COMMENT ENCADRER LES TRANSFERTS DE DONNÉES HORS UE À L’ÈRE POST-PRIVACY SHIELD ?

Par Anne Charlotte Andrieux

La fin de l’année 2020 marque une véritable révolution dans le cadre règlementaire des transferts de données hors UE. Tandis que le CEPD vient de publier ses recommandations relatives aux mesures complémentaires pouvant être adoptées suite à l’arrêt Shrems II, la Commission européenne annonce la refonte des clauses contractuelles types pour réaliser une base conforme au RGPD.

Retour sur les exigences du RGPD

Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l'Union européenne est soumis à des règles particulières. Conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l'UE doit au choix :

être fondée sur une décision d'adéquation (article 45 du RGPD)

être encadrée par des règles d'entreprise contraignantes (« Binding Corporate Rules » - « BCR »), des clauses types de protection des données (« CCT »), un code de conduite ou un mécanisme de certification approuvé par la CNIL (article 46 du RGPD) 

être encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL (article 46 du RGPD) 

répondre à l’une des dérogations prévues à l'article 49 du RGPD (consentement explicite de la personne concernée, exécution d’un contrat dans l’intérêt de la personne concernée, motifs importants d’intérêt public, etc).

En juillet dernier, la Cour de justice de l’Union Européenne (CJUE) invalidait la décision d’adéquation « Privacy Shield »[1], adoptée en 2016 par la Commission européenne[2] suite à l’invalidation du « Safe Harbor »[3]. Ce « bouclier de protection » permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Les juges européens ont estimé que les CCT ne révélaient aucun élément de nature à affecter leur validité, mais ont en revanche décidé de déclarer l’accord Privacy Shield invalide en raison d’un niveau de protection insuffisamment élevé.

En outre, la CJUE conditionne la validité des CCT à la présence de mécanismes permettant d’assurer que le niveau de protection requis et encadré par le RGPD est bien respecté.

La nécessité d’une analyse de risque

La décision de la CJUE affecte aussi bien :

les transferts de données entre responsables de traitement que les transferts entre un responsable de traitement et un sous-traitant

les transferts encadrés par des CCT que les transferts encadrés par des BCR.

En effet, en raison de l’invalidation du Privacy Shield, la loi américaine (ou de tout autre pays non reconnu comme offrant un niveau de protection adéquat) est susceptible de primer sur les outils de transferts.

Les CCT et les BCR peuvent toujours être utilisées pour transférer des données vers un pays tiers qu’il s’agisse des Etats-Unis ou d’un autre pays. Cependant, l’invalidation du Privacy Shield impose des précautions supplémentaires.

Il en résulte qu’en l’absence de décision d’adéquation, la conclusion d’outils de transfert entre l’exportateur et l’importateur de données devra s’accompagner d’une évaluation pratique pour déterminer si la législation du pays tiers permet de respecter le niveau de protection exigé par le droit de l’UE.

Cette analyse de risque devra tenir compte de la cartographie des flux de données et notamment du volume et du caractère sensible des données traitées.

Si le niveau de protection requis par le droit de l’UE ne peut pas être respecté, il conviendra de mettre en œuvre des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu en UE. Pour ce faire, l’exportateur et l’importateur des données devront notamment s’assurer que la législation du pays tiers ne privera pas ces mesures supplémentaires de leur effectivité.  

L’adoption de mesures complémentaires

Le CEPD précise que les mesures complémentaires doivent tenir compte :

de toutes les circonstances du transfert

de la législation du pays tiers

Ces mesures pourront être d’ordre juridique, technique ou organisationnel.

Le Comité a indiqué que dans le cas où aucune mesure complémentaire ne permettait de transférer des données personnelles, le responsable de traitement devait renoncer au transfert afin d’éviter de compromettre le niveau de protection des données personnelles.

Mesures techniques complémentaires validées par le CEPD

Le chiffrement des données hébergées hors UE ou transitant par un pays tiers

Pour le transfert à des fins d’hébergement, ne nécessitant pas un accès aux données en clair, le CEPD recommande de recourir au chiffrement des données avant transmission au sous-traitant. De même, lorsque les données sont transférées vers un Etat offrant un niveau de protection adéquat mais qu'elles sont amenées à transiter par un pays tiers, elles devront faire l’objet d’un chiffrement.

Pour ce faire, il est conseillé de recourir à un algorithme de chiffrement robuste conforme à l’état de l’art dont la clé sera conservée uniquement sous le contrôle du responsable de traitement.

A contrario, le CEPD considère qu’aucune mesure technique complémentaire n’est en mesure de permettre un transfert de données conforme aux exigences du RGPD lorsque le traitement par le sous-traitant requiert l’accès aux données en clair.

La pseudonymisation des données exportées

La pseudonymisation est susceptible de constituer une mesure complémentaire suffisante dans certaines hypothèses. Notamment :

lorsque les données sont transférées vers un pays offrant un niveau de protection adéquat et qu’elle transitent brièvement par un pays tiers

lorsque le destinataire situé dans un pays tiers fait l’objet d’une protection spécifique par le droit local tel que le secret professionnel.

