Transferts de données hors UE : le cadre général prévu par le RGPD
Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié. Ils doivent encadrer ces transferts en utilisant les différents outils juridiques définis au chapitre V du RGPD.
Les modèles de clauses contractuelles types sont toujours d’actualité et ont été mis à jour par la Commission européenne le 4 juin 2021
Internet et la numérisation des biens et services ont transformé l'économie mondiale en facilitant la circulation des données dans le monde. Les échanges commerciaux reposent de plus en plus sur les flux de données personnelles et la confidentialité, la sécurité de ces données sont devenus des facteurs centraux de la confiance des consommateurs, mais également des entreprises désireuses d’un cadre à la fois sûr et compétitif.
Le règlement européen sur la protection des données (RGPD) encadre précisément les transferts internationaux de données. Il complète la gamme des outils existants permettant l'encadrement de ces transferts, afin de répondre aux différentes situations rencontrées par les responsables de traitements de données et leurs sous-traitants.
Quels outils pour encadrer les transferts de données hors EEE ?
Le RGPD a élargi la gamme d’outils juridique permettant d’encadrer les transferts. Ils peuvent être utilisés tant par les responsables de traitement que par les sous-traitants.
Afin d’assurer un haut niveau de protection des données transférées du territoire européen à des Etats tiers, les organismes souhaitant transférer des données peuvent recourir aux outils suivants :
- La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;
- En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés ;
En l’absence de telles garanties appropriées, le transfert peut enfin être réalisé par dérogation à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques
Les mécanismes actuels d’encadrement des transferts actuels restent valables
Les transferts hors UE peuvent être fondés sur :
- une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;
- des clauses contractuelles types (CCT) de la Commission européenne ;
- des règles internes d’entreprises (BCR) ;
- des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;
Avec le RGPD, les transferts peuvent également être encadrés par :
- des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
- un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
- un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
- un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).
Depuis le 25 mai 2018, quand faut-il demander l'autorisation de la CNIL ?
Le RGPD prévoit un allégement important des formalités auprès des autorités de protection des données. Ainsi, depuis le 25 mai 2018,
Pas d'autorisation de la CNIL
Si le transfert est fondé sur :
- Des clauses contractuelles types de protection des données adoptées par la Commission européenne ou par une autorité de contrôle avec approbation de la Commission européenne ;
- Des règles internes d’entreprise dites BCR ;
- Un code de conduite approuvé par une autorité de contrôle ;
- Un mécanisme de certification par une autorité de contrôle ou par un organisme de certification agréé par une autorité de contrôle ou un organisme national d’accréditation ;
- Des instruments juridiques contraignants entre autorités publiques (telle une convention internationale).
Autorisation de la CNIL nécessaire
Si le transfert est fondé sur :
- Des clauses contractuelles spécifiques entre le responsable d'un fichier ou un sous-traitant et un autre responsable de fichier, un sous-traitant ou un destinataire des données dans le pays tiers ou l'organisation internationale ;
- Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.
Maintien des autorisations accordées
- Les autorisations de transfert accordées avant le 25 mai 2018 sur le fondement de la précédente législation restent valables jusqu’à leur modification, remplacement ou abrogation par l’autorité de contrôle.
Concrètement, les entreprises pourront se prévaloir de ces autorisations tant que les garanties et les décisions sur lesquelles sont fondés leurs transferts sont toujours valables, par exemple, tant que les Clauses contractuelles type adoptées par la Commission européenne n’ont pas été modifiées, remplacées ou abrogées. Si tel est le cas, à défaut de dispositions spécifiques contraires, il sera nécessaire de signer de nouvelles clauses ou de prévoir de nouvelles garanties appropriées pour encadrer les flux de données hors du territoire européen.
- Les décisions d’approbation des BCR restent également valables. Toutefois les groupes ayant des BCR déjà approuvées doivent adapter leurs BCR aux exigences des référentiels (WP256 et WP257, anciennement WP153 et WP195, tels qu’adoptés le 6 février 2018), de sorte que les transferts vers les pays tiers effectués sur cette base soient conformes au RGPD. Ces référentiels sont en cours de mises à jour. En effet, compte tenu de la nature des BCR, elles doivent nécessairement tenir compte de toute modification de l'environnement législatif et réglementaire dans lequel elles sont utilisées et doivent être modifiées en conséquence. Les détenteurs de BCR approuvées sous l’empire de la Directive 95/46 sont invités à mettre à jour leurs BCR aux autorités de contrôle concernées via l’autorité chef de file BCR depuis le 25 mai 2018. Cette mise à jour RGPD ne nécessite pas une nouvelle approbation européenne.
Quelle garantie appropriée choisir pour encadrer mes transferts ?
Les outils de transfert désormais proposés par le RGPD sont complémentaires et répondent chacun à un besoin spécifique tant pour le secteur privé que pour le secteur public. Tous ne sont pas encore effectifs mais, à terme, ils présentent des avantages réels pour toutes les parties prenantes, individus, partenaires commerciaux, autorités de protection des données. Ils permettent aux organisations d’offrir une meilleure conformité et une protection plus efficace pour les individus. En outre, les CEPD a adopté une série de recommandations destinées à aider les exportateurs de données européens à se conformer aux exigences complémentaires de la CJUE depuis l’arrêt Schrems II. Certaines concernent les garanties essentielles que la législation d’un pays tiers doit respecter en matière d’accès aux données à des fins de sécurité nationales, d’autres l’évaluation des transferts concernés et la mises en place des mesures supplémentaires possibles pour garantir le plein effet des garanties appropriées de l’article 46 du RGPD. Ces-dernières sont en cours de mises à jour suite à une consultation publique.
Quels travaux a mené le CEPD en matière de transfert ?
Le CEPD a mis à jour plusieurs documents adoptés par le G29 pour tenir compte du RGPD et des arrêts intervenus depuis. Les travaux ont essentiellement porté sur :
- les BCR responsables de traitement ;
- les BCR sous-traitants ;
- le référentiel d’adoption des décisions d’adéquation ;
- les lignes directrices en matière de garanties appropriées ;
- les lignes directrices en matière de dérogations ;
- les recommandations en matière de garanties essentielles pour l’accès aux données à des fins de sécurité nationale ;
- les recommandations du CEPD en matière de mesures supplémentaires pour les transferts au moyen de garanties appropriées.