Suite à l’annulation du Privacy Shield, le Contrôleur européen de la protection des données (CEPD) encourage les institutions de l’UE à cesser les traitements de données personnelles impliquant des transferts vers les États-Unis.
En juillet, la Cour de justice de l’UE (CUJE) invalidait le mécanisme de transfert de données vers les États-Unis, le Privacy Shield. Les entreprises ont désormais interdiction de transférer des données par son entremise.
Toutefois, les autorités européennes sont, elles aussi, concernées. Or, elles ignorent parfois encore que des transferts de données personnelles vers des pays tiers s’exécutent. Un site Covid du Parlement européen est notamment à l’origine d’une mise en garde du CEPD.
Un site du Parlement transférait des données personnelles
« Lorsque je me suis inscrit à mon test COVID-19 pour rentrer de Bruxelles en Allemagne, j’ai été surpris de constater que toutes les données personnelles que j’avais saisies dans le formulaire étaient transférées aux États-Unis » explique une parlementaire à EURACTIV.
Le Contrôleur européen de la protection des données met donc en garde les institutions de l’UE. Celles-ci doivent mettre fin aux traitements impliquant de tels transferts de données.
« En ce qui concerne les nouveaux traitements ou les nouveaux contrats avec des fournisseurs de services, le CEPD encourage vivement les institutions de l’Union européenne à éviter les activités de traitement qui impliquent des transferts de données personnelles vers les États-Unis » prévient-il.
Les institutions doivent par ailleurs passer en revue leurs traitements existants. Cet exercice de cartographie doit ainsi permettre d’identifier précisément les contrats et accords impliquant des transferts de données.
Les organes européens doivent désormais informer le régulateur de l’existence de ces transferts. « Il s’agit de transferts sans base légale, de transferts basés sur des dérogations et de transferts à des entités privées vers les États-Unis présentant des risques élevés pour les personnes concernées » insiste le CEPD.
A lire également sur MyData
Invalidation du Privacy Shield : quid des transferts de données
Le couperet est tombé le 16 juillet. La Cour de justice de l’UE invalide le mécanisme de transfert de données vers les Etats-Unis, le Privacy Shield. Les transferts sont-ils dès lors à proscrire ? Les autorités de protection planchent. Restent par ailleurs les Clauses Contractuelles Types, sous conditions cependant.
