Dans une « note stratégique », le Comité européen de la Protection des Données recommande aux institutions européennes d’agir avec la plus grande prudence.
Après l’arrêt Schrems II, qui a invalidé l’accord de transfert de données à caractère personnel avec les États-Unis, il encourage ces acteurs à ne plus s’engager dans des contrats impliquant de tels transferts vers ce pays.
D’ici la fin du mois, l’ensemble des institutions devra cartographier l’ensemble de leurs transferts vers des pays tiers. Au 15 novembre, elles devront identifier les risques particuliers, comme les transferts basés sur aucun outil spécifique ou ceux encore représentant un haut risque.
L’hypothèse sera celle de traitement vers des entreprises « clairement soumises » aux lois de surveillance américaine (FISA ou EO 12333)
« Sur la base de ce premier exercice, le CEPD pourra prendre des mesures coercitives pour que les transferts soient en conformité avec le RGPD ou qu’ils soient suspendus ».
