Depuis l’annulation du Privacy Shield en juillet, les interventions judiciaires et règlementaires se multiplient, avec, à la clé, une question centrale : comment composer entre le durcissement légal et la réalité opérationnelle en ce qui concerne les transferts de données personnelles en dehors de l'UE ?
Cette semaine a encore été mouvementée, avec la publication par les autorités européennes de deux documents ayant vocation à donner un cadre plus clair pour les acteurs économiques, plus précisément :
Ces documents sont actuellement en phase de consultation avant une probable adoption courant 2021 mais les responsables du traitement doivent d’ores et déjà tirer les conséquences de l’arrêt Schrems II et de ses suites et procéder à un audit de leurs transferts dans un objectif de les mettre en conformité.
En suivant le projet de recommendations du CEPD, cet audit et cette mise en conformité suivront les étapes suivantes :
1. Identifier les transferts en dehors de l'UE (« know your transfers »)
Le CEPD précise qu’il faut réaliser une cartographie détaillée de tous les transferts réalisés par l’organisme, en prenant en compte les transferts ultérieurs réalisés par le destinataire, le principe de minimisation des données, l’accès à distance aux données à des fins de maintenance, etc.
2. Identifier le mécanisme juridique permettant le transfert
Pour chaque transfert, il faut vérifier le fondement juridique : décision d’adéquation, garanties appropriées (CCT, BCR, etc …), dérogation, le cas échant.
3. Vérifier l’efficacité de vos garanties appropriées
Si le transfert est fondé sur une garantie appropriée, notamment les CCT, vous devez vous assurer, aux termes du CEPD, que cette garantie soit « efficace dans la pratique ». Il convient donc de procéder à une analyse, au cas par cas, de chaque transfert fondé sur un tel mécanisme, en fonction du risque qu’il présente pour les droits et libertés des personnes concernées. Le CEPD précise à ce titre que l’attention de l’exportateur doit être portée sur l’existence d’élément(s), dans la législation ou dans la pratique du pays de l’importateur qui pourrait porter atteinte à l’efficacité du mécanisme envisagé.
4. Adopter des mesures complémentaires
Si l’évaluation lors de l’étape 3 révèle que le mécanisme adopté (ex. CCT) n’est pas efficace, il faudra vérifier si des mesures supplémentaires capables d’assurer, en combinaison avec les garanties apportées par le mécanisme de transfert, le respect d’un niveau suffisant de protection existent. Ces mesures peuvent avoir une nature technique, contractuelle ou organisationnelle. Les Recommandations précitées du CEPD fournissent de nombreux exemples concrets de telles mesures, notamment en ce qui concerne les mesures techniques.
Si de telles mesures ne peuvent être identifiées, le CEPD rappelle qu’il faut mettre un terme au transfert.
5. Mise en place des formalités
Une fois que les garanties appropriées et, le cas échant, les mesures supplémentaires, seront identifiées, il faut réaliser les formalités nécessaires pour les mettre en place (ex. signature des CCT avec le destinataire, obtention de l’autorisation de la CNIL en cas de recours à des clauses contractuelles « ad hoc », etc.)
6. Revérification régulière
Le CEPD rappelle qu’il convient de contrôler, de façon continue, le niveau de protection des données dans les pays tiers en question.