Retour sur le droit applicable à l’une de l’actualité
Les transferts de données personnelles vers des pays tiers constituent l’un des points majeurs de la protection européenne en matière de données personnelles du fait de la globalisation des échanges et de l’utilisation quotidienne de nouvelles technologies principalement issues des Etats-Unis.
Bien que la notion de « transfert de données » ne soit pas clairement définie dans le RGPD, la CNIL a toutefois souhaité apporter des précisions sur cette notion. On entend communément par transfert de données «toute communication, copie ou déplacement de données dans un pays tiers à l’Union Européenne, par une organisation internationale».
Les années 2020 et 2021 auront été marquées par de nombreuses actualités et évolutions de la matière : invalidation du Privacy Shield, Brexit et nouvelle décision d’adéquation, publication de nouvelles Clauses Contractuelles Types, recommandations du CEPD, etc.
Data Legal Drive vous propose de revenir sur les fondamentaux tout en décryptant les dernières évolutions et leurs conséquences pour les entreprises.
Les règles en matière de transfert internationaux de données
Le RGPD permet, à l’heure actuelle, une libre circulation des données personnelles au sein de l’Union Européenne sans formalités administratives préalables.
L’envoi de données vers un pays tiers est premièrement possible lorsqu’il existe une décision d’adéquation de la Commission Européenne (article 45 du RGPD). On entend par « décision d’adéquation » une décision établissant qu’un pays tiers, par l’intermédiaire de sa législation interne, offre un niveau de protection des données personnelles équivalent à celui garanti au sein de l’Union Européenne.
Dès lors, une telle décision autorise les flux de données au départ de l’Union Européenne vers le pays tiers adéquat, sans qu’il ne soit nécessaire de recourir à un instrument de transfert de l’article 46 du RGPD.
Quels sont les critères utilisés pour déterminer l’adéquation ?
Une décision d’adéquation repose sur la norme de l’équivalence essentielle. Il s’agit d’une évaluation globale du cadre de protection des données du pays en ce qui concerne à la fois les mesures de protection applicables aux données, et les mécanismes de surveillance ou de recours disponibles.
L’exemple Japonais : A l’instar de plusieurs pays tiers, le Japon fait l’objet d’une décision d’adéquation de la Commission Européenne depuis Juillet 2018. Plusieurs éléments ont motivé cette décision, et notamment le fait que le Japon ait reconnu la protection des données personnelles en tant que droit fondamental. Plusieurs mesures ont, en outre, été adoptées à savoir une série commune de garanties et de droit individuels, ou encore la supervision de la bonne application de la législation par une autorité indépendante, un homologue Japonais de la CNIL.
Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments décrits à l’article 45.2 notamment l’état de droit, le respect des droits de l’homme et des libertés fondamentales, l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, etc.
Quid en l’absence de décision d’adéquation ?
Tous les pays du monde ne font pas l’objet d’une décision d’adéquation. Le RGPD a ainsi prévu des « mécanismes de secours » permettant d’encadrer lesdits transferts de données par des « garanties appropriées ». L’absence de décision d’adéquation ne rend donc pas impossible le transfert.
L’article 46 du RGPD précise que le Responsable de traitement, ou le Sous-traitant, peut transférer des données personnelles vers un pays tiers si des garanties appropriées sont prévues.
Ces garanties appropriées peuvent être de diverses natures :
- Des règles d’entreprises contraignantes ou Binding Corporate Rules (article 47 du RGPD) : Il s’agit de règles d’entreprises contraignantes internes, relatives aux transferts de données à caractère personnel vers des pays tiers à l’Union Européenne. Elles constituent donc un « Code de conduite » interne au sein d’un groupe d’entreprise, définissant la stratégie politique en matière de transfert de données pour chacune des entités qui constituent le groupe, dont les employés
- Des Clauses Contractuelles Types (article 93, paragraphe 2) adoptées par la Commission Européenne, qui ont très récemment fait l’objet d’une refonte que nous détaillerons ci-dessous
- Des codes de conduite approuvés conformément à l’article 40
- Des accords internationaux ou engagements administratifs
Quid en l’absence de garanties appropriées ?
En l’absence de décision d’adéquation ainsi que de garanties appropriées, le RGPD prévoit une troisième voie permettant le transfert de données vers un pays tiers. L’article 49 du RGPD, dont le caractère est exceptionnel, prévoit qu’il sera possible d’effectuer des transferts grâce à des « Dérogations pour situations particulières ». Les dérogations prévues par ce texte portent donc sur des activités de traitements occasionnelles, non répétitives et doivent être interprétées de manière restrictive.
Plusieurs scénarios de dérogation existent, notamment le fait que :
- La personne concernée ait donné son consentement explicite au transfert envisagé
- Le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable de traitement
- Le transfert est nécessaire pour des motifs importants d’intérêt public
Cette liste n’étant pas exhaustive, nous vous renvoyons à l’article 49 du RGPD qui détaille tous les scénarios de dérogation possible.
Décryptage – l’arrêt « Schrems II » du 16 juillet 2020, quelles conséquences pour les entreprises ?
Le 16 Juill. 2020, la CJUE a invalidé dans son arrêt « Schrems II » (du nom de Maximilian Schrems à l’origine de la réclamation auprès de la « CNIL Irlandaise ») la décision de la Commission de l’UE 2016/1250 relative à l’adéquation de la protection assurée par le Privacy Shield. Pour rappel, ce « bouclier » permettait le transfert de données personnelles entre l’Union Européenne et les opérateurs américains ayant adhéré aux principes du Privacy Shield.
