Notre réponse à Schrems II
CBRE s’engage à respecter et à assurer la protection des données à caractère personnel et les droits au respect de la vie privée de ses collaborateurs, clients et parties prenantes dans l’UE/EEE et dans le monde entier. Nous prenons des mesures proactives pour nous assurer que les transferts internationaux de données à caractère personnel continuent légalement et en totale conformité avec la décision « Schrems II » prononcée le 16 juillet 2020 par la Cour de justice de l’Union européenne.
Cette décision de la plus haute juridiction de l’UE a invalidé le cadre du « Privacy Shield » (Bouclier de protection des données) UE-États-Unis. Elle a également confirmé la validité des Clauses contractuelles type (CCT) de l’UE en tant que mécanisme légal pour transférer des données personnelles de l’UE/EEE vers des pays hors UE/EEE, à condition que ces données soient protégées de manière adéquate en vertu de la législation de l’UE. CBRE prend des mesures proactives pour faire en sorte que tous les transferts de données à caractère personnel se poursuivent légalement et en totale conformité avec la décision Schrems II, par exemple :
- en continuant de se fonder sur les CCT de l’UE validées par la plus haute juridiction de l’UE pour transférer légalement des données personnelles de l’UE/EEE vers des pays hors UE/EEE, dont les États-Unis. Nous suivons de près la situation et attendons des consignes supplémentaires de la part du Comité européen de la protection des données (CEPD), du Bureau du commissaire à l’information (Information Commissioners Office, ICO) du Royaume-Uni et d’autres autorités de contrôle de l’UE, ainsi que le résultat des travaux de mise à jour des CCT par la Commission européenne.
- En recherchant d’autres mécanismes de transfert légaux dans les rares cas où nous nous sommes fondés sur la certification du Bouclier de protection des données UE-États-Unis de CBRE, par exemple l’utilisation des dérogations à l’Article 49 du RGPD ; nous publierons d’ailleurs prochainement une mise à jour de l’avis de confidentialité. Avant le 16 juillet dernier, CBRE se fondait sur le Bouclier de protection des données uniquement pour le transfert de certaines données personnelles recueillies directement auprès des personnes concernées de l’UE/EEE sur les sites Web américains de CBRE. CBRE réitère son engagement à respecter ses obligations aux termes du RGPD et du programme du Bouclier de protection des données concernant toutes les données personnelles transférées sur le fondement du Bouclier de protection des données.
- En mettant en oeuvre un cadre permettant d’effectuer une analyse d’impact relative à la protection des données des transferts de données hors UE/EEE et en recherchant des mesures de protection complémentaires appropriées susceptibles de faire en sorte que lesdits transferts garantissent un niveau de protection des données essentiellement équivalent à celui qui est garanti au sein de l’UE.
- En étudiant la possibilité de renforcer la localisation des données de l’UE/EEE.
Enfin, CBRE est optimiste quant au fait que de nouvelles solutions seront trouvées, telles que le renforcement du cadre du Bouclier de protection des données UE-États-Unis, afin de permettre le maintien de la libre circulation des données si cruciale pour l’économie mondiale et les relations commerciales internationales tout en protégeant et respectant les droits individuels de protection des données à caractère personnel conformément à la législation de l’UE. Pour toute question concernant la réponse de CBRE à la décision Schrems II, veuillez contacter le Bureau mondial de la confidentialité des données de CBRE.
Elizabeth Atlee
Directrice de l’éthique et de la conformité