Notre réponse à Schrems II

Mise à jour le 2 décembre 2021


CBRE s’engage à respecter et à protéger les droits de protection des données et de la vie privée de ses employés, clients et parties prenantes dans l’UE/EEE et dans le monde entier. Depuis l’émission de la décision « Schrems II » le 16 juillet 2020 par la Cour de justice de l’Union européenne (« CJUE »), CBRE a pris et continue de prendre des mesures proactives pour s’assurer que tous les transferts de données se poursuivent légalement et en totale conformité avec le droit de l’UE, y compris : br>
  • Conduire une Évaluation des risques de transfert vers les États-Unis pour les transferts de données personnelles vers CBRE, Inc. et ses filiales américaines (« CBRE États-Unis »). Cette évaluation du risque de transfert a permis de conclure que ces transferts ne sont pas soumis à la divulgation aux autorités de renseignement américaines en vertu de la section 702 du Foreign Intelligence Surveillance Act des États-Unis (50 U.S.C. §1881a) (« FISA 702 ») ou du décret présidentiel 12333 et peut, par conséquent, se poursuivre légalement sans mesures supplémentaires, comme l’exige la Cour de justice dans Schrems II et le Comité européen de la protection des données.
  • Mise en œuvre d’un cadre pour la réalisation d’une évaluation de l’impact du transfert sur tous les transferts de données hors UE/EEE.
  • Continuer à s’appuyer sur les SCC de l’UE (selon leur mises à jour) pour transférer légalement des données personnelles de l’UE/EEE vers des pays non membres de l’UE/EEE et, lorsque l’évaluation des risques de transfert pertinente l’indique, mettre en œuvre des mesures supplémentaires recommandées par le Conseil européen de la protection des données (CEPD) et d’autres autorités de l'UE .
  • Chiffrement de toutes les données à caractère personnel UE/EEE en transit avec le protocole de sécurité Transport Layer 1.2 ou supérieur, SSH 2 (Secure Shell), IPSec (IP Security) ou S/MIME (Secure Multipurpose Internet Mail Extension) et au repos avec Advanced Encryption Standard ou Triple Data Encryption Standard et chiffrement accru au niveau de la base de données.
  • Compléter la Politique mondiale de confidentialité des données de CBRE pour inclure une « Norme de divulgation des ordonnances judiciaires inadéquates » selon laquelle CBRE prendra, entre autres mesures, toutes les mesures légales raisonnables pour contester et suspendre les ordonnances de divulgation émanant de pays tiers inadéquats et pour ne produire que les données minimales nécessaires à la conformité légale.
  • Mettre en œuvre une procédure d’accès aux données d’application de la loi contractuellement contraignante selon laquelle CBRE États-Unis contestera toutes les demandes de divulgation reçues des autorités de renseignements américaines lorsqu’il existe des motifs raisonnables de le faire.
  • Augmentation de la localisation des données UE/EEE.

CBRE est optimiste quant au fait que de nouvelles solutions, telles qu’une structure renforcée du bouclier de protection des données UE-États-Unis , seront trouvées pour permettre la libre circulation continue des données, si importantes pour l’économie mondiale et les relations commerciales internationales, tout en protégeant et en respectant les droits individuels à la vie privée conformément au droit de l’UE. Pour toute question sur la réponse de CBRE à la décision Schrems II, veuillez contacter le Bureau mondial de la protection des données de CBRE.

Elizabeth Atlee

Directeur de l’éthique et de la conformité

Shannon Clark

Directeur mondial et avocat-conseil adjoint – Protection des données et confidentialité