Exportation de données à caractère personnel en dehors de l’Union européenne : l’approche pratique

Dans son arrêt dit Schrems II rendu le 16 juillet 2020, la Cour de justice s’exprime sur certains aspects de l’exportation de données à caractère personnel vers des pays situés en dehors de l’Espace économique européen. La Cour a notamment décidé que les responsables du traitement qui s'appuient sur des clauses contractuelles types (CCT) sont tenus de vérifier au cas par cas et, le cas échéant, en collaboration avec le destinataire des données dans le pays tiers situé en dehors de l'Espace économique européen si la législation de ce pays tiers assure un niveau de protection essentiellement similaire à celui garanti dans l'Espace économique européen. Si un niveau de protection similaire à celui de l’Espace économique européen n'est pas assuré, la Cour a précisé que l'exportateur de données doit, soit cesser le transfert de données à caractère personnel vers le pays tiers, soit mettre en œuvre des mesures supplémentaires à la suite d'une évaluation de l'impact du transfert de données (« data transfer impact assessment ») afin de garantir un niveau de protection des données tel que requis par le droit de l'UE.

Le Comité Européen de la protection des Données (CEPD) a adopté le 10 novembre 2020 deux importants projets de recommandations (seulement disponible en anglais pour le moment) afin d'aider les entreprises (i) à évaluer si le cadre de protection des données d'un pays tiers est essentiellement équivalent au cadre prévu par le RGPD, et (ii) à identifier si, et le cas échéant quelles mesures supplémentaires appropriées doivent être prises :

• Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data; et
• Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

Le CEPD n'a pas formulé une solution rapide ou une solution unique, mais a élaboré un plan en six étapes que les exportateurs de données doivent suivre au cas par cas avant de transférer des données à caractère personnel vers un pays tiers.

Que faire (selon les Recommandations 01/2020) ?

• Étape 1 – Connaissez vos transferts : répertoriez tous les transferts de données à caractère personnel vers des pays tiers (contrôle préalable de tous les pays vers lesquels les données à caractère personnel sont transférées) dans le cadre d'une « évaluation de l'impact des transferts de données ». Documentez tous les transferts en interne, par exemple en utilisant le registre des activités de traitement.
   
• Étape 2 – Identifiez les outils de transfert pertinents : identifiez pour chaque transfert l'outil de transfert pertinent du chapitre V du RGPD (par exemple, les clauses contractuelles types ou les dérogations). Si le transfert ne peut pas être fondé sur une décision d'adéquation ou sur une dérogation comme prévue par l'article 49 du RGPD, l'exportateur de données doit passer à l'étape 3.
   
• Étape 3 – Évaluez si l'outil de transfert de l'article 46 du RGPD est efficace en toutes circonstances : Le choix d'un outil de transfert de l'article 46 du RGPD (comme des clauses contractuelles types ou des règles d'entreprise contraignantes) ne suffit pas. L'exportateur de données est tenu d'évaluer l'efficacité de cet outil de transfert :
  • S'il existe dans le pays tiers une législation susceptible d'affecter l'efficacité de l'outil de transfert, l'exportateur de données doit examiner cette législation sur la base des garanties essentielles européennes telles qu'identifiées par le CEPD dans sa Recommandation 02/2020. Les recommandations se composent d’un cadre qui contient quatre garanties pour aider l'exportateur de données à évaluer si les mesures prévues par la législation d'un pays tiers (y compris les éventuelles mesures de surveillance des autorités publiques) peuvent être considérées comme une ingérence justifiable dans les droits à la vie privée et à la protection des données personnelles en vertu de la Charte des droits fondamentaux de l'UE.

Ces quatre garanties se présentent comme suit :

1. Le traitement doit être fondé sur des règles claires, précises et accessibles.
2. La nécessité et la proportionnalité par rapport aux objectifs légitimes poursuivis doivent être démontrées.
3. Un mécanisme de contrôle indépendant doit être mis en place.
4. Des recours effectifs doivent être offerts à toute personne concernée.

• S'il n’existe pas dans le pays tiers une législation susceptible d'affecter l'efficacité de l'outil de transfert, l'exportateur de données doit tenir compte d'autres éléments objectifs grâce auxquels les autorités du pays tiers peuvent (chercher à) accéder aux données à caractère personnel transférées (c'est-à-dire les incidents signalés, la pratique, les pouvoirs juridiques et les ressources techniques, financières et humaines à sa disposition).

• Étape 4 – adoptez des mesures supplémentaires : si le résultat de l'évaluation de l'étape 3 montre que la législation du pays tiers pourrait affecter l'efficacité de l'outil de transfert sur lequel un exportateur de données entend s'appuyer, des mesures supplémentaires doivent être prises par l'exportateur de données. Ces mesures supplémentaires peuvent consister en des mesures contractuelles que l'importateur de données doit respecter, des mesures techniques ou des mesures organisationnelles.

Selon le CEPD, les mesures contractuelles et organisationnelles ne suffisent pas à elles seules car elles ne permettent généralement pas de surmonter l'accès des autorités publiques aux données à caractère personnel ; les mesures techniques sont les plus importantes pour atteindre le niveau de protection requis afin de rendre inefficace l'accès par les autorités publiques de pays tiers aux données à caractère personnel.

• Étape 5 – Mesures procédurales si vous avez identifié des mesures supplémentaires efficaces : ces mesures procédurales peuvent différer selon l'outil de transfert de l'article 46 du RGPD que vous utilisez ou que vous envisagez d'utiliser. Par exemple, l'exportateur de données doit consulter l'autorité de contrôle compétente lorsqu'il a l'intention de mettre en place des mesures supplémentaires en plus des CCT si ces mesures ajoutées contredisent directement ou indirectement les CCT.
   
• Étape 6 – Réévaluez à intervalles appropriées : les exportateurs de données devraient réévaluer à intervalles appropriées si le niveau de protection des données transférées à des pays tiers est toujours suffisant et surveiller si des développements ont eu ou auront lieu qui pourraient affecter ce niveau de protection.

Ces projets de recommandations – qui ont été synthétisés par le CEPD dans le schéma ci-dessous – sont encore susceptibles d’être revus, entre autres suite aux résultats d’une consultation publique clôturée le 21 décembre 2020.

Nouvelles clauses contractuelles types

Un jour après que le CEPD ait publié ses projets de recommandations, la Commission européenne a publié, le 12 novembre 2020, un nouveau projet de CCT.

Ces CCT contiennent de nombreuses nouveautés, telles que :

• des clauses pour traiter quatre types de transferts (entre responsables de traitement, de responsable de traitement à sous-traitant, de sous-traitant à responsable de traitement et entre sous-traitants) ;
• des clauses d'amarrage pour permettre à de nouvelles parties de se joindre ;
• l'obligation pour l'exportateur de données de documenter l'évaluation de l'impact du transfert de données ;
• l'obligation pour l'exportateur de données de tenir compte du droit et de la pratique du pays tiers ;
• l'obligation pour l'importateur de données d'informer l'exportateur de données et les personnes concernées lorsqu'il reçoit un ordre d'une autorité publique de lui accorder l’accès aux données, d'évaluer la légalité de cet ordre, de documenter les demandes et de mettre les documents à la disposition de l'exportateur de données.

Ces projets de recommandations sont encore susceptibles d’être revus, entre autres suite aux résultats d’une consultation publique clôturée le 10 décembre 2020.

Une fois adopté, il y aura une période de transition d'un an pour permettre aux entreprises de passer aux nouvelles clauses et de revoir leurs accords.