Résumé :
|
"Dans le cahier des charges, la conformité au Règlement Général sur la Protection des Données (RGPD) est considérée comme une exigence minimale. Se référant à l'arrêt de la Cour de justice n° C-311/18 du 16 juillet 2020 "Schrems II" et au RGPD, le demandeur soutient que les transferts de données personnelles aux destinataires par le pouvoir adjudicateur des États-Unis sont contraires à l'art . 44 RGPD. Le Conseil d'État ne soutient pas la partie requérante et est d'avis que la demande de la partie requérante en général semble ignorer la manière dont ces mesures peuvent être mises en œuvre. Dans son arrêt "Schrems II", la Cour considère qu'il appartient au responsable du traitement ou au sous-traitant de vérifier au cas par cas si les clauses types peuvent être respectées lors d'un transfert vers un pays tiers et que, s'il est établi que les clauses types ne peuvent être respectées compte tenu de la législation du pays de destination, le responsable du traitement ou le sous-traitant vérifie quelles mesures supplémentaires peuvent être prises pour combler les lacunes identifiées. Pourtant, l'affirmation selon laquelle il n'existe aucune mesure supplémentaire concevable pour remédier au niveau inadéquat de protection des données aux États-Unis, y compris le cryptage ou la pseudonymisation, semble en général négliger la manière dont ces mesures peuvent être mises en œuvre. Après tout, il semble possible de déduire du dossier que ni la Commission flamande de contrôle du traitement des données à caractère personnel ni le Comité européen de la protection des données ne s'opposent au cryptage complet des données avant qu'elles ne soient placées chez le prestataire de services et lorsque les clés de cryptage sont entièrement sous leur contrôle propre détenu par l'Organe de recours flamand. En outre, il semble possible de déduire du présent dossier que l'adjudicataire fournit bien un ensemble de garanties étendu." (Extrait de RW 2021-2022/18)
|