L’article 46 du Règlement Général de Protection des Données (RGPD) dispose qu’en l’absence de décision d’adéquation de la Commission, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que :
a) s’il a prévu des garanties appropriées et
b) à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Ensuite le paragraphe 2 de ce même article détaille comment les garanties appropriées peuvent être fournies en citant notamment les clauses types de protection des données adoptées par la Commission.
Le considérant 108 du RGPD explique que la genèse de ces garanties est de compenser l’insuffisance de la protection des données dans le pays tiers en faveur de la personne concernée. Ces garanties devraient donc assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers (ci-après les « Droits de Recours »).
En dehors de termes couvrant les garanties appropriées le RGPD est silencieux sur comment évaluer ou déterminer que les personnes concernées disposent des Droits de Recours.
Par contre le paragraphe 2 de l’article 45 du RGPD, qui couvre les transferts fondés sur une décision d’adéquation, adresse cette évaluation en disposant que lorsque la Commission évalue le caractère adéquat du niveau de protection elle tient compte, en particulier, des éléments suivants :
a) [------------] les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées ;
b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, [--------------] chargées [------------------------] d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits [------------] ;
En conséquence et en application de l’article 46, il appartiendrait au responsable du traitement d’évaluer la loi du pays où est localisé son sous-traitant comme le fait la Commission dans une décision d’adéquation. La seule signature des clauses types de protection des données ne serait pas suffisante pour être en conformité avec la condition que les personnes concernées disposent de Droits de Recours effectifs.
En effet dans les clauses types de protection des données l’exportateur de données accepte une serie d’obligations très contraignantes afin de proteger la personne concernée, notamment :
Garantir qu’il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses.
Garantir que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.
Et aussi une obligation de stipulation pour autrui afin de garantir qu’en cas de disparition de l’exportateur de données, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données.
Cette nécessite de protéger le droit des personnes concernées dans le cadre d’un transfert des données à caractère personnel vers un pays tiers devrait se retrouver dans les termes et conditions de service des entreprises.
Après une recherche rapide en France on constate que ce n’est pas le cas, par exemple :
Les informations relatives à l’abonné recueillies par [________] sont traitées dans le cadre de l’exécution du présent contrat conformément aux dispositions de la loi N° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Elles peuvent le cas échéant faire l’objet d’un transfert vers un pays hors de l’Union européenne aux fins de l’exécution du contrat.
Dans le cadre d’un transfert vers un pays hors Union européenne, des règles assurant la protection et la sécurité de ces données ont été mises en place.
Ce n’est pas avec des termes aussi généraux que les personnes concernées peuvent comprendre l’étendue de leurs droits et contre qui les exercer en qualité de tiers bénéficiaire.
Par contre les entreprises qui ont mis en place les règles d’entreprise contraignantes ou qui ont adopté le ‘US Privacy Shield’, offrent des termes beaucoup plus précis et informatifs concernant les droits d’opposabilité et les voies de recours dont bénéficient les personnes concernées.
En conséquence dans le cadre d’un transfert des données à caractère personnel vers un pays tiers il appartient au responsable de traitement, en plus de la signature des clauses types de protection des données, de procéder à une sorte de décision d’adéquation afin de s’assurer que la loi du pays du sous-traitant permet aux personnes concernées de disposer des Droits de Recours effectifs, et de les informer correctement des droits dont elles disposent. Fort de cette évaluation il faudrait aussi que l’exportateur des données entre dans un contrat spécifique avec l’importateur des données afin de rendre effectif les Droits de Recours en particulier dans le cas de la disparition de l’exportateur des données.
Il convient donc de s’interroger sur la réelle applicabilité des clauses types de protection des données. Ainsi et afin de se conformer au RGPD et réduire les risque de non-applicabilité, l’exportateur des données a tout intérêt à s’engager avec un importateur des données qui est une filiale d’un groupe localisé en Europe et en exigeant une sorte de garantie de la maison mère européenne afin d’honorer les engagements de sa filiale si celle-ci venait à faire défaut ou si l’exportateur des données venait à disparaître.