Invalidation du Privacy Shield et recommandations du CEPD : le CEPD précise les étapes à suivre pour analyser les transferts de données personnelles vers des pays tiers.
A la suite de l’arrêt Schrems II de la Cour de Justice de l’Union Européenne (1), de nombreuses questions étaient restées en suspens s’agissant des transferts de données personnelles vers des pays tiers.
Les recommandations du CEPD lèvent les incertitudes
Les recommandations 01/2020 du CEPD lèvent ces incertitudes et identifient 6 étapes à suivre pour analyser et encadrer les transferts de données personnelles vers un pays tiers :
- Réaliser une cartographie des transferts de données personnelles effectués vers les pays tiers (étape n°1) ;
- Vérifier l’outil de transfert sur lequel reposent les transferts de données personnelles (étape n°2). Par exemple, décisions d’adéquation, outils de transfert de l’article 46 du RGPD ou dérogations de l’article 49 du RGPD (2) ;
- en cas de transfert fondé sur un outil visé à l’article 46 du RGPD, évaluer son efficacité (étape n°3). Par exemple, clauses contractuelles types, règles d’entreprises contraignantes (Binding Corporate Rules – BCR), etc. ;
- en l’absence d’efficacité de l’outil de transfert évalué lors de l’étape n°3, adopter des mesures supplémentaires ; ces dernières doivent garantir un niveau de protection équivalent à celui garanti au sein de l’Union Européenne (UE) (étape n°4) ;
- en cas de mesures supplémentaires adoptées en application de l’étape 4 :
- modifier si nécessaire les outils de transfert en cause ou
- ajouter des étapes supplémentaires selon l’outil de transfert utilisé ou envisagé (étape n°5). Par exemple, pour des mesures supplémentaires ajoutées à des Clauses contractuelles types (CCT), il est nécessaire de s’assurer de leur adéquation aux CCT. Au contraire, si elles contredisent les CCT, il sera nécessaire de demander une autorisation à la Cnil. S’agissant des BCR et des clauses contractuelles ad hoc, le CEPD précise que l’impact de la décision « Schrems II » sur ces outils est encore en cours d’analyse ;
- Réévaluer à intervalles réguliers les mécanismes de transfert mis en place et documenter ces réévaluations (étape n°6).
Les recommandations du CEPD identifient les actions à mettre en place
Ces recommandations permettent ainsi aux responsables de traitements d’identifier les nouvelles actions à mettre en place.
L’arrêt précité de la CJUE souligne la nécessité pour l’exportateur de données personnelles d’évaluer au cas par cas si le niveau de protection requis au sein de l’UE est effectivement respecté dans le pays tiers vers lequel les données sont transférées.
Si la loi du pays tiers altère l’efficacité des garanties appropriées contenues dans les outils de transfert de l’article 46 du RGPD, il est possible de prévoir des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalent à celui prévu dans l’UE.
Le CEPD précise la nature de ces mesures supplémentaires. Elles peuvent être contractuelles, organisationnelles ou techniques.
Les mesures contractuelles
Les recommandations du CEPD citent notamment des clauses permettant de :
- renforcer la transparence
- mettre en place des audits renforcés pour vérifier si les données ont été fournies aux autorités publiques
- insérer un engagement de l’importateur de notifier l’exportateur de toute modification législative ne lui permettant plus de garantir l’effectivité des garanties implémentées.
Les mesures organisationnelles
Le CEPD insiste sur la mise en place de politiques internes pour la gouvernance des transferts ; notamment dans l’hypothèse de groupe d’entreprises. Ces politiques devraient prévoir une répartition claire des responsabilités, la nomination d’une équipe située dans l’UE pour évaluer les demandes d’accès des autorités, ou encore la formation des membres du personnel.
Néanmoins, selon les recommandations du CEPD, les mesures contractuelles et organisationnelles ne suffiront pas à empêcher l’accès aux données par les autorités publiques du pays tiers. Aussi apparait-il donc indispensable de combiner ces trois types de mesures pour pouvoir assurer un niveau de protection essentiellement équivalent.
Les mesures techniques
Le CEPD énumère le chiffrement, la pseudonymisation, le traitement fractionné ou multipartite ou encore le recours à des destinataires dits protégés.
Pour chacune de ces mesures, le CEPD définit les conditions précises de leurs mises en œuvre.
Toutefois, il existe des scénarios dans lesquels aucune mesure supplémentaire ne peut être mise en place. Dans ce cas, les transferts de données devraient alors être suspendus.
Le CEPD éclaire ainsi les responsables de traitements sur la nature des mesures supplémentaires pouvant être mises en place. Objectif, garantir que la législation locale n’altère pas le niveau de protection adéquat.
Ses recommandations démontrent également que des obligations accrues pèsent sur les responsables de traitements. C’est notamment le cas en ce qui concerne l’autoévaluation ainsi que l’accountability.
Anne Renard
Yoko Riat
Lexing Informatique et libertés conseil
Notes :
(1) Voir sur notre site, Isabelle Pottier, « Le Privacy Shield invalidé par la Cour de justice de l’Union européenne », publié le 17 juillet 2020.
(2) Voir sur notre site, Observatoire du RGPD.