Le projet de recommandations 01/2020 du Comité européen de la protection des données sur « les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE » fournit de nouvelles orientations utiles sur les mesures nécessaires pour se conformer à l’arrêt rendu par la CJUE dans l’affaire dite « Schrems II ».

Cependant, dans la pratique, la mise en œuvre de ces recommandations sera très difficile pour les organisations. Certaines mesures techniques et contractuelles mentionnées par le CEPD ne semblent en effet ni efficaces, ni très réalistes pour l’accès des autorités publiques aux données et pour le transfert des données dans le cadre des activités ordinaires des organisations.

Aux fins du respect du RGPD, le CEPD et les instances européennes de régulation appellent les organisations à adopter une « approche fondée sur le risque ». Or, il semble que pour les transferts de données internationaux, le CEPD s’écarte de cette ligne et suive une approche plus restrictive, notamment contraire aux clauses contractuelles types révisées et à « l’approche modulaire » de la Commission européenne.

L’orientation actuelle est complexe et exigera une attention et des efforts considérables pour assurer la conformité des transferts. L’UER demande donc instamment au CEPD d’adopter une approche plus souple et fondée sur le risque, et de définir pour les entreprises des mesures techniques réalistes et proportionnées.