Les 6 étapes à suivre pour transférer des données personnelles en dehors de l’UE selon l’EDPB
Corinne Thiérache
Les incertitudes générées par l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne (CJUE) le 16 juillet dernier ont conduit le Comité européen de la protection des données (l’EDPB) à adopter des recommandations (Recommandations EDPB 01/2020 relatives aux mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l’UE). Le délai pour répondre à la consultation publique sur le projet de recommandation de l’EDPB a été prolongé jusqu’au 21 décembre 2020.
L’EDPB a mis en avant 6 étapes à suivre dans l’hypothèse d’un transfert de données personnelles en dehors de l’Union Européenne (UE) :
1. Recenser tous les transferts internationaux envisagés ;
2. Vérifier les outils de transfert que vous souhaitez utiliser : il pourra notamment s’agir d’une décision d’adéquation, d’une clause contractuelle type (CCT), des règles d’entreprise contraignantes (BCR), etc. ;
3. Evaluer si la législation/pratique du pays tiers de destination « peut porter atteinte à l’efficacité des garanties appropriées des outils de transfert sur lesquels vous comptez, dans le contexte de votre transfert spécifique » ;
4. Identifier et adopter une ou plusieurs mesures complémentaires pour amener le niveau de protection à un « équivalent essentiel » avec le droit de l’UE ;
5. Prendre toute mesure procédurale formelle requise pour adopter la ou les mesures complémentaires ;
6. Réévaluer périodiquement le niveau de protection des données et suivre toute évolution pertinente.
Concernant l’hypothèse d’un transfert de données vers un pays dont la législation pourrait porter atteinte aux outils de transfert visés à l’article 46 du RGPD (par exemple les Etats-Unis), la mise en place de mesures complémentaires sera nécessaire. A défaut, les autorités de contrôle doivent suspendre ou interdire ces transferts.
L’EDPB indique que ces mesures peuvent avoir « une nature contractuelle, technique ou organisationnelle » – ou une combinaison de tout ou partie de ces éléments. Les mesures « techniques » sont toutefois susceptibles d’être l’outil le plus solide contre la menace d’une surveillance étrangère.
Sont ainsi étudiés les mécanismes de cryptage avant le transfert dans le cadre d’un stockage de données dans un pays tiers où la clé peut être conservée par l’exportateur des données (ou par une entité de confiance dans l’EEE ou dans un pays tiers considéré comme ayant un niveau de protection des données adéquat), le transfert des données préalablement pseudonymisées, les données cryptées de bout en bout transitant par des pays tiers via un transfert crypté ou encore le traitement fractionné ou multipartite. Pour chacun de ces mécanismes, le contenu des données est inaccessible « en clair » aux importateurs.
Le recours aux mesures techniques pourra être complété et encadré par des mesures contractuelles supplémentaires ainsi que par des mesures organisationnelles. Les CCT ou les BCR ne pourront en effet généralement pas lier les autorités publiques des pays tiers.
Les mesures contractuelles pourront notamment encadrer :
– Le recours aux mesures techniques spécifiques par l’importateur ;
– L’obligation d’information pesant sur l’importateur, conformément aux obligations de documentation et de transparence de l’exportateur ;
– Le moyen de notification utilisé par l’importateur pour informer l’exportateur d’une éventuelle demande de divulgation des données par les autorités publiques ;
– L’obligation pour l’importateur de contrôler la légalité d’une ordonnance de divulgation et de la contester si nécessaire ;
– La question de l’exercice par les personnes concernées de leurs droits.
Les mesures organisationnelles s’appliqueront aux responsables de traitement, aux sous-traitants ainsi qu’aux importateurs de données dans les pays tiers. Elles prendront la forme de politiques internes, de méthodes organisationnelles ou encore de normes, et auront pour objectif de préciser les mesures de transparence et de responsabilité, de mettre en place des audits réguliers ainsi que des sanctions disciplinaires, etc.
Ces recommandations sont donc les bienvenues pour les responsables de traitement, qui disposent désormais de plus de précisions quant à la marche à suivre. Ce sont des pistes de réflexion et de solutions pour mieux les guider dans leur mise en conformité au RGPD, une nouvelle fois complexifiée avec l’invalidation du « Privacy Shield ».
Les avocats d’Alerion du Département Protection des données personnelles peuvent assister leurs clients pour tirer toutes les conséquences de ces recommandations sur les transferts de données effectués en dehors de l’UE.
Corinne Thiérache, Associée.
Remerciements à Morgane Sapin, Elève-Avocat.