Cependant, la Cour n’avait pas spécifié quelles étaient ces « mesures additionnelles », laissant les importateurs et exportateurs de données dans la situation inconfortable de déterminer quelles étaient ces mesures additionnelles (si nécessaires) sans savoir pour autant si ce qui était mis en place était suffisant.
Afin de lever ces incertitudes, le Bureau européen de protection des données (EDPB) a publié deux recommandations[1] [2] destinées à permettre aux exportateurs et importateurs d’évaluer la situation et de mettre en place les mesures les plus adéquates selon le transfert qu’ils souhaitent réaliser.
Ces deux recommandations sont consultables via le lien suivant : https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en
Ensuite, la Commission travaille actuellement sur un nouveau « set » de clauses contractuelles types. Une version modernisée devrait être adoptée d’ici la fin de l’année ou début de l’année prochaine (elles ne sont donc pas encore applicables). Cette nouvelle version des clauses sera applicable à tout transfert et couvre cette fois-ci toutes les situations. Alors auparavant les modèles n’abordaient que les situations « Controller (EEE) to Controller (non-EEE) » et « Controller (EEE) to Processor (non-EEE) », le nouveau modèle de clauses aborde les 4 situations possibles :
Controller to Controller
Controller to Processor
Processor to Processor
Processor to Controller
Une fois la décision de la Commission entrée en force, les transferts de données pourront se faire sur base du nouveau modèle de clauses. Concernant les « anciens modèles » (c’est-à-dire ceux actuellement utilisés), ceux-ci pourront encore être utilisés pendant encore un an après l’adoption de la décision pour fonder un transfert.
Guillaume Pomes Bordedebat
1Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
2 Recommendations 02/2020 on the European Essential Guarantees for surveillance measures