Dans cette configuration, l’exportateur des données devra veiller à ce que les données personnelles ne puissent pas être rattachées à une personne déterminée.

La division des données entre plusieurs sous-traitants

Le Comité considère que le niveau de protection est suffisant lorsque les données sont divisées entre plusieurs sous-traitants indépendants de telle manière à ce que chaque partie des données ne puisse être attribuée à une personne spécifique sans être corrélées à des informations supplémentaires.

Mesures contractuelles complémentaires

Dans certaines situations, des mesures contractuelles complémentaires peuvent renforcer les garanties que l'outil de transfert et la législation pertinente du pays tiers peuvent offrir, lorsque, compte tenu des circonstances du transfert, elles ne remplissent pas toutes les conditions requises pour assurer un niveau de protection essentiellement équivalent à celui garanti au sein de l'UE.

A titre d’exemple le CEPD propose de :

Prévoir l’obligation contractuelle de recourir aux mesures techniques spécifiques développées ci-dessus (chiffrement, pseudonymisation)

Aider l’importateur des données à documenter le niveau de protection offert par la législation locale en annexant un questionnaire au sein duquel il pourrait lister la législation qui lui est applicable et les mesures prises pour prévenir l’accès aux données par les autorités publiques du pays.

Prévoir une clause par laquelle l’importateur certifie que son système informatique est exempt de back-door (porte-dérobée) permettant aux autorités locales d’accéder aux données

Prévoir une clause d’audit renforcée par laquelle l’exportateur des données est autorisé à diligenter des inspections des SI du sous-traitant pour vérifier si les données n’ont pas été divulguées aux autorités publiques du pays de destination.

Mesures organisationnelles complémentaires

En supplément des mesures organisationnelles mises en œuvre dans le cadre de la démarche de conformité au RGPD, certaines mesures organisationnelles supplémentaires pourront être adoptées. Le CEPD promeut notamment la réalisation, par les exportateurs de données, de politiques internes et de méthodes organisationnelles qu’ils pourraient s'appliquer à eux-mêmes et imposer aux importateurs de données dans les pays tiers. A titre d’exemple, les entreprises pourront prévoir des opérations de sensibilisation ciblées du personnel sur les transferts de données et les demandes d’accès.

En outre, les sous-traitants importateurs de données pourront documenter au sein d’un registre les demandes d’accès en provenance d’autorités publiques. Ce registre sera tenu à disposition de l’exportateur des données.

La roadmap des transferts hors UE

Afin d‘évaluer la conformité des transferts hors UE et d’adopter les mesures correctives nécessaires, les acteurs concernés pourront suivre les 6 étapes suivantes :

ETAPE 1 : Cartographier vos transferts de données

Identifiez précisément les transferts de données et leurs destinations. Dans ce cadre, il convient de vérifier que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont transférées ;

ETAPE 2 : Auditer les outils de transfert utilisés

Identifiez si le transfert repose sur une décision d’adéquation ou un des outils de transferts prévus à l’article 46 du RGPD.

ETAPE 3 : Evaluer la législation et la pratique du pays tiers

Identifiez les législations ou jurisprudences qui pourraient porter atteinte à l’efficacité des instruments de transfert utilisés dans l’Etat tiers

ETAPE 4 : Identifier et adopter des mesures complémentaires

Si l’évaluation (ETAPE 2) révèle que la législation du pays tiers affecte l’efficacité de l’outil de transfert utilisé, il conviendra de mettre en œuvre des mesures complémentaires appropriées pour atteindre le niveau de protection exigé par la réglementation européenne.

ETAPE 5 : Identifier les éventuelles formalités à mettre en œuvre

Lorsque les clauses contractuelles types (CCT) conclues avec les sous-traitants sont amendées ou lorsque les mesures complémentaires ajoutées "contredisent" directement ou indirectement les CCT, le responsable de traitement doit demander une autorisation auprès de l'autorité de contrôle compétente conformément à l'article 46, paragraphe 3, point a), du RGPD.

 ETAPE 6 : Réévaluer le niveau de protection à intervalle régulier

Le principe d’accountability exige de rester vigilant aux changements pouvant affecter le niveau de protection des données

Le Cabinet HAAS Avocats, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne les entreprises dans leurs démarches de conformité RGPD et l’encadrement des transferts hors UE.

Le cabinet HAAS propose de vous accompagner pour :

l’audit et l’analyse de vos transferts de données

la réalisation de clauses contractuelles type et de règles d’entreprise contraignantes adaptées à vos besoins

la mise en œuvre des mesures techniques et organisationnelles adaptées

Pour plus d’informations ou des demandes de rendez-vous, contactez nous ici.

[1] Arrêt de la CJUE du 16 juillet 2020 dans l'affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland

[2] Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis