Par Anne Charlotte Andrieux
La fin de l’année 2020 marque une véritable révolution dans le cadre règlementaire des transferts de données hors UE. Tandis que le CEPD vient de publier ses recommandations relatives aux mesures complémentaires pouvant être adoptées suite à l’arrêt Shrems II, la Commission européenne annonce la refonte des clauses contractuelles types pour réaliser une base conforme au RGPD.
Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l'Union européenne est soumis à des règles particulières. Conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l'UE doit au choix :
En juillet dernier, la Cour de justice de l’Union Européenne (CJUE) invalidait la décision d’adéquation « Privacy Shield »[1], adoptée en 2016 par la Commission européenne[2] suite à l’invalidation du « Safe Harbor »[3]. Ce « bouclier de protection » permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.
Les juges européens ont estimé que les CCT ne révélaient aucun élément de nature à affecter leur validité, mais ont en revanche décidé de déclarer l’accord Privacy Shield invalide en raison d’un niveau de protection insuffisamment élevé.
En outre, la CJUE conditionne la validité des CCT à la présence de mécanismes permettant d’assurer que le niveau de protection requis et encadré par le RGPD est bien respecté.
La décision de la CJUE affecte aussi bien :
En effet, en raison de l’invalidation du Privacy Shield, la loi américaine (ou de tout autre pays non reconnu comme offrant un niveau de protection adéquat) est susceptible de primer sur les outils de transferts.
Les CCT et les BCR peuvent toujours être utilisées pour transférer des données vers un pays tiers qu’il s’agisse des Etats-Unis ou d’un autre pays. Cependant, l’invalidation du Privacy Shield impose des précautions supplémentaires.
Il en résulte qu’en l’absence de décision d’adéquation, la conclusion d’outils de transfert entre l’exportateur et l’importateur de données devra s’accompagner d’une évaluation pratique pour déterminer si la législation du pays tiers permet de respecter le niveau de protection exigé par le droit de l’UE.
Cette analyse de risque devra tenir compte de la cartographie des flux données et notamment du volume et du caractère sensible des données traitées.
Si le niveau de protection requis par le droit de l’UE ne peut pas être respecté, il conviendra de mettre en œuvre des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu en UE. Pour ce faire l’exportateur et l’importateur des données devront notamment s’assurer que la législation du pays tiers ne privera pas ces mesures supplémentaires de leur effectivité.
Le CEPD précise que les mesures complémentaires doivent tenir compte :
Ces mesures pourront être d’ordre juridique, technique ou organisationnel.
Le Comité a indiqué que dans le cas où aucune mesure complémentaire ne permettait de transférer des données personnelles, le responsable de traitement devait renoncer au transfert afin d’éviter de compromettre le niveau de protection des données personnelles.
Pour le transfert à des fins d’hébergement, ne nécessitant pas un accès aux données en clair, le CEPD recommande de recourir au chiffrement des données avant transmission au sous-traitant. De même, lorsque les données sont transférées vers un Etat offrant un niveau de protection adéquat mais sont amenées à transiter par un pays tiers, les données devront faire l’objet d’un chiffrement.
Pour ce faire il est conseillé de recourir à un algorithme de chiffrement robuste conforme à l’état de l’art dont la clé sera conservée uniquement sous le contrôle du responsable de traitement.
A contrario, le CEPD considère qu’aucune mesure technique complémentaire n’est en mesure de permettre un transfert de données conforme aux exigences du RGPD lorsque le traitement par le sous-traitant requiert l’accès aux données en clair.
La pseudonymisation est susceptible de constituer une mesure complémentaire suffisante dans certaines hypothèses. Notamment :
Dans cette configuration, l’exportateur des données devra veiller à ce que les données personnelles ne puissent pas être rattachées à une personne déterminée.
Le Comité considère que le niveau de protection est suffisant lorsque les données sont divisées entre plusieurs sous-traitants indépendants de telle manière à ce que chaque partie des données ne puisse être attribuée à une personne spécifique sans être corrélées à des informations supplémentaires.
Dans certaines situations, des mesures contractuelles complémentaires peuvent renforcer les garanties que l'outil de transfert et la législation pertinente du pays tiers peuvent offrir, lorsque, compte tenu des circonstances du transfert, elles ne remplissent pas toutes les conditions requises pour assurer un niveau de protection essentiellement équivalent à celui garanti au sein de l'UE.
A titre d’exemple le CEPD propose de :
En supplément des mesures organisationnelles mises en œuvre dans le cadre de la démarche de conformité au RGPD, certaines mesures organisationnelles supplémentaires pourront être adoptées. Le CEPD promeut notamment la réalisation par les exportateurs de données de politiques internes et de méthodes organisationnelles qu’ils pourraient s'appliquer à eux-mêmes et imposer aux importateurs de données dans les pays tiers. A titre d’exemple, les entreprises pourront prévoir des opérations de sensibilisation ciblées du personnel sur les transferts de données et les demandes d’accès.
En outre, les sous-traitants importateurs de données pourront documenter au sein d’un registre les demandes d’accès en provenance d’autorités publiques. Ce registre sera tenu à disposition de l’exportateur des données.
Afin d‘évaluer la conformité des transferts hors UE et d’adopter les mesures correctives nécessaires les acteurs concernés pourront suivre les 6 étapes suivantes :
ETAPE 1 : Cartographier vos transferts de données
Identifiez précisément les transferts de données et leurs destinations. Dans ce cadre il convient de vérifier que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont transférées ;
ETAPE 2 : Auditer les outils de transfert utilisés
Identifiez si le transfert repose sur une décision d’adéquation ou un des outils de transferts prévus à l’article 46 du RGPD.
ETAPE 3 : Evaluer la législation et la pratique du pays tiers
Identifiez les législations ou jurisprudences qui pourraient porter atteinte à l’efficacité des instruments de transfert utilisés dans l’Etat tiers
ETAPE 4 : Identifier et adopter des mesures complémentaires
Si l’évaluation (ETAPE 2) révèle que la législation du pays tiers affecte l’efficacité de l’outil de transfert utilisé il conviendra de mettre en œuvre des mesures complémentaires appropriées pour atteindre le niveau de protection exigé par la réglementation européenne.
ETAPE 5 : Identifier les éventuelles formalités à mettre en œuvre
Lorsque les clauses contractuelles types (CCT) conclues avec le sous-traitants sont amendées ou lorsque les mesures complémentaires ajoutées "contredisent" directement ou indirectement les CCT, le responsable de traitement doit demander une autorisation auprès de l'autorité de contrôle compétente conformément à l'article 46, paragraphe 3, point a), du RGPD.
ETAPE 6 : Réévaluer le niveau de protection à intervalle régulier
Le principe d’accountability exige de rester vigilant aux changements pouvant affecter le niveau de protection des données
Le Cabinet HAAS Avocats, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne les entreprises dans leurs démarches de conformité RGPD et l’encadrement des transferts hors UE.
Le cabinet HAAS propose de vous accompagner pour :
Pour plus d’informations ou des demandes de rendez-vous, contactez nous ici.
[1] Arrêt de la CJUE du 16 juillet 2020 dans l'affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland
[2] Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis