Ce début de mois de novembre a été fort en rebondissements sur la question des transferts de données hors Union Européenne. Le Comité Européen à la Protection des Données vient d’adopter des recommandations sur les mesures complémentaires visant à garantir le respect du niveau de protection des données personnelles de l’UE, même lors de flux en-dehors Espace Économique Européen.

 

La Commission Européenne était attendue sur le sujet des clauses contractuelles types (CCT) au moins depuis l’entrée en application du RGPD en 2018. En effet, ses dernières CCT étaient un peu datées et précédaient de beaucoup le RGPD. Elle a enfin publié, le 12 novembre 2020, un projet de nouvelles clauses contractuelles types, désormais soumis aux commentaires en vue d’une adoption définitive début 2021.

Lors de sa session des 9 et 10 novembre 2020, le Comité Européen à la Protection des Données (CEPD) a lui-aussi apporté sa pierre à l’édifice. Cet interprète ultime du RGPD a adopté des recommandations sur les mesures complémentaires pouvant compléter des garanties appropriées pour assurer le respect du niveau de protection des données personnelles de l’UE lors de flux hors Espace Économique Européen (EEE) vers des États non-adéquats.

Tous ces développements doivent être remis dans le contexte de l’invalidation du Privacy Shield par la CJUE en juillet 2020.

Quelques éléments de contexte

Le RGPD, comme la directive 95/46/CE, qu’il a remplacée, interdit en général les transferts vers des États non-membres de l’EEE à moins que la Commission Européenne ait déclaré qu’ils offraient un niveau adéquat de protection des données. Le premier partenaire commercial de l’UE, les Etats-Unis a bénéficié dès 2000 d’une de ces décisions d’adéquation.

Cette décision, le Safe Harbor, facilitait grandement les échanges vers les Etats-Unis mais a été invalidé par la CJUE en 2015, notamment suite aux révélations d’Edward Snowden. La Cour a en effet déterminé que la surveillance généralisée et indifférenciée opérée par les autorités gouvernementales américaines était incompatible avec les textes européens protégeant les données personnelles.

En 2016, le Safe Harbor est donc remplacé par un nouveau mécanisme facilitant les échanges de données personnelles vers les Etats-Unis, le Privacy Shield. Ce dispositif permettait de transférer un certain nombre de données à caractère personnel vers les Etats-Unis, à des destinataires inscrits sur le registre tenu par les autorités américaines et disponible en ligne (privacyshield.gov) et qui participent à un mécanisme d’auto-certification. Il était néanmoins jugé fragile, notamment au vu de la poursuite par le gouvernement américain de ses pratiques de surveillance de masse.

L’été passé, l’Histoire s’est répétée et, par son arrêt Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems du 16 juillet 2020 dans l’affaire C-311/18, dit « Schrems II », la Grande Chambre de la CJUE a invalidé le Privacy Shield et laissé de nombreuses questions ouvertes concernant les modalités de transfert de données personnelles hors EEE.

Les transferts de données hors EEE

En l’absence de décision d’adéquation, les transferts de données personnelles vers les Etats-Unis sont donc interdites à moins d’avoir mis en place ce que les articles 44 et suivants du RGPD appellent « des garanties appropriées » (règles d’entreprise contraignantes, CCT, code de conduite, etc.).

Pour bon nombre de responsables de traitement devant transférer des données personnelles hors EEE, recourir à ces garanties appropriées nécessitera de signer des clauses contractuelles types. L’arrêt Schrems II implique néanmoins, avant le transfert, de mener une analyse de la législation et des pratiques locales pour s’assurer que les CCT suffiront à assurer un niveau de protection des données équivalent à celui assuré dans l’UE. Dans le cas contraire, le transfert ne sera possible que si des mesures supplémentaires permettant d’atteindre cet objectif étaient mises en œuvre.

