L’EDPB lance une consultation publique pour son projet de recommandations sur les transferts de données

La Cour de Justice de l’Union européenne (CJUE) a rappelé en juillet 2020 dans son arrêt Schrems II, ayant notamment invalidé le dispositif de Privacy Shield autorisant, sous certaines conditions, les transferts de données vers les États-Unis, que la protection dont bénéficient les données personnelles au sein de l’Espace Économique européen (EEE) doit voyager avec elles et qu’il appartenait aux exportateurs de données de vérifier au cas par cas l’efficacité des garanties mises en place lors des transferts sur la base de l’article 46 du Règlement Général sur la Protection des Données (RGPD).

Afin d’aider les exportateurs de données, agissant aussi bien en tant que responsable de traitement que sous-traitant, le Comité européen de la protection des données (EDPB ou CEPD en français) a adopté le 10 novembre ses recommandations [1] pour permettre aux entreprises d’assurer, lors de leurs transferts de données vers de pays tiers à l’EEE, un niveau de protection équivalent à celui auquel ils sont tenus par le RGPD.

Ces recommandations, ouvertes aux commentaires jusqu’au 21 décembre 2020, consistent en six étapes que les exportateurs doivent suivre pour garantir la validité de leurs transferts de données, complétées par des exemples de mesures supplémentaires pouvant être mises en œuvre pour y parvenir quand les engagements contractuels ne suffisent pas.

Les arrêts Schrems I et Schrems II ont en effet mis à jour l’incapacité des importateurs de données établis aux États-Unis, et plus généralement dans les pays tiers à l’EEE, de répondre à l’ensemble des exigences contractées quand le droit local permet aux autorités de passer outre, dans des conditions allant au-delà de ce que justifient les principes de nécessité et de proportionnalité en vigueur dans des États de droit.

Les recommandations de l’EDPB en 6 étapes

1) Connaître ses transferts

Cela passe par une nécessaire cartographie de tous les flux de données vers des pays tiers, et la vérification de l’adéquation, de la pertinence et de la minimisation au regard des finalités en vue desquelles les données sont transférées et traitées.

2) Identifier les mécanismes fondant ces transferts

Les exportateurs de données doivent à ce stade vérifier qu’ils ont bien mis en œuvre des mécanismes adaptés et conformes au RGPD pour protéger les données.

Ces mécanismes incluent :

○ les clauses contractuelles types de la Commission européenne

○ les règles d’entreprise contraignantes 

○ les codes de conduite approuvés par des autorités de contrôle 

○ les mécanismes de certification 

○ les clauses contractuelles ad hoc

3) Évaluer l’efficacité du mécanisme au regard de la législation du pays tiers

Le mécanisme choisi ne suffisant pas toujours, pour la bonne raison que les États ne sont pas liés par les contrats conclus par l’importateur et l’exportateur, il appartient à ce dernier de s’assurer de son efficacité pratique, au regard des circonstances suivantes :

○ finalités du transfert et du traitement

○ type d’entités concernées (publiques, privées, RT, ST)

○ secteur d’activité

○ catégories de données traitées

○ le fait que les données soient stockées dans le pays tiers ou seulement consultables à distance depuis l’État-membre de l’Union européenne (UE), ce qui reste juridiquement considéré comme un traitement et un transfert de données)

○ le format des données (en clair, pseudonymisées ou chiffrées)

○ La possibilité de transfert ultérieur vers un autre pays tiers

L’exportateur doit également vérifier si des dispositions du droit applicable pourraient empiéter sur les engagements pris dans le cadre du mécanisme retenu, en prêtant une attention particulière aux lois encadrant les conditions d’accès des autorités publiques aux données personnelles . Si ces pouvoirs sont limités à ce qui est nécessaire et proportionné dans une société démocratique, ils ne peuvent pas empiéter sur les engagements pris via les mécanismes de transfert définis par le RGPD .

Dans le cadre de cette évaluation de la législation du pays destinataire, l’exportateur pourra s’appuyer sur les quatre garanties essentielles européennes en matière de surveillance, également dégagées par le CEPD en novembre 2020 [2], pour apprécier le caractère proportionné des ingérences des mesures de surveillance déployées par un pays tiers :

a) Le traitement doit être basé sur des règles claires, précises et accessibles

b) La nécessité et la proportionnalité avec la poursuite d’objectifs légitimes doivent être démontrées.

c) Un mécanisme de contrôle indépendant doit être en place.

d) Les individus doivent pouvoir bénéficier de voies de recours efficaces.

4) Adopter des mesures supplémentaires nécessaires pour élever le niveau de protection des données à celui en vigueur dans l’EEE

Si l’évaluation réalisée à l’étape précédente révèle l’inefficacité du mécanisme de transfert choisi, l’exportateur devra en effet envisager, avec l’importateur, la mise en place de mesures supplémentaires. Si aucune mesure supplémentaire ne permet d’atteindre un tel résultat, le transfert devra être évité, suspendu ou prendre fin.

Les mesures contractuelles ou organisationnelles seules ne permettront généralement pas de surmonter l’accès aux données par les autorités publiques du pays tiers, lorsque cet accès interférerait de manière injustifiée avec les obligations du RT d’assurer une protection des données équivalente à celle en vigueur en UE. Dans certaines situations, seules des mesures techniques pourront entraver ou rendre inefficace cet accès par les autorités.

L’EDPB fournit à cet effet, dans une annexe représentant près de la moitié de la recommandation, des exemples de mesures techniques, contractuelles et organisationnelles pouvant être adoptées par l’exportateur et l’importateur, selon les circonstances du transfert. Elle présente différents scénarios de transfert et des exemples de mesure efficaces et des situations dans lesquelles aucune mesure efficace n’a pu être trouvée.

En voici quelques exemples, pour les mesures techniques :

○ scénario 1 : le transfert porte sur données stockées à des fins de sauvegarde, sans nécessité d’accès en clair.

➤ Une mesure efficace serait de chiffrer les données avant le transfert, selon un algorithme dont les clefs de déchiffrement ne seraient détenues que par l’exportateur de données.

○ scénario 2 : le traitement réalisé par l’importateur ne requiert pas qu’il ait accès à l’intégralité des données identifiantes.

➤ Une mesure efficace serait de pseudonymiser les données avant le transfert, en conservant les informations permettant de reconstituer l’identité des personnes chez l’exportateur uniquement.

○ scénario 3 : transferts vers des prestataires cloud ou autres sous-traitants ayant besoin de stocker les données en clair

➤ Aucune mesure efficace n’a pu être trouvée pour protéger les données dans une telle situation.

Des mesures contractuelles pourraient également être envisagées, mais elles devront nécessairement être combinées avec des mesures techniques et organisationnelles, les autorités ne pouvant être liées par le contrat.

Quelques exemples :

○ obligations de transparence de la part de l’importateur des données :

● énumérer les lois et règlements applicables à l’importateur dans le pays tiers, concernant les conditions dans lesquelles il pourrait être amené à permettre aux autorités d’accéder aux données

● indiquer les mesures prises pour prévenir de tels accès

● fournir des informations détaillées sur toutes les demandes d’accès aux données par les autorités reçues par l’importateur (type de données demandées, origine de la demande, base juridique fondant la demande de divulgation et les suites données aux demandes)

● préciser dans quelle mesure il pourrait être interdit à l’importateur de communiquer les informations énumérées à tous les points précédents

Ces éléments pourraient être recueillis au moyen d’un questionnaire, idéalement transmis préalablement à la conclusion du contrat, pour permettre à l’exportateur d’avoir connaissance de l’ensemble des facteurs à prendre en compte pour décider, le cas échéant, de renoncer à conclure le contrat, de le suspendre ou d’y mettre fin.

○ des clauses d’audit pour vérifier régulièrement chez l’importateur si des données ont pu être communiquées aux autorités et dans quelles conditions.

○ des clauses renforçant l’obligation de l’importateur d’informer, le cas échéant, de son incapacité à respecter les engagements contractuels.

L’EDPB conclut cette annexe avec des exemples de mesures organisationnelles, citons par exemple :

○ des politiques internes de gouvernance au sein de groupes d’entreprises, décrivant par exemple la répartition des responsabilités autour des transferts de données, notamment avec la création d’une équipe dédiée établie dans l’EEE, composée d’experts informatiques et juridiques, des procédures de remontées d’informations à la direction en cas de demande d’accès par une autorité et les mesures à prendre pour les contester.

○ des obligations de documentation et d’enregistrement de toutes les demandes d’accès et de communication à l’exportateur, notamment pour lui permettre d’informer à son tour les personnes concernées.

○ des mesures relatives à la minimisation des données.

5) Accomplir l’ensemble des formalités que pourrait imposer l’adoption des mesures, pour en garantir la validité

Il pourrait dans certains cas être nécessaire de réaliser certaines formalités, notamment si les mesures ont pour nature de modifier, voire contredire, les Clauses contractuelles types (CCT). Dans un tel cas, il faut considérer que les clauses ne sont plus standards et obtenir l’autorisation spécifique de l’autorité de contrôle.

6) Évaluer régulièrement l’efficacité des mesures adoptées

Cette étape impose de surveiller de manière continue les évolutions dans le pays tiers et les conditions de déroulement du transfert qui pourraient remettre en cause l’évaluation faite à l’étape 3, afin de pouvoir suspendre ou mettre fin aux transferts si :

○ L’importateur n’a pas été en mesure d’honorer les engagements pris dans l’outil de transfert mis en œuvre.

○ Les mesures supplémentaires ne peuvent plus être en vigueur dans le pays tiers.

[1] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (adopted on 10 November 2020)

[2] Recommendations 02/2020 on the European Essential Guarantees for surveillance measures (adopted on 10 November 2020)

Je partage