Ainsi que nous le soulevions récemment, la décision de la Cour de Justice de l’Union européenne -ou « CJUE »- invalidant la décision d’adéquation du Privacy Shield est et sera lourde de conséquences pour les entreprises s’agissant de la mise en œuvre de flux transfrontières de données à caractère personnel, qu’il s’agisse pour ces dernières de transférer de telles données vers des Etats hors Union européenne, de faire stocker, héberger ces données hors Union européenne, ou encore de permettre l’accès à de telles données depuis des Etats non membres de l’Union européenne (voir notre article au sujet de l’arrêt précité dit « Schrems II » ainsi que notre article au sujet des premiers retentissements de cet arrêt)!
En effet, outre l’impossibilité désormais de se fonder sur l’adhésion de l’importateur de données (i.e. l’organisme qui reçoit ou accède à des données à caractère personnel depuis un pays situé hors Union européenne) au Privacy Shield pour transférer des données à caractère personnel vers les Etats-Unis, il résulte de cette décision dite « Schrems II » que l’encadrement de flux transfrontières de données à caractère personnel vers un Etat situé hors Union européenne (tels que les Etats-Unis) au moyen des clauses contractuelles types élaborées par la Commission européenne peut ne pas suffire pour que de tels flux soient considérés comme mis en œuvre de manière licite (notamment dans le cas où la règlementation du pays destinataire des données ne permet pas au cocontractant hors Union européenne de respecter les obligations contenues dans lesdites clauses contractuelles types).
Dans une telle hypothèse, le déploiement de mesures complémentaires pour encadrer de tels flux transfrontières apparaît nécessaire afin que ces transferts de données à caractère personnel soient conformes à la règlementation applicable en matière de protection des données à caractère personnel.
A cet égard, le Comité européen de la protection des données (ou CEPD) est en cours d’élaboration de documents ayant vocation à aider et à guider les responsables de traitements et les sous-traitants en vue de l’analyse par leurs soins des flux transfrontières de données à caractère personnel qu’ils mettent en œuvre et de la détermination des mesures complémentaires devant éventuellement être déployées.
Les critères à prendre en compte pour apprécier le niveau de protection des données au sein du pays destinataire
Aux termes de sa recommandation 02/2020 telle que définitivement adoptée le 10 novembre dernier, le CEPD est venu insister sur la nécessité, en cas de flux transfrontière, d’évaluer notamment le niveau de protection des données à caractère personnel existant dans le pays destinataire desdites données, notamment en examinant si des mesures de surveillances existantes localement et permettant l’accès aux données à caractère personnel par les autorités publiques, les agences de sécurité nationale ou les autorités chargées de l’application de la loi peuvent être considérées comme une ingérence justifiable ou pas, afin de déterminer si une telle ingérence va au-delà ou non de ce qui est nécessaire et proportionné dans une société démocratique. Pour ce faire, le CEPD précise qu’il convient de vérifier si :
- le traitement de données à caractère personnel est basé sur des règles claires, précises et accessibles ;
- peuvent être démontrées la nécessité et la proportionnalité de cette ingérence au regard des objectifs légitimes poursuivis ;
- il existe un mécanisme de contrôle indépendant ;
- des recours efficaces sont mis à la disposition des personnes concernées.
Une telle analyse a pour objectif de déterminer si l’ingérence dans les droits et libertés des personnes concernées, et donc si la législation applicable dans le pays destinataire des données répond ou non aux exigences des garanties essentielles européennes.
Si tel n’est pas le cas, alors il convient de considérer que le pays destinataire des données n’assure pas une protection des données essentiellement équivalente à celle garantie par l’Union européenne et donc, dans une telle hypothèse, de suspendre ou mettre fin par principe aux transferts de données à caractère personnel concernés.
Les mesures à déployer pour sécuriser les transferts hors Union européenne ?
Ensuite, dans un projet de recommandation 01/2020 soumis à consultation publique, le CEPD présente aux exportateurs de données à caractère personnel (i.e. les organismes qui transfèrent des données à caractère personnel vers un pays situé hors Union européenne) une série d’étapes à suivre et quelques exemples des mesures complémentaires qui pourraient être mises en place pour assurer la licéité des flux transfrontières de données.
