3e volet de notre série sur l'arrêt Schrems II.
- Privacy Shield - Le coup d’arrêt de la CJUE pour les transferts vers les USA
- Transferts vers les USA : point d’étape sur les clauses contractuelles type de l'UE
- Transfert des données hors UE : les 6 étapes à suivre !
La CJUE a invalidé le Privacy Shield le 16 juillet dernier et a rappelé le devoir de responsabilité des acteurs impliqués dans les transferts de données hors de l’UE et de l’EEE. En particulier, les exportateurs (dans un pays européen) doivent s’assurer que les importateurs (dans un pays tiers) utilisent les données avec un niveau de protection équivalent au droit européen.
Le comité européen de protection des données (CEPD) ou autrement connu sous le nom de european data protection board (EDPB), réunissant l’ensemble des autorités de contrôle de protection des données des membres de l’UE (ainsi que l’Islande, la Norvège et le Liechtenstein mais sans droits de vote) a publié ce jour des recommandations sur les mesures complémentaires qui doivent être prises pour assurer les transferts de données en dehors de l’espace économique européen (EEE).
Ces recommandations sont soumises à consultation publique jusqu'au 21 décembre avant publication définitive.
Le CEPD identifie 6 étapes à suivre pour réaliser un transfert de données hors EEE :
- Cartographier ses transferts hors EEE et s’assurer pour chacun d’eux que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire pour accomplir la finalité et l’objectif du transfert.
- Vérifier la garantie légale utilisée pour effectuer le transfert. Soit vers un pays bénéficiant d’une décision d’adéquation, soit en utilisant un outil prévu à l’article 46 du RGPD (clauses contractuelles type, règles contraignantes d’entreprise, arrangements administratifs, code de conduite, certifications ou encore clauses autorisées par les autorités de contrôle), soit une dérogation prévue à l’article 49 du RGPD sous réserve de répondre aux conditions (caractère exceptionnel notamment).
- Analyser les lois et réglementations des pays cibles des transferts afin de s’assurer que rien ne contrevient à l’effectivité des garanties utilisées. En particulier en cas d’utilisation d’outils prévus à l’article 46 du RGPD. L’analyse doit être effectuée au regard des exigences essentielles européennes développées par la jurisprudence européenne (Schrems I et II notamment) et précisées par le CEPD. Celui-ci a publié une nouvelle version de ses recommandations sur ce qui est attendu par les garanties européennes essentielles pour assurer un niveau de protection équivalent (en anglais ici). Il rappelle qu’il convient de prendre en compte en particulier les lois autorisant les accès aux données par les autorités publiques dans un objectif de surveillance qui sont ambiguës ou non publiques. En l’absence de lois sur l’accès aux données par les autorités publiques, l’analyse doit prendre en compte des facteurs objectifs et pertinents. Cette analyse doit comprendre des vérifications nécessaires et être documentée conformément au principe de responsabilité.
L’analyse peut être effectuée à l’aide de la documentation du CEPD, de la CEDH, des décisions d’adéquation existantes, des résolutions de l’ONU, du Conseil de l’Europe et d’organisations internationales, de jurisprudences locales et de rapports institutionnels ou d’ONG. - Identifier et adopter des mesures complémentaires nécessaires pour arriver à un niveau équivalent aux standards européens. Cette étape est nécessaire si les outils prévus à l’article 46 du RGPD ne suffisent pas au regard du droit local (analysé à l’étape 3).
Les mesures doivent être prises au regard des éléments suivants : format des données, nature des données, complexité du parcours des données, nombre d’acteurs impliqués, transferts ultérieurs.
Le CEPD propose un certain nombre de mesures techniques (chiffrement, séparation de traitement, pseudonymisation), contractuelles (transparence des obligations, droits des personnes), et organisationnelles (politique interne, transparence, procédures etc.). Les mesures doivent être justifiées et documentées. Si elles ne sont pas suffisantes, le transfert doit être suspendu. - Réaliser toute formalité préalable à la mise en œuvre de l’outil de transfert en fonction de l’outil choisi (les BCR nécessitent d’être approuvées par l’autorité de contrôle, les clauses contractuelles types modifiées doivent être autorisées par l’autorité de contrôle).
- Réévaluer régulièrement les transferts de données au regard de la régularité des transferts et modifications éventuelles conformément au principe de responsabilité (accountability). En particulier, des mécanismes doivent être mis en œuvre pour suspendre immédiatement le transfert dès lors que l’importateur ne peut plus respecter l’outil mis en œuvre et/ou que les mesures complémentaires ne sont plus suffisantes (la méthode de chiffrement aurait été cassée par exemple).
Pour participer à la consultation publique, c’est ici.
PS : Lors de sa 42e séance plénière du 19 novembre 2020, le CEPD a prolongé le délai pour la consultation publique à la demande de nombreuses organisations jusqu'au 21 décembre 2020.
PS 2 : on est en train de préparer un module d'audit permettant de vérifier facilement toutes ces étapes ! On vous tient au courant !