Voici cinq choses que vous devez savoir sur Google Analytics, les transferts et Schrems II.

1. Jusqu’à la Terre du Milieu, nous allons
Rafraîchissez votre J.R.R. Tolkien parce que Datatilsynet, dans ses nouveaux conseils sur les fournisseurs de cloud, dit que vous devez connaître tous vos processeurs et sous-processeurs et sous-processeurs de fournisseur de cloud jusqu’à ce que vous atteigniez les hobbits en Terre du Milieu. Cela était attendu sur la base des lignes directrices Schrems II du comité européen de la protection des données. Comme un régime Keto, c’est simple à comprendre mais incroyablement difficile à faire.

2. Les autorités de surveillance sont aussi des personnes
Et ils ont du mal à faire appliquer les affaires Schrems II, en partie parce qu’ils sont conscients de la complexité de la conformité et, en partie, parce que c’est aussi difficile pour eux. Ils n’ont pas les ressources nécessaires pour vérifier si ce que les contrôleurs ont dit sur les sous-sous-sous-sous-sous-processeurs (vous comprenez le point) est réellement vrai.

3. Ruissellement Schremsnomics:
Il est clair que la conformité est difficile. À l’heure actuelle, de nombreuses entreprises comptent sur de gros transformateurs et ne sont pas en mesure d’obtenir les informations ou les concessions de conformité qu’elles souhaitent. Peut-être qu’avec des cas comme Microsoft et Zoom pour le gouvernement néerlandais, DPIA et la nouvelle initiative MS 365 du Contrôleur européen de la protection des données, le travail et les modifications apportées commenceront à « ruisseler » (ou à monter) et seront disponibles en amont de la chaîne pour les sous-traitants ou les contrôleurs des PME qui en ont besoin.

4. Restez idéaliste et respectez-vous
Il n’y a pas de base de risque dans les transferts et c’est un aspect clé du droit de l’UE (par opposition à l’approche américaine plus pragmatique). Cependant, cela ne signifie pas que vous devez simplement abandonner et ne rien faire. Bien que la loi ne permette pas une approche fondée sur les risques, l’application par les autorités de surveillance pourrait le faire. Ils pourraient examiner, aux fins de l’émission d’amendes, l’étendue du transfert, la nature des données, les mesures mises en œuvre, si vous avez ou non des services alternatifs que vous avez envisagés, etc. Et cela peut entraîner un délai de grâce pour se conformer, réduire les amendes, pas d’amendes, etc.

5. Mieux vaut précis que désolé
La pire chose que vous puissiez faire est de dire que vous « pouvez » transférer des données personnelles ou que vous « pouvez traiter X » ou « peut utiliser des cookies marketing » alors que vous ne l’êtes pas vraiment. Il s’agit d’une violation des transferts du chapitre V du RGPD car, selon la Cour de justice de l’Union européenne et le Comité européen de la protection des données, vous devez connaître vos transferts. Les conseils de Datatilsynet sur le cloud sont d’accord. Et c’est une violation de la transparence de l’article 12 du RGPD (a déclaré la Commission irlandaise de protection des données dans les affaires WhatsApp et Facebook). Le procureur général de Californie et la Federal Trade Commission n’aiment pas beaucoup cela aux États-Unis non plus.

[View source.]