Le 4 juin, la Commission européenne a publié les nouvelles clauses contractuelles SCC (Standard Contractual Clauses) que doivent suivre les entreprises qui veulent transférer des données personnelles de citoyens européens vers un pays tiers, les Etats-Unis en particulier.
Ces clauses SCC sont censées répondre aux conséquences de l’arrêt Schrems II qui a mis fin le 16 avril 2020 à l’usage du Privacy Shield, qui réglementait les transferts de données en dehors de l’Europe. Les personnes dont les données sont concernées doivent être informées de l’existence de ces clauses et les accepter. Les entreprises ont désormais 18 mois afin de mettre en œuvre ces nouvelles consignes.
« A première vue, les nouvelles SCC ne feront qu’augmenter la paperasse et la responsabilité des entreprises » réagit Max Schrems, le juriste autrichien qui a obtenu la fin du Privacy Shield après plusieurs années de procédures alors qu’il ciblait au départ Facebook. Pour lui, la Commission européenne est juste en train de repousser le problème, et de s’en débarrasser auprès des entreprises et de leurs juristes, des autorités locales de protection des données, telles que la Cnil, et auprès de l’European Data Protection Board ainsi que probablement vers la Cour européenne de justice à un certain point, « car il n’existe pas de base légale pour cette approche dans le RGPD » conclut-il.