A cet égard, le CEPD recommande de procéder aux actions suivantes, qu’il convient de documenter, :
- recenser les transferts de données à caractère personnel effectivement mis en œuvre ou dont la mise en œuvre est envisagée (en tenant compte des transferts dits « ultérieurs ») et s’assurer, pour chacun des transferts ainsi identifiés, que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont transférées et traités dans le pays situé hors Union européenne ;
- identifier les garanties sur lesquelles repose chaque transfert de données à caractère personnel (décision d’adéquation, règles d’entreprise contraignantes ou « Binding corporate rules », clauses contractuelles types,…) ou si des dérogations en raison de la situation particulière autorisant la mise en œuvre de transferts occasionnels et non répétitifs sont applicables ;
- procéder à une analyse spécifique pour évaluer si la règlementation en vigueur et/ou les pratiques effectives au sein de l’Etat destinataire des données pourraient affecter l’efficacité des garanties encadrant chaque transfert (par exemple si cette règlementation et/ou ces pratiques pourraient avoir pour conséquences d’empêcher l’application effective des clauses contractuelles types ayant vocation à encadrer le transfert), en vérifiant notamment si des dispositions pourraient faire obstacle à l’exercice effectif des droits des personnes concernées ou à leur droit à un recours effectif en cas d’accès par des autorités publiques à leurs données à caractère personnel ;
- étant précisé en conclusion que :
-
- si le pays destinataire des données assure une protection des données essentiellement équivalente à celle garantie par l’Union européenne et ne remet pas en cause la possibilité de respecter les stipulations des garanties encadrant le transfert (par exemple les stipulations des clauses contractuelles types), alors la mise en œuvre de telles garanties est suffisante ;
- si le pays destinataire des données n’assure pas une protection des données essentiellement équivalente à celle garantie par l’Union européenne et/ou si l’importateur de données à caractère personnel ne peut pas se conformer à ses obligations issues des garanties encadrant le transfert (par exemple à ses obligations figurant dans les clauses contractuelles types) en raison de la législation et / ou des pratiques du pays tiers, il convient d’identifier et adopter les mesures complémentaires (contractuelles, techniques et/ou organisationnelles) nécessaires pour assurer un niveau de protection équivalente, en collaborant avec l’importateur des données à caractère personnel, étant précisé que le CEPD considère que les seules mesures organisationnelles et/ou contractuelles ne pourront généralement pas empêcher efficacement l’accès aux données par les autorités publiques locales mais qu’elles pourraient opportunément compléter des mesures techniques mises en œuvre (par exemple, le chiffrement des données sous réserve que la clé de déchiffrement soit détenue uniquement par l’exportateur des données, ou encore la pseudonymisation des données à condition que seul l’exportateur des données détienne les informations supplémentaires nécessaires pour identifier les personnes concernées – pour en savoir plus et pour d’autres exemples pratiques de mesures complémentaires pouvant opportunément être déployées, voir le projet de recommandation du CEPD);
- s’il n’est pas possible de mettre en œuvre des mesures appropriées efficaces garantissant la licéité et la conformité aux dispositions et recommandations applicables de tels transferts hors Union européenne de données à caractère personnel, alors il conviendra de suspendre ou mettre fin à ces transferts.
-
Le CEPD insiste également sur la nécessité de réévaluer à intervalles réguliers, le cas échéant en collaboration avec les importateurs de données, le niveau de protection des données encadrant les transferts mis en œuvre.
En tout état de cause, il résulte de ce qui précède qu’il convient en principe de ne pas mettre en œuvre de flux transfrontières de données à caractère personnel tant que l’analyse spécifique susvisée n’a pas été effectuée, une telle analyse étant un préalable nécessaire pour tenter de « sécuriser » la pratique et les flux envisagés.
La publication d’un projet de nouvelles clauses contractuelles types
La Commission européenne vient par ailleurs de publier un projet de nouvelles clauses contractuelles types, lesquelles ont vocation à encadrer les flux transfrontières de données à caractère personnel :
- d’un responsable de traitement vers un autre responsable de traitement ;
- d’un responsable de traitement vers un sous-traitant ;
- d’un sous-traitant vers un autre sous-traitant ;
- d’un sous-traitant vers un responsable de traitement.
Ces clauses contractuelles types, une fois entrées en vigueur dans leur version définitive, auront vocation à remplacer celles en vigueur à date et il conviendra de les faire signer aux cocontractants appropriés (dans les futurs contrats ou en remplacement -par voie d’avenant- le cas échéant de celles déjà conclues dans leur version en vigueur à ce jour dans les contrats en cours).
* *
*
Il résulte de ce qui précède que la mise en œuvre de tout flux transfrontière de données, effective ou envisagée, et ayant vocation à être encadrée par la conclusion de clauses contractuelles types ou par d’autres garanties contractuelles, doit nécessairement faire l’objet d’une analyse spécifique préalable en vue (i) de vérifier si le pays destinataire des données assure ou non un niveau de protection essentiellement équivalent à celui garanti au sein de l’Union européenne et, si tel n’est pas le cas, (ii) de déterminer et de déployer les mesures complémentaires nécessaires pour que de tels flux puissent être encadrés conformément à la règlementation applicable en matière de protection des données à caractère personnel et aux recommandations des autorités en la matière.
Par ailleurs, il convient de garder à l’esprit que la recommandation du CEPD relative aux mesures complémentaires pouvant être déployées pour assurer la conformité des flux transfrontières ainsi que les nouvelles clauses contractuelles types proposées par la Commission européenne ne sont à date que des projets, et donc susceptibles d’ajustements à l’issue de leur phrase respective de consultation publique. Aussi, il appartient à tous les organismes traitant des données à caractère personnel et susceptibles de mettre en œuvre de tels flux de tenir compte d’ores et déjà des éléments contenus dans ces documents et de faire preuve de vigilance et de rester attentifs à la publication des versions définitives de ces documents, et ce afin de déployer les actions appropriées en vue de la mise en conformité de leurs pratiques effectives ou envisagées, étant rappelé que la mise en œuvre des flux transfrontières de données doit en tout état de cause faire l’objet d’une validation d’un point de vue juridique avant son déploiement.
Mise à jour (1) : lors de la publication de la version initiale du présent article, les clauses contractuelles types précitées ayant vocation à encadrer les flux transfrontières de données à caractère personnel étaient au stade de « projet ». Agil’IT vous informe que la version définitive de ces clauses contractuelles types a été adoptée par la Commission européenne le 4 juin 2021 (pour consulter la version définitive, en français, de ce document, cliquez ici).
Mise à jour (2) : lors de la publication de la version initiale du présent article, la recommandation 01/2020 visée ci-dessus était au stade de « projet », soumise à consultation publique. Agil’IT vous informe que la version définitive de ce document a été adoptée par le CEPD le 18 juin 2021 (pour consulter la version définitive, en anglais, de ce document, cliquez ici).
AGIL’IT ne manquera pas bien entendu pas de vous tenir informés des évolutions relatives aux modalités juridiques d’encadrement des flux transfrontières de données hors Union européenne et se tient à votre disposition pour vous accompagner en vue d’une mise et / ou d’un maintien en conformité de vos transferts de données à caractère personnel hors Union européenne au regard de la règlementation applicable.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate