Un mois de juin riche sur le front des transferts de données

L’actualité de  la protection des données personnelles a été très riche en ce mois de juin 2021 dans le domaine des transferts vers des pays en dehors de l’Union Européenne.

Rappelons qu’à partir du moment où des données concernant des personnes se trouvant sur le territoire communautaire sont traitées dans un pays tiers, on est en présence d’un transfert de données qui impose à l’exportateur de veiller à ce que leur niveau de protection reste équivalent à celui en vigueur au sein de la zone RGPD (article 44 et suivants du RGPD).

Un tel niveau de protection peut être atteint si les données sont transférées vers un des quelques Etats bénéficiant d’une “décision d’adéquation” de la Commission européenne grâce à leur droit interne, ou grâce à des “garanties appropriées”, dont le principal instrument est le recours aux clauses contractuelles types (CCT) de la Commission.

Première mise à jour de l’ère post-RGPD des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers

Le 4 juin, la Commission européenne a publié une mise à jour des CCT, pour la première fois depuis 2010, venant enfin y intégrer certaines notions et mécanismes introduits par le RGPD entré en application en mai 2018.

Une nouvelle approche par “modules” à sélectionner permet aux responsables de traitement (RT) et sous-traitants (ST) de couvrir plusieurs types de transfert :

• de RT à RT ;
• de RT à ST ;
• de ST à ST ;
• de ST à RT.

Les CCT de 2010 ne couvraient que les transferts de RT à ST, obligeant les exportateurs de données à utiliser des clauses de 2001 ou 2004 pour couvrir d’éventuels transferts de RT à RT.

Les anciennes clauses peuvent encore être utilisées pendant trois mois, jusqu’en septembre 2021, date qui marquera le début d’une période de 15 mois au terme de laquelle tous les transferts de données devront être régis par les dernières clauses. Il est donc à retenir que d’ici fin 2022, les nouvelles clauses devront avoir remplacé les anciennes chaque fois qu’elles étaient en place, quelle que soit l’année de début du transfert.

Le texte des clauses :

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_fr

Plus d’informations sur le site de la CNIL :

https://www.cnil.fr/fr/les-clauses-contractuelles-types-cct-de-la-commision-europeenne

BREXIT et RGPD : Une décision d’adéquation est octroyée au Royaume-Uni (pour le moment)

Ce n’est que le 18 juin que la Commission européenne a finalement adopté, à l’unanimité, sa décision d’adéquation concernant le Royaume-Uni. Rappelons que l’échéance convenue pour obtenir un tel accord avait été fixée au 1er juillet 2021. Grâce à cette décision très attendue des deux côtés de la Manche, le Royaume-Uni rejoint le club très fermé des Etats dont la Commission européenne estime que le droit interne offre un niveau de protection des données personnelles équivalent à celui conféré par le RGPD (Andorre, Argentine, Canada, Îles Féroé, Israël, Japon, Nouvelle-Zélande, Suisse et Uruguay, et trois territoires britanniques Guernesey, Île de Man et Jersey).

Concrètement, cela signifie que les échanges de données vers le Royaume-Uni resteront assimilés aux autres flux transfrontaliers existant entre les Etats-membres, sans nécessiter la mise en place d’un autre dispositif de garanties appropriées.

C’est évidemment une excellente nouvelle pour un grand nombre d’entreprises britanniques dont les activités auraient pu durablement pâtir d’une absence d’accord, qui les aurait contraints à encadrer via des CCT tout flux de données, au risque de perdre des clients préférant éviter toute complication de ce genre. Les pertes potentielles dans un tel cas ont été estimées à 85 milliards de livres sterling.

Cette décision est toutefois accompagnée de réserves. En effet, le Royaume-Uni étant actuellement en train de réformer son droit interne dans le cadre du Brexit, afin de se séparer progressivement de l’influence et de l’héritage communautaires, il envisagerait de s’écarter de certaines normes fixées par le RGPD, afin notamment de stimuler l’innovation et la croissance. La Commission européenne a bien précisé que toute réforme ayant pour conséquence de réduire le niveau de protection des données traitées au Royaume-Uni impliquerait aussitôt la fin de l’accord relatif à son adéquation. Elle restera donc attentive aux évolutions législatives des prochains mois, cette adéquation restant donc précaire.

https://www.zdnet.fr/actualites/rgpd-une-decision-d-adequation-est-octroyee-au-royaume-uni-pour-le-moment-39924967.htm

La Commission européenne a également annoncé le 16 juin le lancement d’un processus devant conduire à l’adoption d’une décision d’adéquation pour la Corée du Sud, dont le droit de la protection des données a connu une importante réforme en août 2020.

https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_2964

EDPB : Publication de la version finale des recommandations sur les mesures supplémentaires

Comme évoqué dans notre article de novembre dernier, l’EDPB avait déjà proposé ses recommandations sur les mesures “supplémentaires” pouvant être mises en œuvre par les responsables de traitement dans le cadre de transferts de données vers des pays n’offrant pas un niveau suffisant de protection, malgré la mise en place d’accords de transferts basés sur les CCT. La consultation publique étant terminée, les mesures sont aujourd’hui publiées.

Ces mesures supplémentaires mettent notamment l’accent sur les vérifications des pratiques mises en œuvre par les autorités publiques des pays destinataires.

En cas de transfert de données vers les Etats-Unis, au regard des informations dont on dispose sur les pouvoirs des agences de renseignement, il peut par exemple être approprié d’associer CCT et mesures supplémentaires, selon la nature des traitements et des données concernées.

https://edpb.europa.eu/news/news/2021/edpb-adopts-final-version-recommendations-supplementary-measures-letter-eu_en (en anglais)

https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferst

Pour conclure sur le sujet, voici à nouveau le diagramme créé par l’EDPB pour synthétiser les vérifications s’imposant dans le cadre de la mise en place d’un transfert de données :

Je partage

Derniers articles

attaques sur le bitcoin

Cybersécurité

Découvrons les attaques sur le Bitcoin

Introduction des attaques sur le Bitcoin: Nous avons vu dans l’article précédent le principe de fonctionnement de Bitcoin. Aujourd’hui, nous allons découvrir les attaques connues affectant le système Bitcoin. Dans ce domaine, des attaquants qui invalideraient les transactions, ou encore s’octroieraient des unités de crypto-monnaies par une quelconque manière, pourraient faire chuter la valeur de […]

Lire l'article

transferts de données personnelles hors europe

Privacy

Un mois de juin riche sur le front des transferts de données

L’actualité de  la protection des données personnelles a été très riche en ce mois de juin 2021 dans le domaine des transferts vers des pays en dehors de l’Union Européenne. Rappelons qu’à partir du moment où des données concernant des personnes se trouvant sur le territoire communautaire sont traitées dans un pays tiers, on est […]

Lire l'article