L’autorité portugaise interdit des transferts de données vers les USA – Schrems II
L’autorité de contrôle de la protection des données portugaise, la CNDP (en France c’est la CNIL), vient de délibérer ce 27/04/2021 sur l’illégalité des transferts de données vers les USA par l’Institut National de la Statistique (Portugal) en émettant l’injonction de tous les arrêter sur la base de l’Arrêt « Schrems II » de la Cour de Justice de l’UE (CJUE). La délibération indique que l’usage de clauses contractuelles types n’exemptent pas la mise en place de mesures complémentaires pour atteindre un niveau de protection des données équivalent dans les pays tiers à celui garanti par le droit de l’UE.
Cette décision est majeure car c’est la première qui point expressément l’insuffisance des CCT utilisées seules, et qui met en lumière que les mesures complémentaires doivent être draconiennes pour assurer un niveau de protection équivalent. Elle indique également que tout transfert hors UE constitue un critère notable de risque pour les droits et libertés des personnes. Elle indique qu’une bonne mesure de prévention aurait été l’arrêt des transferts vers les USA et les autres pays tiers impliqués (qui sont nommés : l’Afrique du Sud, la Chine, l’Inde, la Jordanie, le Mexique, la Russie et Singapour). Le manque de maîtrise de la sous-traitance ultérieure a également été pointé du doigt par l’autorité de contrôle.
Cette délibération fait suite à de nombreuses plaintes de personnes concernées, sur le fait qu’elles sont obligées de décliner leur identité complète pour accéder aux services de l’institut national de la statistique et que les services sont hébergés par Cloudfare, et donc soumis au droit étasunien reconnu comme n’assurant pas un niveau de protection équivalent au droit européen.
Sources :
