Transférer des données personnelles en dehors de l’Union Européenne

  • 22 May, ’23
  • RGPD

Le 10 novembre 2020, le CEPD (Comité Européen de Protection des Données) a adopté 6 recommandations pour le transfert de données personnelles en dehors de l’Union Européenne.

Ces recommandations interviennent suite à l’arrêt de la Cour de Justice de l’Union Européenne du 16/07/2020, invalidant le Privacy Shield, dit « Arrêt Schrems II ».

Avant de revenir sur ces recommandations, détaillons un peu ce que sont les transferts de données, et comment ils doivent être encadrés et ce qu’a changé l’invalidation du Privacy Shield.

Les transferts de données hors UE

Un responsable de traitement qui autorise ou organise l’accès, l’envoi, la collecte, ou la consultation de données à un opérateur situé hors UE transfère des données hors UE, par définition.

Imaginons une société française dont les employés, clients, locaux, serveurs sont situés en France. Cette société est un opérateur télécom qui sous-traite sa plateforme d’appel téléphonique au Maroc. Ce sous-traitant reçoit les appels des clients français, et accède au logiciel de gestion des appels téléphoniques, pourtant hébergé en France. Cet opérateur télécom transfère donc des données hors UE.

Autre exemple : Une société souhaite faire de la segmentation de clientèle, et proposer des services plus adaptés aux besoins de ses clients. Pour cela, elle utilise les services de cloud et d’intelligence artificiel d’un acteur américain.

Cette société prend soin de supprimer toute identification de ses clients avant de lancer l’algorithme. Dans le fichier qu’elle envoie, elle garde un numéro client afin de faire le lien avec le client. Il s’agit également d’un transfert de données hors UE, et même si aucune donnée n’est sauvegardée sur ce cloud, car le numéro client est une donnée personnelle.

Les données peuvent être en clair, pseudonymisées ou même chiffrées, elles sont toujours sous le coup du chapitre V du RGPD (transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales).

Pour être autorisé à transférer des données hors UE, il faut les encadrer par des outils juridiques mis à disposition par les articles 45, 46, 47 et 49 du RGPD.

Les outils de transferts

Le RGPD met à disposition des outils pour encadrer juridiquement les transferts. En dehors de ces outils, et de rares exceptions, le transfert hors UE est interdit.

La décision d’adéquation :

Un pays adéquat est un pays qui offre le même niveau de protection des données personnelles que l’Union Européenne. La Suisse, la Norvège, l’Uruguay, la Nouvelle-Zélande, sont par exemple des pays dits adéquats.

Si un pays tiers a fait l’objet d’une décision d’adéquation par la Commission Européenne alors le transfert est autorisé sans encadrement supplémentaire.

Les Clauses Contractuelles Types

Les clauses contractuelles types sont des modèles de contrat qui ont été adoptées par la Commission Européenne. Elles définissent et régissent les transferts de données entre un exportateur et un importateur de données.

Ces clauses lient entre elles les 2 parties pour les transferts de données. Il en existe 2 types : de responsable de traitement à responsable de traitement, et de responsable de traitement à sous-traitant.

Attention à ne pas les modifier, sinon elles devront être soumises à une validation par l’autorité de contrôle, avant toute mise en œuvre de traitement ! Et le délai est long …

Les Binding Corporate Rules (BCR) ou les Règles d’Entreprise Contraignantes

Les BCR permettent d’encadrer les transferts de données entre plusieurs entités d’un même groupe (ou une multinationale) situées dans l’Union Européenne et en hors Union Européenne.

De même, les BCR doivent être validées par l’autorité de contrôle avant la mise en place de celles-ci et du ou des traitement(s).

Les dérogations (article 49)

Cet article comporte 8 dérogations. Ces dérogations sont faites pour les cas où le transfert ne peut reposer ni sur les CCT, ni sur les BCR ou ni sur tout autre moyen de transfert en vertu de l’article 46. Ces moyens doivent rester l’exception. Il faudra garder en tête que ces transferts doivent être « occasionnels » et « non répétitifs ». Ci-dessous quelques points de l’article 49.

