Village de la Justice www.village-justice.com

Comment encadrer les transferts de données hors UE à l’ère post-privacy shield ? Par Gerard Haas et Anne Charlotte Andrieux, Avocats.
Parution : mercredi 5 mai 2021
Adresse de l'article original :
https://www.village-justice.com/articles/comment-encadrer-les-transferts-donnees-hors-ere-post-privacy-shield,39044.html
Reproduction interdite sans autorisation de l'auteur.

La fin de l’année 2020 marque une véritable révolution dans le cadre règlementaire des transferts de données hors UE. Tandis que le CEPD vient de publier ses recommandations relatives aux mesures complémentaires pouvant être adoptées suite à l’arrêt Shrems II, la Commission européenne annonce la refonte des clauses contractuelles types pour réaliser une base conforme au RGPD.

La fin de l’année 2020 marque une véritable révolution dans le cadre réglementaire des transferts de données hors UE. Tandis que le CEPD vient de publier ses recommandations relatives aux mesures complémentaires [1] pouvant être adoptées suite à l’arrêt Shrems II, la Commission européenne annonce la refonte des clauses contractuelles types pour réaliser une base conforme au RGPD.

Retour sur les exigences du RGPD.

Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l’Union européenne est soumis à des règles particulières. Conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l’UE doit au choix :
- Etre fondée sur une décision d’adéquation (article 45 du RGPD) ;
- Etre encadrée par des règles d’entreprise contraignantes (« Binding Corporate Rules » - « BCR »), des clauses types de protection des données (« CCT »), un code de conduite ou un mécanisme de certification approuvé par la CNIL (article 46 du RGPD) ;
- Etre encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL (article 46 du RGPD) ;
- Répondre à l’une des dérogations prévues à l’article 49 du RGPD (consentement explicite de la personne concernée, exécution d’un contrat dans l’intérêt de la personne concernée, motifs importants d’intérêt public, etc).

En juillet dernier, la Cour de justice de l’Union Européenne (CJUE) invalidait la décision d’adéquation « Privacy Shield » [2] adoptée en 2016 par la Commission européenne [3] suite à l’invalidation du « Safe Harbor ». Ce « bouclier de protection » permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Les juges européens ont estimé que les CCT ne révélaient aucun élément de nature à affecter leur validité, mais ont en revanche décidé de déclarer l’accord Privacy Shield invalide en raison d’un niveau de protection insuffisamment élevé.

En outre, la CJUE conditionne la validité des CCT à la présence de mécanismes permettant d’assurer que le niveau de protection requis et encadré par le RGPD est bien respecté.

La nécessité d’une analyse de risque.

La décision de la CJUE affecte aussi bien :
- Les transferts de données entre responsables de traitement que les transferts entre un responsable de traitement et un sous-traitant ;
- Les transferts encadrés par des CCT que les transferts encadrés par des BCR.

En effet, en raison de l’invalidation du Privacy Shield, la loi américaine (ou de tout autre pays non reconnu comme offrant un niveau de protection adéquat) est susceptible de primer sur les outils de transferts.

Les CCT et les BCR peuvent toujours être utilisées pour transférer des données vers un pays tiers qu’il s’agisse des Etats-Unis ou d’un autre pays. Cependant, l’invalidation du Privacy Shield impose des précautions supplémentaires.

Il en résulte qu’en l’absence de décision d’adéquation, la conclusion d’outils de transfert entre l’exportateur et l’importateur de données devra s’accompagner d’une évaluation pratique pour déterminer si la législation du pays tiers permet de respecter le niveau de protection exigé par le droit de l’UE.

Cette analyse de risque devra tenir compte de la cartographie des flux données et notamment du volume et du caractère sensible des données traitées.

Si le niveau de protection requis par le droit de l’UE ne peut pas être respecté, il conviendra de mettre en œuvre des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu en UE. Pour ce faire l’exportateur et l’importateur des données devront notamment s’assurer que la législation du pays tiers ne privera pas ces mesures supplémentaires de leur effectivité.

L’adoption de mesures complémentaires.

Le CEPD précise que les mesures complémentaires doivent tenir compte :
- De toutes les circonstances du transfert ;
- De la législation du pays tiers.

Ces mesures pourront être d’ordre juridique, technique ou organisationnel.

Le Comité a indiqué que dans le cas où aucune mesure complémentaire ne permettait de transférer des données personnelles, le responsable de traitement devait renoncer au transfert afin d’éviter de compromettre le niveau de protection des données personnelles.

Mesures techniques complémentaires validées par le CEPD.

Le chiffrement des données hébergées hors UE ou transitant par un pays tiers.

Pour le transfert à des fins d’hébergement, ne nécessitant pas un accès aux données en clair, le CEPD recommande de recourir au chiffrement des données avant transmission au sous-traitant. De même, lorsque les données sont transférées vers un Etat offrant un niveau de protection adéquat mais sont amenées à transiter par un pays tiers, les données devront faire l’objet d’un chiffrement.

Pour ce faire il est conseillé de recourir à un algorithme de chiffrement robuste conforme à l’état de l’art dont la clé sera conservée uniquement sous le contrôle du responsable de traitement.

A contrario, le CEPD considère qu’aucune mesure technique complémentaire n’est en mesure de permettre un transfert de données conforme aux exigences du RGPD lorsque le traitement par le sous-traitant requiert l’accès aux données en clair.

La pseudonymisation des données exportées.

La pseudonymisation est susceptible de constituer une mesure complémentaire suffisante dans certaines hypothèses. Notamment :
- Lorsque les données sont transférées vers un pays offrant un niveau de protection adéquat et qu’elle transitent brièvement par un pays tiers ;
- Lorsque le destinataire situé dans un pays tiers fait l’objet d’une protection spécifique par le droit local tel que le secret professionnel.

Dans cette configuration, l’exportateur des données devra veiller à ce que les données personnelles ne puissent pas être rattachées à une personne déterminée.

La division des données entre plusieurs sous-traitants.

Le Comité considère que le niveau de protection est suffisant lorsque les données sont divisées entre plusieurs sous-traitants indépendants de telle manière à ce que chaque partie des données ne puisse être attribuée à une personne spécifique sans être corrélées à des informations supplémentaires.

Mesures contractuelles complémentaires.

Dans certaines situations, des mesures contractuelles complémentaires peuvent renforcer les garanties que l’outil de transfert et la législation pertinente du pays tiers peuvent offrir, lorsque, compte tenu des circonstances du transfert, elles ne remplissent pas toutes les conditions requises pour assurer un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE.

A titre d’exemple le CEPD propose de :
- Prévoir l’obligation contractuelle de recourir aux mesures techniques spécifiques développées ci-dessus (chiffrement, pseudonymisation) ;
- Aider l’importateur des données à documenter le niveau de protection offert par la législation locale en annexant un questionnaire au sein duquel il pourrait lister la législation qui lui est applicable et les mesures prises pour prévenir l’accès aux données par les autorités publiques du pays ;
- Prévoir une clause par laquelle l’importateur certifie que son système informatique est exempt de back-door (porte-dérobée) permettant aux autorités locales d’accéder aux données ;
- Prévoir une clause d’audit renforcée par laquelle l’exportateur des données est autorisé à diligenter des inspections des SI du sous-traitant pour vérifier si les données n’ont pas été divulguées aux autorités publiques du pays de destination.

Mesures organisationnelles complémentaires.

En supplément des mesures organisationnelles mises en œuvre dans le cadre de la démarche de conformité au RGPD, certaines mesures organisationnelles supplémentaires pourront être adoptées. Le CEPD promeut notamment la réalisation par les exportateurs de données de politiques internes et de méthodes organisationnelles qu’ils pourraient s’appliquer à eux-mêmes et imposer aux importateurs de données dans les pays tiers. A titre d’exemple, les entreprises pourront prévoir des opérations de sensibilisation ciblées du personnel sur les transferts de données et les demandes d’accès.

En outre, les sous-traitants importateurs de données pourront documenter au sein d’un registre les demandes d’accès en provenance d’autorités publiques. Ce registre sera tenu à disposition de l’exportateur des données.

La roadmap des transferts hors UE.

Afin d‘évaluer la conformité des transferts hors UE et d’adopter les mesures correctives nécessaires les acteurs concernés pourront suivre les 6 étapes suivantes :

Gerard Haas Docteur en droit Avocat associé fondateur du Cabinet HAAS Avocats Anne Charlotte Andrieux Collaboratrice au sein du cabinet HAAS Avocats

[2Arrêt de la CJUE du 16 juillet 2020 dans l’affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland.

[3Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis.