Un mois de juin riche sur le front des transferts de données

L’actualité de la protection des données personnelles a été très riche en ce mois de juin 2021 dans le domaine des transferts vers des pays en dehors de l’Union européenne (UE).

Rappelons qu’à partir du moment où des données concernant des personnes se trouvant sur le territoire communautaire sont traitées dans un pays tiers, on est en présence d’un transfert de données qui impose à l’exportateur de veiller à ce que leur niveau de protection reste équivalent à celui en vigueur au sein de la zone RGPD (article 44 et suivants du Règlement Général sur la Protection des Données).

Un tel niveau de protection peut être atteint si les données sont transférées vers un des quelques États bénéficiant d’une décision d’adéquation de la Commission européenne grâce à leur droit interne, ou grâce à des « garanties appropriées », dont le principal instrument est le recours aux clauses contractuelles types (CCT) de la Commission.

Première mise à jour de l’ère post-RGPD des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers

Le 4 juin, la Commission européenne a publié une mise à jour des CCT, pour la première fois depuis 2010, venant enfin y intégrer certaines notions et mécanismes introduits par le RGPD, qui est entré en application en mai 2018.

Une nouvelle approche par « modules » à sélectionner permet aux responsables de traitement (RT) et sous-traitants (ST) de couvrir plusieurs types de transfert :

• de RT à RT
• de RT à ST
• de ST à ST
• de ST à RT

Les CCT de 2010 ne couvraient que les transferts de RT à ST, obligeant les exportateurs de données à utiliser des clauses de 2001 ou 2004 pour couvrir d’éventuels transferts de RT à RT.

Les anciennes clauses peuvent encore être utilisées pendant trois mois, jusqu’en septembre 2021, date qui marquera le début d’une période de 15 mois au terme de laquelle tous les transferts de données devront être régis par les dernières clauses. Il est donc à retenir que d’ici fin 2022, les nouvelles clauses devront avoir remplacé les anciennes chaque fois qu’elles étaient en place, quelle que soit l’année de début du transfert.

➤ Le texte des clauses : site web Europa.eu

➤ Plus d’informations sur le site de la CNIL : site web de la CNIL

Brexit et RGPD : Une décision d’adéquation est octroyée au Royaume-Uni (pour le moment)

Ce n’est que le 18 juin que la Commission européenne a finalement adopté, à l’unanimité, sa décision d’adéquation concernant le Royaume-Uni. Rappelons que l’échéance convenue pour obtenir un tel accord avait été fixée au 1er juillet 2021. Grâce à cette décision très attendue des deux côtés de la Manche, le Royaume-Uni rejoint le club très fermé des États dont la Commission européenne estime que le droit interne offre un niveau de protection des données personnelles équivalent à celui conféré par le RGPD (Andorre, Argentine, Canada, Îles Féroé, Israël, Japon, Nouvelle-Zélande, Suisse et Uruguay, et trois territoires britanniques Guernesey, Île de Man et Jersey).

Concrètement, cela signifie que les échanges de données vers le Royaume-Uni resteront assimilés aux autres flux transfrontaliers existant entre les États-membres, sans nécessiter la mise en place d’un autre dispositif de garanties appropriées.

C’est évidemment une excellente nouvelle pour un grand nombre d’entreprises britanniques dont les activités auraient pu durablement pâtir d’une absence d’accord, qui les aurait contraints à encadrer via des CCT tout flux de données, au risque de perdre des clients préférant éviter toute complication de ce genre. Les pertes potentielles dans un tel cas ont été estimées à 85 milliards de livres sterling.

Cette décision est toutefois accompagnée de réserves. En effet, le Royaume-Uni étant actuellement en train de réformer son droit interne dans le cadre du Brexit, afin de se séparer progressivement de l’influence et de l’héritage communautaires, il envisagerait de s’écarter de certaines normes fixées par le RGPD, afin notamment de stimuler l’innovation et la croissance. La Commission européenne a bien précisé que toute réforme ayant pour conséquence de réduire le niveau de protection des données traitées au Royaume-Uni impliquerait aussitôt la fin de l’accord relatif à son adéquation. Elle restera donc attentive aux évolutions législatives des prochains mois, cette adéquation restant donc précaire.

➤ site de Zdnet

La Commission européenne a également annoncé le 16 juin le lancement d’un processus devant conduire à l’adoption d’une décision d’adéquation pour la Corée du Sud, dont le droit de la protection des données a connu une importante réforme en août 2020.

➤ site d’Europa.eu Presscorner

EDPB : Publication de la version finale des recommandations sur les mesures supplémentaires

Comme évoqué dans notre article « L’EDPB lance une consultation publique pour son projet de recommandations sur les transferts de données », l’EDPB avait déjà proposé ses recommandations sur les mesures « supplémentaires » pouvant être mises en œuvre par les responsables de traitement dans le cadre de transferts de données vers des pays n’offrant pas un niveau suffisant de protection, malgré la mise en place d’accords de transferts basés sur les CCT. La consultation publique étant terminée, les mesures sont aujourd’hui publiées.

Ces mesures supplémentaires mettent notamment l’accent sur les vérifications des pratiques mises en œuvre par les autorités publiques des pays destinataires.

En cas de transfert de données vers les États-Unis, au regard des informations dont on dispose sur les pouvoirs des agences de renseignement, il peut par exemple être approprié d’associer CCT et mesures supplémentaires, selon la nature des traitements et des données concernées.

➤ site d’Europa.eu : Edpb adopts final version recommendations supplementary measures letter eu_en

Pour conclure sur le sujet, voici à nouveau le diagramme créé par l’EDPB pour synthétiser les vérifications s’imposant dans le cadre de la mise en place d’un transfert de données :

Je partage