l’utilisation des clauses de contrat type ou des BCR.

Et demain : Une souveraineté nationale ?

Cette décision a provoqué de nombreuses réactions, tant du côté européen que du côté américain. Pour l’Autorité de contrôle irlandaise et pour Max Schrems, la réponse de la CJUE est synonyme de victoire pour le respect de la vie privée. La Commissaire européenne Věra Jourová, a d’ailleurs revendiqué son souhait que le gouvernement américain adopte une loi fédérale équivalente au RGPD pour assurer une protection forte contre l’ingérence des autorités de surveillance.

Cependant outre-Atlantique, le Secrétaire au Commerce, Wilbur Ross a fait part de sa déception quant à la décision de la Cour, et déclare que le Département du Commerce continuera à se fonder sur l’accord Privacy Shield, de même que les parties qui sont liées contractuellement à l’accord. La Computer & Communications Industry Association (organisation réunissant notamment Google, Samsung et Amazon) souligne quant à elle, l’inquiétude et le flou juridique d’une telle décision sur les grands groupes américains.

Même si l’arrêt ne concerne pas les données dites nécessaires telles que le contenu de courriel ou la réservation d’un voyage, la transmission de données est indispensable à la continuité de l’économie numérique. Il est donc urgent que les dirigeants politiques européens et américains trouvent ensemble, un accord conforme aux droits de l’Union. Le commissaire européen à la Justice, Didier Reynders a d’ailleurs déclaré travailler sur des outils afin que la protection des données personnelles soit assurée lors de leur transfert outre-Atlantique.

Par cette décision, le but n’est pas que l’Union européenne s’isole du reste du monde car cela aurait des conséquences négatives sur la compétitivité des entreprises européennes, et cela empêcherait la bonne collaboration internationale sur des sujets sensibles tels que la lutte contre le cybercrime, le terrorisme ou encore la crise sanitaire du Covid-19.

La décision de la CJUE est une sorte de rappel à l’ordre des autorités de contrôle jugées trop indulgentes dans la mise en œuvre du RGPD. La CNIL a d’ailleurs fait savoir qu’elle a pris connaissance de l’arrêt [16] et qu‘elle collabore avec les autres autorités européennes afin de mettre en œuvre des mécanismes permettant un transfert en adéquation avec la décision rendue.  

Cet arrêt encourage donc les entreprises à reconsidérer le traitement des données personnelles sur le sol européen, dans le but de se conformer au RGPD. Mais surtout, afin de s’affranchir de la domination états-unienne et peut-être affirmer une souveraineté numérique européenne.

Base juridique :

·        Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

o    Articles 3 ; 26 ; 28

·        Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit « RGPD »

o    Considérants 6 ; 10 ;101 ; 103 ; 107 à 109 ; 114 ; 116 ; 141

o    Articles 2 ; 4 ; 23 ; 45 ;46 ;49 ; 51 ; 57 ; 58 ; 64 ; 77 ; 78 ; 94

·        Décision CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems

o    Décision CPT :

Considérant 11

Articles 1 ; 3 ; 4 ; 5 ; 6 ; 8 ; 9 ; 12

o    Décision BPD :

Considérants 68 ; 69 ; 76 ; 77 ; 109 ; 112 à 116 ; 120 ; 136 ; 140

·        Décision  d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis

·        Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité »

·        Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[1] Point 50 de la décision

[2] Article 51 du RGPD

[3] Article 28 de à la directive 95/46/CE (aujourd’hui considérant 141 et article 77 du RGPD)

[4] Définition à l’article 4 du RGPD

[5] Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (article 3/25/26)

[6] Arrêt de la CJUE du 6 octobre 2015, « Schrems », C-362/14

[7] Article 78 RGPD

[8] Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[9] Point 89 de la décision

[10] Considérant 114 ; 116 du RGPD et point 105 de la décision

[11] Considérant 107 à 109 du RGPD et point 121 de la décision

[12] Point 196 de la décision

[13] Point 149 de la décision

[14] Article 46 §1 et §2 c) et d) du RGPD

[15] Considérant 81 ; 108 ; 109 ; 168 et article 28 ; 64 du RGPD

[16] Communiqué de la CNIL du 17 juillet 2020