L ’application des 8 règles d’or du RGPD est le fondement de la protection des données en Europe. Ces règles protectrices doivent être respectées y compris quand les données sortent de l’Union européenne (UE) et de l'Espace Economique Européen (EEE).
Ainsi, le RGPD pose le principe fondamental selon lequel tout transfert de données personnelles en dehors de l'UE/EEE est interdit !
Sauf sous certaines exceptions... La plus importante d’entre elles est le consentement de la personne, qui permet de traiter ses données et de les transférer en dehors de l’UE alors même que les autres conditions plus strictes ne seraient pas remplies.
Le responsable du traitement devra informer la personne concernée de l'existence ou non d’une décision d’adéquation ou de toute autre mesure protectrice de ses droits.
Mais en pratique, se fonder sur le consentement de la personne est quasi impossible, c’est pourquoi il faudra justifier le transfert par le biais d’un autre moyen (voir plus en avant section « Sous quelles conditions peut être autorisé un transfert de données hors UE ? »).
Les articles 44 et suivants du RGPD posent les autres règles pour transférer des données.
L’idée ici est de répondre aux enjeux d'un monde globalisé en permettant les transferts de données tout en protégeant les données à caractère personnel des résidents européens. Plusieurs États dans le monde adaptent leur législation pour "coller" au RGPD afin de favoriser les transferts et bénéficier du marché européen.
Définition et identification des données faisant l'objet d'un transfert hors UE
Définition du transfert hors UE
Il n'en existe pas de définition légale. La CNIL le définit comme tout transfert de données, effectué par tout moyen de communication, copie ou déplacement de données par l’intermédiaire d’un réseau ou d’un support, quel que soit le type de support, depuis le territoire européen vers un pays situé en dehors de l’Union européenne.
Le Comité européen de protection des données a récemment publié des lignes directices sur la notion de transfert par lesquelles il donne une définition.
Les orientations définissent trois critères cumulatifs pour déterminer s'il s'agit d'un transfert de données personnelles vers un pays tiers. Cela signifie que si un traitement répond à ces trois critères, il constituera un transfert au sens du chapitre V du RGPD.
Les trois critères sont les suivants :
- Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.
- Ce responsable du traitement ou ce sous-traitant ("exportateur") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant ("importateur") des données à caractère personnel faisant l'objet de ce traitement.
- L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.
Méthodologie
La CNIL nous donne ses recommandations pour identifier et traiter les transferts hors UE: recenser les transferts en vérifiant ses outils numériques et ses contrats, déterminer la criticité des traitements pour l'entreprise, évaluer si les transferts disposent d'une base légale, tout en se dotant d'un outil permettant de suivre tous les transferts hors UE.
Identification des données faisant l'objet du transfert
Le RGPD s’applique aux données personnelles, y compris celles qui sont codées et chiffrées, mais ne concerne pas les données anonymisées.
La bulle de protection doit suivre les données, peu importe où elles sont transmises, et le RGPD doit être respecté par tous les destinataires successifs.
Sous quelles conditions peuvent être autorisés les transferts de données personnelles hors UE ?
La Commission Européenne maintient une liste recensant les pays ayant un niveau d’adéquation avec le RGPD. Cette adéquation est fonction du niveau de protection accordé par l'Etat, qui en encadre la collecte, la conservation et l'utilisation des données personnelles.
Liste des pays adéquats
Pays adéquats :
- Andorre,
- Argentine,
- Suisse,
- Iles Féroé,
- Guernesey,
- Israël,
- Ile de Man,
- Nouvelle-Zélande,
- Uruguay,
- Japon,
- Royaume Uni
Pays en adéquation partielle :
- Canada pour le secteur commercial
Pays non adéquats = Etats-Unis, Russie, Australie, Inde…
Transfert vers un pays non adéquat
Lorsque le pays de transfert n’est pas adéquat, le transfert de données personnelles vers ce pays nécessite d’être encadré par des outils de transfert, qui sont résumés dans le diagramme suivant :
En surplus de ces encadrements, en France, l’autorisation préalable de la CNIL est nécessaire dans 2 cas :
• L’accord modifie la substance des clauses principales des CCT prises par la Commission
• Les dispositions sont à intégrer dans des arrangements administratifs entre les autorités publiques ou organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.
Transfert vers un pays adéquat
Dès lors qu'une décision d'adéquation à été prise, les données peuvent être transférées vers une autre entreprise établie dans un pays tiers sans que l’exportateur des données ne doive fournir d’autres garanties ou être soumis à d’autres conditions. Autrement dit, les transferts vers un pays tiers «adéquat» seront assimilés à un transfert de données au sein de l’UE.
Toutefois, tout transfert de données hors de l’UE doit être indiqué dans le registre des traitements, et le responsable de traitement devra veiller à l’inclure dans l’information qu’il fournit aux personnes, au titre des articles 13 et 14 du RGPD.
Les évolutions des règles autours du transfert de données hors UE
Depuis l’arrêt Schrems II du 16 juillet 2020, un réexamen des clauses contractuelles types est nécessaire. En effet, cet arrêt ayant invalidé le Privacy Shield a également conduit à remettre en cause la validité de certaines de ces clauses.
Désormais, les clauses doivent être accompagnées de mesures de protection supplémentaires dès lors que la législation du pays tiers ne permet pas le respect d’un niveau de protection équivalent à celui en place dans l’UE. En effet, il revient à l'exportateur des données (celui qui envoie les données hors UE) de s'assurer que le pays destinataire a une legislation protectrice des données personnelles à un niveau au moins équivalent à celui de l'UE. En cas contraire, l'exportateur doit mettre en oeuvre des mesures pour contrebalancer les effets de la législation du pays destinataire.
Le Comité Européen de la Protection des Données (CEPD) publie en juin 2021 une série de recommandations pour spécifier ce qui devrait être entendu par "mesures de protections supplémentaires".
Mesures complémentaires
Les mesures complémentaires peuvent être de trois types : techniques, organisationnelles et contractuelles. Le CEPD nous donne les exemples suivants, à replacer dans le bon contexte (loi locale + conditions du transfert) :
Les mesures techniques :
- Le chiffrement des données hébergées hors UE ou transitant par un pays tiers.
- La pseudonymisation des données exportées.
- La division des données entre plusieurs sous-traitants.
Les mesures contractuelles :
- Obliger l'importateur à mettre en oeuvre des mesures de chiffrement
- Obliger l'importateur à informer sur la législation locale et à la réalisation de due diligences sur ce sujet
- Imposer l'absence de backdoor dans les outils servant au traitement et une certification de la part de l'importateur
- Renforcer la clause d'audit
- Imposer une veille sur tout changement législatif
- Imposer la garantie du canari ("warrant canary"), qui consiste à envoyer des messages réguliers tant qu'une demande d'acès par les autorités du pays n'est pas faite
- Imposer la contestation de toute demande d'accès par une autorité
- Imposer l'information à l'autorité de l'incompatibilité de la demande d'accès avec le RGPD
- renforcer l'exercice des droits des personnes par un contrôle renforcé de la personne concerné sur les données transférées ou par l'obligation d'informer la personne concernée lors d'une demande par une autorité, dans la mesure du possible, voire la cessation du transfert
- l'assistance de la personne concernée dans la contestation de l'accès aux données
Les mesures organisationnelles
- Mettre en oeuvre des poltiques et procédures internes sur la gouvernance des transferts
- Documenter les demandes d'accès et les réponses apportées
- Publier des rapports de transparence régulièrement
- Adopter des procédures strictes de confidentialité des données en interne (besoin d'en savoir)
- Informer le DPO et les équipes privacy en temps et en heure
- Adopter des politiques de sécurité à l'état de l'art européen (ISO ou ENISA)
Nouvelles clauses contractuelles type
La Commission abroge ses anciennes clauses contractuelles types (CCT) le 4 juin 2021 pour en adopter de nouvelles, avec une période de transition pour que les personnes concernées puissent modifier leurs contrats jusqu’au 27 septembre 2021. Les traitements existants avant cette dernière date et basés sur des CCT reste valables jusqu’au 27 septembre 2022.
Parmi les modifications remarquables, on note la possibilité pour les tiers d’adhérer aux CCT, en tant qu’importateur ou exportateur de données.
De plus, elles prévoient maintenant également un certain nombre d’obligations pour l’importateur :
- Evaluer la législation du pays tiers en matière d’ingérence des autorités publiques dans l’accès aux données, et d’en informer l’exportateur.
- Notifier l’exportateur de tout accès ou demande d’accès de la part des autorités publiques de l’Etat destinataire,
- S’il y a demande d’accès de la part d’une autorité publique,s’interroger sur la légalité d’une telle demande de la part de ladite autorité publique avant de lui divulguer les données, et éventuellement s’y opposer en cas de contrariété avec la législation du pays de destination ou avec le droit international.
Le 13 janvier 2021, l’Autorité de protection des données autrichienne (DSB) rend une décision sur le fondement de l'arrêt Schrems II pour condamner une entreprise concernant l'utilisation de Google Analytics. En effectuant des transferts de données à visée d'analyse de fréquentation et de suivi des utilisateurs vers les Etats Unis, une entreprise autrichienne effectue un transfert illégal car il n'y avait pas un niveau de protection adéquat pour les données personnelles.
Les transferts de données non autorisés
Le non-respect des dispositions sur les transferts des données personnelles en dehors de l’union européenne est passible d’une amende de 20 000 000 euros et de 4% du chiffre d’affaires annuel mondial.
Il est donc nécessaire dès l’origine et de manière suivie d’identifier les cas de flux transfrontières dans ses traitements.
Les options qui s’offrent aux entreprises pour se mettre en conformité restent complexes :
- La mise en place de règles d’entreprises contraignante (BCT) est dans les faits longue et complexe : instruction au niveau national, demande d’avis à d’autres autorités dans la phase de coopération puis avis du CEPD, le tout pouvant prendre jusqu'à un an et demi.
- Si des CCT sont adoptées, il faudra d’abord convaincre des partenaires étranger de signer ce contrat imposé par la Commission Européenne. Il faudra en plus en compléter les annexes avec les informations ad hoc (nécessité de détailler les traitements transférés, mais avec quelle granularité ?) et les actualiser tout au long du développement des relations contractuelles et des traitements
Une des solutions pourrait être à trouver dans la relocalisation des données à l'intérieur de l'UE.