Dans son arrêt, la CJUE estime que le Privacy Shield n’offre pas un niveau de protection adéquat au regard du RGPD et de la Charte des droits fondamentaux de l’Union Européenne car considère qu’il n’est pas suffisant pour assurer la protection des données personnelles de citoyens européens contre la National Security Agency (NSA) et les programmes de surveillance américains.
L’apport de cet arrêt est toutefois plus large. En effet, par la même occasion, la CJUE a indiqué qu’en règle générale, les Clauses Contractuelles Types (CCT) pourront être utilisées pour transférer des données vers un pays tiers. Cependant, il incombera à l’exportateur et l’importateur d’évaluer conjointement si la législation dudit pays tiers assure un niveau de protection équivalent à celui requis par le droit de l’Union Européenne.
Dès lors la CJUE exige que soit menée une réflexion au cas par cas sur les garanties proposées par un importateur implanté dans un pays tiers. Les responsables de traitement et les autorités de contrôle seront donc tenus de procéder à une évaluation de l’effectivité des garanties telles qu’appliquées par l’importateur au regard des obligations pensant sur ce dernier dans le pays concerné.
Si tel n’est pas le cas, les entreprises devront alors prévoir des mesures supplémentaires pour garantir un niveau de protection suffisant.
Qu’en est-il des Etats Unis ?
Concernant les Etats Unis, la CJUE estime que le droit américain ne permet pas d’assurer un niveau de protection équivalent. Dès lors, le transfert sur la base des Clauses Contractuelles Types devra donc s’accompagner de mesures supplémentaires à mettre en place.
De la même manière que pour les Etats Unis, les pays tiers qui n’assureraient donc pas le respect de garanties appropriées ne pourront faire l’objet de transfert de données qu’en cas de mesures supplémentaires.
Quelles sont ces mesures supplémentaires ?
Dans sa Recommandation le CEPD précise que ces mesures complémentaires devront tenir compte de toutes les circonstances du transfert ainsi que de la législation du pays.
S’agissant des mesures supplémentaires préconisées par le CEPD, celui-ci en fournit une liste non-exhaustive :
- Des mesures techniques, à savoir le chiffrement des données hébergées hors de l’Union Européenne et/ou la pseudonymisation des données exportées
- Des mesures contractuelles encadrant le transfert telle qu’une clause d’audit permettant à l’exportateur d’effectuer des inspections des systèmes d’informations du sous-traitant
- Des mesures organisationnelles comme la réalisation de politiques internes et de méthodes organisationnelles
Les Nouvelles Clauses Contractuelles Types (CCT)
En parallèle de ces nombreuses évolutions, des nouvelles clauses contractuelles types (CCT) ont été définitivement adoptées par l’Union Européenne le 7 juin 2021.
L’objectif de ces clauses est de simplifier l’encadrement des transferts, tout en assurant un niveau élevé de protection des données personnelles de personnes concernées.
- La prise en compte de la diversité des situations contractuelles : Alors que les anciennes CCT ne traitaient que deux scénarios de transfert, les nouvelles en prévoient aujourd’hui quatre, à savoir (i) de responsable de traitement à responsable de traitement ; (ii) de responsable de traitement à sous-traitant ; (iii) de sous-traitant à sous-traitant, et (iv) de sous-traitant à responsable de traitement. Dès lors, en amont de tout transfert, il sera nécessaire de déterminer la qualification des parties en présence
- Le renforcement des droits des personnes concernées : Les CCT contiennent une « clause de tiers bénéficiaires au profit des personnes concernées », permettant un recours pour faire appliquer à l’une des parties les CCT ou demander réparation en cas de manquement
A noter que :
- bien que ces CCT nouvelles versions soient entrées en vigueur au 27 Juin 2021, les anciennes versions restent en vigueur pour une période transitoire sous conditions. Celles-ci seront abrogées le 27 septembre 2021
- Le 27 décembre 2022, tout contrat comportant des transferts avec des CCT devra comporter les nouvelles CCT
Brexit, la fin de six mois d’incertitudes
Depuis le 1er janvier 2021, le Royaume Uni ne fait plus partie de l’Union-Européenne.
Bien que de nombreuses inquiétudes liées à cette sortie concernaient la circulation des biens et des personnes, la question qui s’est également posée était celle de savoir ce qu’il allait advenir du transfert de données personnelles, et quelles seraient les conséquences sur les entreprises ?
La sortie du Royaume-Uni s’est en premier lieu suivi d’une période transitoire de six mois, pendant laquelle les dispositions du RGPD restaient applicables. En fin de compte, à l’issue de cette période, la Commission Européenne a finalement adopté une décision d’adéquation vis-à-vis du Royaume Uni en matière de protection de données personnelles.
En effet, Mme Vera Jourova, vice-présidente chargée des valeurs et de la transparence a déclaré que bien que le Royaume Uni ait quitté l’Union Européenne « son régime juridique en matière de protection des données à caractère personnel est resté identique ». En effet, le Royaume Uni a pleinement intégré dans son système post-Brexit les principes, droits et obligations du RGPD.
Le transfert de données personnelles vers le Royaume Uni restera donc possible sans nécessité de mesures supplémentaires, au même titre que l’ensemble des pays faisant l’objet d’une décision d’adéquation.
Sources :