CNIL – Société X – MED-2022-005

Par /

CNIL – Société X – MED-2022-005

Décision

🏷️ Nom:
Société X
🔢 Numéro:
MED-2022-005
📅 Date:
3 février 2022
⚖️ Autorité:
CNIL ou équivalent
🌍 Pays:
France
🔗 Lien:
Décision non publiée

Contexte

Information non disponible.
Source: CNIL, Tables Informatique et Libertés v1.10


Apport(s)

Transfert vers les États-Unis - 1) Évaluation du niveau de protection après Schrems II et avant l’adoption du Data Privacy Framework en vue d'utiliser les CCT - 2) Efficacité des « mesures additionnelles » de protection - Notification aux utilisateurs, rapports de transparence ou de politique de gestion des demandes d’accès gouvernementales - Insuffisance - 3) Chiffrement - Obligation pour l'importateur d’accorder l’accès ou de fournir les données importées
  • Extrait(s) pertinent(s)1) Pour les transferts de données à caractère personnel vers les États-Unis encadrés par des garanties appropriées telles que les clauses contractuelles types, il n’est pas nécessaire d’analyser plus en détails le cadre légal applicable aux États-Unis dans la mesure où la Cour a déjà procédé à une telle analyse dans son arrêt du 16 juillet 2020 (C-311/18). En effet, la Cour a constaté, d’une part, que les programmes de surveillance en cause ne correspondaient pas aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’était pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire. D’autre part, la Cour a constaté que le cadre juridique en cause ne conférait pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, si bien que ces personnes ne disposaient pas d’un droit au recours effectif.

    2) En ce qui concerne les « mesures juridiques et organisationnelles » adoptées par un responsable du traitement en complément de clauses contractuelles types pour le transfert de données vers les États-Unis, ni la notification des utilisateurs, ni la publication d’un rapport de transparence ou d’une politique de gestion des demandes d’accès gouvernementales ne permet concrètement d’empêcher ou de réduire l’accès des services de renseignement américains.

    3) En ce qui concerne les techniques de chiffrement, telles que celles pour les données entreposées dans des centres de données transférées vers les États-Unis, un importateur établi aux États-Unis a dans tous les cas l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. Tant qu’un importateur établi aux États-Unis a la possibilité d’accéder aux données des personnes physiques en texte clair, de telles mesures techniques ne peuvent être considérées comme efficaces en l’espèce.
  • Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation
  • Thème(s)A classer
  • Fait référence à
  • Autres informations
Consentement au dépôt de cookies - Consentement explicite au transfert de données vers un pays tiers - Absence d’équivalence
  • Extrait(s) pertinent(s)Le consentement par la personne concernée au dépôt de traceurs lors de sa visite sur un site internet ne saurait être considéré comme équivalent au « consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées » au sens de l’article 49.1.a du RGPD.
  • Article(s) du RGPD Article 49 – Dérogations pour des situations particulières
  • Thème(s)A classer
  • Fait référence à
  • Autres informations
Responsable de traitement - Gestionnaire d'un site mettant en œuvre de traitements à des fins de mesure d’audience en ligne - Admission
  • Extrait(s) pertinent(s)Une société gestionnaire du site web qui, d’une part, décide de mettre en œuvre une fonctionnalité d’un prestataire de service, laquelle conduit à traiter des données à caractère personnel, à des fins de mesure d’audience, de performance des campagnes médias de la société, d’évaluation et d’optimisation du site web (détermination de la finalité), et qui, d’autre part, a déterminé les moyens de la collecte et du traitement des données collectées dans le cadre de l’intégration de cette fonctionnalité sur son site web (détermination des moyens), est responsable de traitement au sens de l’article 4.7 du RGPD.
  • Article(s) du RGPD Article 4 – Définitions
  • Thème(s)Responsable de traitement
  • Fait référence à
  • Autres informations


Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion
Retour en haut