Le Comité européen de la protection des données (CEPD / EDPB), composé de représentants des autorités européennes chargées de la protection des données et du Contrôleur européen de la protection des données, a publié le 10 novembre 2020 des recommandations pour aider les organismes à assurer un niveau de protection adéquat des données personnelles transférées hors de l’Espace Economique Européen1.
La Cour de justice de l’Union européenne (CJUE) a invalidé le 6 octobre 2015 le Safe Harbor, accord conclu entre la Commission européenne et les Etats-Unis pour permettre aux entreprises américaines qui y adhéraient de transférer les données personnelles de résidents de l’Union européenne vers les Etats-Unis (arrêt Schrems I).
Le 16 juillet 2020, la CJUE a invalidé, d’une part, le Privacy Shield, éphémère successeur du Safe Harbour, et validé, d’autre part, les clauses contractuelles types adoptées par la Commission européenne et utilisées pour transférer des données personnelles depuis l’Union européenne vers un pays tiers (arrêt Schrems II). La CJUE rappelle toutefois qu’un transfert de données fondé sur de telles clauses doit assurer le niveau de protection adéquat exigé à l’article 45 du RGPD, c’est-à-dire permettre « un niveau de protection des droits et libertés fondamentaux substantiellement équivalent » à celui garanti au sein de l’Union européenne par le Règlement (UE) n°2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données, RGPD), lu à la lumière de la Charte des droits fondamentaux de l’Union européenne.
Les clauses contractuelles types peuvent ainsi ne pas constituer un moyen suffisant pour assurer, en pratique, une protection effective des données personnelles transférées. Le droit du pays destinataire peut, par exemple, permettre aux autorités publiques des ingérences dans les droits des personnes. En effet, ces clauses, contraignantes pour les parties au contrat, ne lient pas nécessairement les autorités publiques des pays tiers.
Se posait par conséquent la question de la mise en œuvre pratique de cette décision, conforme au principe de responsabilisation des acteurs (« accountability »), et plus particulièrement l’évaluation du niveau de protection des données par les organismes souhaitant les transférer vers des pays tiers ainsi que l’adoption de « mesures complémentaires ». Cette évaluation est nécessaire quel que soit le mécanisme juridique utilisé et donc aussi bien pour les transferts de données réalisés sur la base des clauses contractuelles types que des règles d’entreprise contraignantes (Binding Corporate Rules, BCR).
Le CEPD a identifié les six étapes suivantes :
Les organismes exportateurs de données personnelles doivent, dans un premier temps, identifier tous leurs transferts de données vers des pays qui ne sont pas membres de l’Espace Economique Européen. Il peut, par exemple, s’agir de données RH envoyées à la maison mère ou encore de données clients stockées dans un CRM hébergé aux Etats-Unis.
Cette cartographie peut, le cas échéant, être réalisée en se référant au registre des activités de traitement ainsi qu’à l’information déjà communiquée aux personnes dans les formulaires de collecte, sur le site internet… (les articles 13 et 14 du RGPD imposant en effet une information sur les transferts vers des pays tiers) et, si l’organisme en a désigné un, , avec l’appui du Délégué à la protection des données, lequel dispose déjà d’une connaissance globale des transferts mis en œuvre.
Si vous le souhaitez, DPO Consulting est notamment là pour vous accompagner en qualité de délégué à la protection des données externalisé.
Lors de cette étape, l’exportateur de données vérifie également si les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont transférées et traitées dans le pays destinataire (principe de minimisation).
Une fois les différents transferts recensés, les organismes déterminent l’outil de transfert qu’ils souhaitent utiliser et, en premier lieu, si le pays destinataire bénéficie d’une décision d’adéquation de la Commission européenne (Argentine, Israël, Japon, Nouvelle-Zélande, Suisse…) et pour quel secteur (l’adéquation du Canada ne concerne que les traitements réalisés dans le cadre d’activités commerciales). L’organisme n’a alors pas d’autres étapes à suivre mais doit toutefois régulièrement vérifier que la décision d’adéquation n’a pas été révoquée par la Commission ou invalidée par la CJUE.
A défaut, le transfert doit être encadré par d’autres outils, notamment :
La Commission européenne a d’ailleurs publié le 12 novembre 2020 son projet de nouvelles clauses contractuelles types2. Cette révision était depuis longtemps attendue, les modèles de clauses pour un transfert entre deux responsables de traitement (décisions 2001/497/CE et 2004/915/CE) ou d’un responsable de traitement vers un sous-traitant (décision 2010/87/UE) ayant été adoptés avant l’entrée en application du RGPD). Ces clauses sont modulables afin de couvrir toutes les situations de transferts :
Il incombe à l’exportateur de données, le cas échéant en collaboration avec le destinataire des données, de déterminer si la législation du pays tiers n’entrave pas, en pratique, l’efficacité des garanties apportées par l’outil de transfert utilisé. Cette évaluation est menée avec diligence et est documentée. Le projet de nouvelles clauses contractuelles types prend acte de la décision Schrems II en imposant à l’exportateur de données de documenter l’analyse réalisée et de la communiquer à l’autorité de protection des données compétente sur demande.
Cette analyse doit prendre en compte tous les acteurs impliqués (notamment les sous-traitants ultérieurs), les éventuels transferts ultérieurs ainsi que les circonstances du transfert : la finalité du transfert (marketing, RH, essais cliniques,…), la nature des données transférées (données sensibles, données concernant des mineurs soumises à une législation particulière dans le pays tiers,…), si les données vont être hébergées dans le pays tiers ou uniquement accessibles à distance, etc.
