Breaking news : Transferts de données - la reforme s’accélère et se concrétise

Depuis l’annulation du Privacy Shield en juillet, les interventions judiciaires et règlementaires se multiplient, avec, à la clé, une question centrale : comment composer entre le durcissement légal et la réalité opérationnelle en ce qui concerne les transferts de données personnelles en dehors de l'UE ?

Cette semaine a encore été mouvementée, avec la publication par les autorités européennes de deux documents ayant vocation à donner un cadre plus clair pour les acteurs économiques, plus précisément :

• Des recommandations, publiées par le comité européen de la protection des données (CEPD), sur les mesures pouvant complémenter les mécanismes de transferts afin d’assurer la conformité aux normes européennes de protection des données à caractère personnel.
• D'un nouveau projet de clauses contractuelles types (CCT), publié par la Commission européenne, visant à « moderniser » les CCT actuellement en vigueur. Une fois adoptées par la commission, ces nouvelles CCT auront vocation à constituer un instrument contractuel entre un organisme européen voulant transférer des données à caractère personnel vers un pays tiers et le destinataire situé dans le pays en question. Cet instrument fournirait alors des « garanties appropriées », facilitant le transfert, conformément à l’article 46 du RGPD, sous réserve des vérifications et mesures complémentaires visées par la Cour de justice de l’Union européenne dans son arrêt Schrems II et précisées par les recommandations précitées du CEPD.

Ces documents sont actuellement en phase de consultation avant une probable adoption courant 2021 mais les responsables du traitement doivent d’ores et déjà tirer les conséquences de l’arrêt Schrems II et de ses suites et procéder à un audit de leurs transferts dans un objectif de les mettre en conformité. 

En suivant le projet de recommendations du CEPD, cet audit et cette mise en conformité suivront les étapes suivantes :

1. Identifier les transferts en dehors de l'UE (« know your transfers »)

Le CEPD précise qu’il faut réaliser une cartographie détaillée de tous les transferts réalisés par l’organisme, en prenant en compte les transferts ultérieurs réalisés par le destinataire, le principe de minimisation des données, l’accès à distance aux données à des fins de maintenance, etc.

2. Identifier le mécanisme juridique permettant le transfert

Pour chaque transfert, il faut vérifier le fondement juridique : décision d’adéquation, garanties appropriées (CCT, BCR, etc …), dérogation, le cas échant.

3. Vérifier l’efficacité de vos garanties appropriées

Si le transfert est fondé sur une garantie appropriée, notamment les CCT, vous devez vous assurer, aux termes du CEPD, que cette garantie soit « efficace dans la pratique ». Il convient donc de procéder à une analyse, au cas par cas, de chaque transfert fondé sur un tel mécanisme, en fonction du risque qu’il présente pour les droits et libertés des personnes concernées. Le CEPD précise à ce titre que l’attention de l’exportateur doit être portée sur l’existence d’élément(s), dans la législation ou dans la pratique du pays de l’importateur qui pourrait porter atteinte à l’efficacité du mécanisme envisagé.

4. Adopter des mesures complémentaires

Si l’évaluation lors de l’étape 3 révèle que le mécanisme adopté (ex. CCT) n’est pas efficace, il faudra vérifier si des mesures supplémentaires capables d’assurer, en combinaison avec les garanties apportées par le mécanisme de transfert, le respect d’un niveau suffisant de protection existent. Ces mesures peuvent avoir une nature technique, contractuelle ou organisationnelle. Les Recommandations précitées du CEPD fournissent de nombreux exemples concrets de telles mesures, notamment en ce qui concerne les mesures techniques.

Si de telles mesures ne peuvent être identifiées, le CEPD rappelle qu’il faut mettre un terme au transfert.

5. Mise en place des formalités

Une fois que les garanties appropriées et, le cas échant, les mesures supplémentaires, seront identifiées, il faut réaliser les formalités nécessaires pour les mettre en place (ex. signature des CCT avec le destinataire, obtention de l’autorisation de la CNIL en cas de recours à des clauses contractuelles « ad hoc », etc.)

6. Revérification régulière

Le CEPD rappelle qu’il convient de contrôler, de façon continue, le niveau de protection des données dans les pays tiers en question.