La mise à jour des CCT était donc devenue urgente. Des exemples de mesures complémentaires susceptibles de compenser une ingérence par les autorités publiques d’un État hors EEE manquaient également. La question était d’autant plus urgente que des sujets très contentieux avaient immédiatement émergé.

En France, la CNIL et le Conseil d’Etat avaient remis en cause l’utilisation de solutions Microsoft dans le fonctionnement du Health Data Hub, reconnaissant un risque de transferts vers les Etats-Unis et requérant la mise en place de garanties supplémentaires. A l’échelle européenne, l’association noyb avait déposé 101 plaintes contre des responsables de traitement de toute l’UE recourant à des services d’origine américaine, notamment Facebook ou Google.

Le CEPD, en réponse, avait créé deux groupes de travail, l’un pour préparer des recommandations sur les mesures complémentaires, l’autre pour répondre aux plaintes déposées par noyb.

Alors que nous apprennent ces recommandations ?

La mise en œuvre de mesures supplémentaires

Les recommandations du CEPD rappellent que l’objectif de ces mesures est de s’assurer que les données personnelles transférées bénéficient dans l’Etat-tiers d’un niveau de protection essentiellement équivalent à celui qui leur aurait été assuré dans l’EEE. Elles ne devront être mises en œuvre que lorsqu’une analyse de la législation et des pratiques de protection des données de l’Etat-tiers non-adéquat révèle qu’elles nuisent à l’efficacité des garanties appropriées.

Ces mesures peuvent être techniques, organisationnelles et contractuelles. Les recommandations insistent sur le fait que nombre d’entre elles ne sauraient se suffire à elles-mêmes. Elles doivent être choisies au cas par cas en fonction des principales non-conformités de la législation et des pratiques locales, du format des données transférées, de la nature desdites données, de la durée et de la complexité des flux de données, du nombre d’acteurs impliqués et de leurs relations, ainsi que de la possibilité que les données soient soumises à des transferts ultérieurs.

En savoir plus sur les mesures complémentaires recommandées.

Par ailleurs, les exemples donnés ont une portée assez limitée. Ainsi, par exemple, parmi les mesures techniques, les recommandations suggèrent d’utiliser le chiffrement lorsqu’aucun destinataire hors EEE n’a besoin d’accéder aux données en clair, soit parce qu’elles ne font que transiter par un territoire non-adéquat, soit parce qu’elles sont seulement stockées à des fins de sauvegarde.

Les recommandations citent d’ailleurs un certain nombre de cas où aucune mesure ne saurait suffire.

L’apport réel des recommandations du CEPD

Ces recommandations esquissent un certain nombre de pistes pour identifier des mesures complémentaires lors d’un transfert de données personnelles.

Ainsi, pour les groupes internationaux, le CEPD suggère de mettre en place une gouvernance internes des transferts, avec des équipes dédiées au traitement des demandes d’accès des autorités concernant les données personnelles de ressortissants de l’Union Européenne.

Il propose également un certain nombre de garanties contractuelles qui pourraient encadrer de tels transferts. Il sera intéressant d’analyser les nouvelles CCT de la Commission Européenne pour voir combien de ces propositions seront déjà inclues dans le projet.

Amélie Deleuze

Amélie Deleuze, juriste spécialisée, implid Legal

Amélie est juriste spécialisée en droit des données personnelles, certifiée DPO par LSTI puis par l’AFNOR (conformément aux référentiels de la CNIL). Elle est diplômée de l’Université Jean Moulin – Lyon III, de l’Université de Strasbourg, de l’Université de Sherbrooke (Canada) et de l’Université Catholique de Lyon.

Elle réalise une grande partie des audits de conformité au RGPD de nos clients, souvent en partenariat avec les experts en cybersécurité du groupe implid. Ses autres spécialités sont les contrats informatiques (en Français et en Anglais) et l’accompagnement à la conformité de nos clients, par le biais de prestations classiques (registre, AIPD, etc.) ou de notes d’analyse et de consultations ponctuelles.