Les organismes doivent également vérifier si les personnes concernées pourront exercer leurs droits (accès, rectification, suppression des données transférées,…), y compris leur droit à un recours effectif.
L’analyse doit principalement s’appuyer sur la législation applicable et, lorsque cela n’est pas suffisant, sur des facteurs objectifs pertinents, et non sur des facteurs subjectifs, tels que la vraisemblance d’un accès par les autorités publiques du pays tiers, ainsi que sur des éléments obtenus d’autres sources, par exemple des précédents ou des pratiques démontrant la capacité des autorités publiques d’accéder aux données directement auprès du destinataire des données ou en interceptant les données en transit.
Les recommandations relatives aux garanties essentielles européennes adoptées par le CEPD le 10 novembre 2020 aideront les organismes à déterminer si l’accès aux données personnelles par les autorités publiques des pays tiers (agences de sécurité nationale, autorités répressives,…) peut être regardé comme une mesure nécessaire et proportionnée dans une société démocratique. La CJUE a, par exemple, considéré que ce n’était pas le cas de la Section 702 du Foreign Intelligence Surveillance Act (FISA) adopté par les Etats-Unis (Schrems II, §184). Par conséquent, des mesures complémentaires doivent nécessairement être envisagées lorsque l’importateur ou tout destinataire ultérieur des données est soumis à cette loi.
Il est recommandé à l’exportateur des données de demander des conseils au destinataire sur la législation applicable, si nécessaire en inscrivant cette obligation dans le contrat. C’est d’ailleurs ce que prévoit le projet de clauses contractuelles types révisées, en sus d’imposer aux deux parties de garantir n’avoir aucune raison de penser que cette législation empêche l’importateur des données de s’acquitter de ses obligations contractuelles.
S’il résulte de l’analyse menée par l’exportateur de données que la législation applicable à l’importateur des données pourrait avoir un impact sur l’efficacité de l’outil de transfert, les organismes déterminent si des mesures supplémentaires peuvent être déployées pour assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE, le cas échéant en collaboration avec l’importateur de données. Ces mesures peuvent être (1) techniques, (2) contractuelles, et/ou (3) organisationnelles. Elles sont déterminées au cas par cas pour chacun des transferts envisagés et en fonction du format (clair, pseudonymisées ou chiffrées) et de la nature des données.
(1) Le CEPD souligne que les mesures techniques sont susceptibles d’être les plus efficaces contre la menace d’une surveillance étrangère, par exemple :
(2) Les mesures contractuelles consisteront, pour le CEPD, à mettre en place une obligation de transparence de l’importateur de données sur la législation qui lui est applicable, à lui imposer de notifier régulièrement l’exportateur qu’aucune demande de divulgation des données n’a été formulée par les autorités publiques (méthode dite « Warrant Canary »), ou encore à contrôler la légalité d’une telle demande et de la contester si nécessaire.
Le projet de clauses contractuelles types de la Commission européenne impose, pour sa part, à l’importateur de données d’informer rapidement l’exportateur de données et, si possible, les personnes concernées, lorsqu’il reçoit une demande de divulgation de la part d’une autorité publique ou s’il a connaissance d’un accès direct par l’autorité aux données transférées. S’il lui est interdit de procéder à une telle notification, il devra fournir des efforts pour obtenir une dérogation à cette interdiction et documenter ses efforts. L’importateur de données devra en outre examiner la légalité de la demande de divulgation qui lui serait présentée, et d’épuiser, le cas échéant, les recours disponibles pour la contester et, dans l’attente d’un jugement au fond, de solliciter des mesures provisoires en vue d’en suspendre les effets.
(3) Les mesures organisationnelles, enfin, prendront la forme de politiques internes, de procédures encadrant les accès, la confidentialité et la minimisation des données, d’audits réguliers…
Si aucune mesure complémentaire n’est possible ou si les mesures identifiées ne permettent pas d’assurer un niveau de protection essentiellement équivalent (en particulier si la législation du pays tiers peut priver ces mesures d’effectivité), l’organisme doit éviter, suspendre ou mettre fin au transfert de données.
Les autorités nationales de protection des données (en France, la Commission nationale de l’informatique et des libertés) sont également compétentes pour suspendre ou interdire les transferts vers des pays tiers mis en œuvre sur la base de clauses contractuelles types ou des règles d’entreprise contraignantes.
Les organismes doivent adopter toutes les mesures complémentaires nécessaires pour assurer un niveau de protection essentiellement équivalent des données personnelles transférées.
Lorsque le transfert est fondé sur des clauses contractuelles types, il ne sera pas nécessaire de demander une autorisation de l’autorité de protection des données pour l’ajout de clauses ou de mesures supplémentaires, dès lors qu’elles ne contredisent pas, directement ou indirectement, les clauses contractuelles types et permettent d’assurer un niveau de protection essentiellement équivalent.
Une obligation de surveillance des mesures prises, de leur application et de l’évolution de la législation applicable dans le pays tiers pèse enfin sur les organismes exportateurs de données, le cas échéant avec la coopération du destinataire des données. L’« accountability » est en effet une obligation continue des parties.
Une réévaluation pourra être nécessaire dans le but d’assurer un niveau de protection conforme avec, pour conséquence, une éventuelle suspension ou la fin des transferts.
1) Ces recommandations sont soumises à consultation publique et peuvent donc être amenées à évoluer.
2) Ces clauses contractuelles types révisées sont également soumises à consultation publique.
– Maurice Monnot
Jeudi 17 décembre à 09h, nous organisons en collaboration avec Jean-Luc Sauron, Conseiller d’État et ancien juge d’instruction, un webinaire traitant des « Transferts internationaux de données » et des possibilités après l’annulation du privacy shield.