La première dérogation est le consentement (art.49 §1, a) : la personne concernée consent explicitement à un transfert de ses données vers un pays tiers. Ceci inclut d’avoir informé la personne concernée des risques d’un tel transfert, d’être transparent et loyal.

Un tel transfert peut également avoir lieu lorsqu’il est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée (art.49 §1, b). Dans ce cas, il faudra prouver la nécessité d’un tel transfert, et son caractère occasionnel.

En ce qui concerne les données de santé, un transfert est envisageable s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement (art.49 §1, f). Il peut s’agir d’une personne grièvement blessée à l’étranger et dont seul le médecin traitant peut envoyer les données de santé. Il y a là un risque imminent de préjudice grave pour la personne concernée.

Les recommandations du CEPD

Le 10 novembre 2020, le CEPD a donc émis des recommandations sur les mesures supplémentaires à prendre pour être conforme aux exigences du RGPD en matière de transfert de données vers des pays tiers.

Ces recommandations valent pour les États-Unis, mais aussi pour tous les autres pays tiers.

  • 1ère recommandation : cartographier tous les transferts de données en dehors de l’Union Européenne. Il est nécessaire de s'assurer que les données personnelles transférées bénéficient d'un niveau de protection substantiellement équivalent (au RGPD), et vérifier qu’elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont transférées et traitées.
  • 2ème recommandation : vérifier l'outil de transfert sur lequel repose le transfert parmi ceux énumérés au chapitre V du RGPD (décision d’adéquation, CCT, BCR, dérogations, ...)
  • 3ème recommandation : évaluer si la loi ou la pratique du pays tiers en matière de protection des données pourrait avoir une incidence sur l'efficacité des garanties appropriées des outils de transfert sur lesquels le transfert repose, dans le contexte spécifique du transfert. Est-ce que les autorités peuvent avoir accès aux données transférées, comme le prévoit le Patriot Act ou le CLOUD Act ? Pour évaluer le risque d’un tel transfert, il ne faut pas s’appuyer sur la probabilité estimée d’un tel accès, mais plutôt sur d’autres facteurs plus objectifs.
  • 4ème recommandation : identifier et adopter des mesures supplémentaires. Si le transfert est basé sur l’article 46 (CCT, BCR, …), il faut se demander si la législation du pays tiers rend inopérants ces outils. Dans ce cas, des mesures techniques et organisationnelles supplémentaires sont nécessaires (chiffrement des données, pseudonymisation, chiffrement de bout-en-bout, …). Si aucune des mesures supplémentaires permet d’assurer un niveau de protection équivalent, le transfert doit être évité, suspendu ou même arrêté.
  • 5ème recommandation : formaliser toutes les procédures induites par les mesures supplémentaires mises en place.
  • 6ème recommandation : réévaluer régulièrement le niveau de protection du transfert.

Nos recommandations

L’arrêt Schrems II et les recommandations du CEPD (dans leur version complète) ont durci drastiquement les conditions d’un transfert conforme au RGPD. Il faut bien garder en tête que le niveau de protection accordé aux données transférées doit être substantiellement équivalent au cadre européen, pendant et après le transfert.

Le point primordial est l’accès non autorisé aux données de résidents Européens, où qu’elles soient stockées (ou transitent) dans le monde. Aucune autorité ne peut et ne doit accéder à ces données, que ce soit juridiquement ou physiquement. Même si la probabilité d’accès est infime, c’est l’existence même de cette probabilité qui empêche le transfert.

Notre conseil est donc d’éviter par tout moyen de transférer les données traitées en dehors de l’Union Européenne. Vous engagez votre responsabilité, vous devez prouver que votre transfert est licite, et qu’il n’y a aucune baisse du niveau de protection des données (principe d’accountability).

#RGPD #Security #Privacy
Transfert des données personnelles hors UE

Frédéric Fabregue

DPO Externe certifié, Cybersécurité, Lead Auditor ISO27001 et CEO de Solutions 909