Par donnée personnelle on entend toute information se rapportant à une personne physique identifiée ou identifiable. Le traitement de cette donnée est une opération, ou ensemble d’opérations, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, consultation, utilisation, communication etc..). Le transfert de ces données ne cesse de croître, celles-ci représentant un enjeu considérable pour les acteurs privés comme publics.
Nous aborderons l’impact opérationnel pour les entreprises européennes du transfert de ces données hors de l’Union européenne en trois points :
L’enjeu de ce transfert pour les entreprises européennes (I).
Le cadre général mis en place par le RGPD pour favoriser le transfert de ces données (II).
Les solutions internes que les responsables de traitement doivent mettre en place (III).
I - Le transfert de données hors de l’Union européenne : un enjeu économique pour les entreprises.
Cette donnée présente une valeur certaine :
Le cabinet de conseil et d’audit PwC a chiffré auprès de l’AFP le marché mondial de la donnée personnelle à environ 188 milliards de dollars en 2017, et estime à plus de 7 milliards de dollars la vente directe de données par les entreprises.
Les GAFAM dominent le marché de la donnée estimé en 2020 à plus de 8% du P.I.B en Europe selon le rapport sur la patrimonialité des données du Think-Tank Génération-Libre.
Pour chaque utilisateur européen, Facebook gagne en moyenne 32 euros de revenus publicitaires par an (la quasi-totalité de ses revenus) selon ce même rapport.
En rassemblant les données, les entreprises créent des bases de données agrégées analysables, intéressant particulièrement les annonceurs. Ces bases de données, si elles sont mal encadrées, peuvent engendrer des scandales comme ce fut le cas avec l’affaire Cambridge Analytica en 2018 (utilisation de ces bases de données à des fins politiques, influençant notamment l’élection de D. Trump) et nécessitent donc une régulation.
De surcroit, avec la numérisation des biens et services, les échanges commerciaux reposent de manière croissante sur des flux de données personnelles, nécessitant donc une sécurité accrue, que ce soit pour la confiance des consommateurs, l’image de la société ou même pour la constitution de cadres de transaction sûrs pour les entreprises.
II - Le transfert de données hors de l’Union européenne : un cadre général prévu par le RGPD.
Le règlement général sur la protection des données (RGPD), entré en vigueur au sein de l’Union européenne (UE) en mai 2018 s’applique à toute organisation publique ou privée. Il assure un cadre au traitement des données réalisées dès lors que les données sont traitées sur le territoire de l’UE ou qu’elles sont celles de résidents européens, notamment lors de leur transfert hors de l’UE.
Le RGPD porte sur cinq points majeurs :
Le principe de finalité : le responsable d’un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques dans que dans un but précis, légal et légitime.
Le respect du droit des personnes : il faut permettre aux personnes dont on collecte les données d’exercer leurs droits sur celles-ci.
Le principe de proportionnalité et de pertinence : les information enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier.
Le principe d’une durée de conservation limitée : une durée de conservation précise doit être fixée en fonction du type d’information enregistrée et de la finalité du fichier.
Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité du fichier, et empêcher son accès aux personnes non autorisées.
Le RGPD ne s’applique pas qu’au niveau national, en effet le transfert de données hors de l’Union européenne et de l’Espace Economique Européen (EEE) est possible, à condition d’assurer un niveau de protection des données suffisant et approprié. Pour assurer ce haut niveau de sécurité, ces transferts sont encadrés (au Chapitre V du RDPD) par différents outils juridiques.
Ainsi, ce transfert de données hors UE est encadré par des conditions strictes :
Par une décision d’adéquation (Art. 45 RGPD) : « la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique ».
En l’absence de décision d’adéquation, par un transfert moyennant des « garanties appropriées » (Art. 46 RGPD) : le responsable de traitement ou le sous-traitant doit prévoir des garanties appropriées, évaluées au cas par cas en fonction de la nature des transferts concernés et du pays recevant les données en utilisant des outils mis en place tels que :
Outils ne nécessitant pas d’autorisation de la CNIL :
Des clauses contractuelles types (CCT) protégeant les données. Celles-ci sont adoptées par la Commission européenne.
Des règles internes d’entreprise dites BCR qui sont des politiques de protection des données intra-groupe en matière de transfert des données hors UE encadrant le transfert ; une alternative aux CCT permettant une mise en conformité globale à l’échelle du groupe.
Un code de conduite (devant cependant être approuvé par une autorité de contrôle).
Une certification induisant la mise en place une autorité de contrôle ou un organisme de certification agréé par une autorité de contrôle ou un organisme national d’accréditation.
Des instruments juridiques contraignants.
Outils nécessitant une autorisation de la CNIL :
Des clauses contractuelles spécifiques stipulées entre le responsable d’un fichier ou un sous-traitant et un autre responsable de fichier, sous traitant ou un destinataire des données.
Des dispositions à intégrer dans des arrangements administratifs énoncées entre les autorités ou organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.
En l’absence de « garanties appropriées » le transfert peut être réalisé par dérogation en cas de situations particulières.
III - Le transfert de données hors de l’Union européenne : la responsabilité des entreprises.
Conformément au principe de responsabilité, c’est l’organisme qui transfert les données qui doit évaluer si les données transférées seront suffisamment protégées dans l’Etat qui les reçoit : ce n’est ni aux juridictions ni aux autorités de réaliser ces évaluations, même si elles délivrent des conseils pour aider le plus possible les entreprises. Si le pays tiers n’a pas fait l’objet d’une décision d’adéquation, qui permet au transfert de données d’être réalisé librement, les responsables de traitement et les sous-traitants doivent appliquer une méthode en trois points :
Un recensement juridique et technique : identifier l’ensemble des transferts de données hors de l’UE à travers la vérification :
- Des données liées aux outils numériques comme les logiciels internes (volet technique).
- Des contrats (volet juridique).
Une évaluation de la légalité de chacun des transferts : évaluer les lois de l’Etat tiers vers lequel les données seront transférées. Les CNIL européennes ont détaillé les garanties essentielles qui vient être assurées par la législation de l’Etat tiers pour déterminer si des mesures supplémentaires doivent être mises en place :
- Les entreprises doivent vérifier que l’accès et l’utilisation des données par des autorités reposent sur des règles claires, précises et accessibles.
- La nécessité et la proportionnalité des traitements doit être démontrée.
- Un mécanisme de surveillance indépendant doit être mise en place.
- Les personnes concernées doivent disposer de voies de recours effectives.
Un plan d’action : permettant, si nécessaire, la mise en conformité avec le cadre juridique applicable au traitement des données notamment à travers les outils d’encrassement des transferts (CCT, BCR) et des mesures supplémentaires, qui peuvent être des mesures :
- Techniques, tel un chiffrement ou une pseudomysation des données.
- Organisationnelles, notamment en assurant un stockage externe dans un pays où la législation est conforme.
- Juridiques, tel que l’imposition contractuelle de mesures techniques ou organisationnelles.
Les grandes entreprises possédant des filiales dans différent Etats peuvent également mettre en place des règles d’entreprises contraignantes : les BCR (binding corporate rules). Ce mécanisme est une alternative aux CCT. À l’aide d’une convention intra-groupe les entreprises mettent en place une politique de gestion des données imposées à toutes les filiales, traduisant l’exemplarité des groupes ayant décidé de les mettre en œuvre.
Depuis l’invalidation du Privacy Shield de l’arrêt Schrems 2, l’exportateur et l’importateur doivent évaluer si la législation de l’Etat tiers permet de prévoir ce niveau de protection des données, ce qui est impossible à l’heure actuelle avec Etats-Unis.