charles taylor - stock.adobe.com
Recommandations 2.0 du CEPD : quelles évolutions pour les exportateurs de données ?
Ces recommandations du Comité Européen de Protection des Données font suite à la publication par la Commission des nouvelles Clauses Contractuelles Types. Me Sabine Marcellin explique les évolutions notables pour les utilisateurs de clouds américains.
Le CEPD (Comité Européen de Protection des Données) partage depuis le 18 juin 2021 une nouvelle version des « Recommandations sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données ».
Ces recommandations font suite à la publication d’une nouvelle version des Clauses Contractuelles Types (CCT), le 4 juin. Concrètement, quelles sont les évolutions notables pour les exportateurs de données personnelles ?
Le contexte post Schrems II
Comme la CJUE (Cour de Justice de l’Union européenne) l’a rappelé dans son arrêt Schrems II, le RGPD impose aux exportateurs de données d’évaluer les conditions qui encadrent les transferts de données personnelles.
Les responsables de traitement et leurs sous-traitants se doivent de mettre en place des mesures adaptées, pour garantir que ces données font l’objet d’une protection équivalente à celle garantie au sein de l’Union européenne. Ces outils de transfert comprennent les CCT mais également les dérogations, Règles d’Entreprises Contraignantes (BCR) et Arrangements Administratifs.
Dans cet arrêt, la Cour indiquait que les CCT pouvaient toujours être utilisées pour les transferts, mais qu’il incombe à l’exportateur d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le RGPD.
Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection équivalent. C’est à propos de ces mesures complémentaires que le CEPD a publié, le 18 juin dernier, la version finale de ses Recommandations.
Nouveautés des recommandations 2.0
La version finale des recommandations comprend plusieurs modifications, par rapport à la première version de novembre 2020, faisant suite aux commentaires reçus lors de la consultation publique.
La présidente du CEPD, Andrea Jelinek, a déclaré que « l’impact de Schrems II ne peut être sous-estimé : les flux de données internationaux sont déjà soumis à un examen beaucoup plus attentif de la part des autorités de contrôle, qui mènent des enquêtes à leurs niveaux respectifs. L’objectif des recommandations du CEPD est de guider les exportateurs dans le transfert licite de données à caractère personnel vers des pays tiers, tout en garantissant que les données transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’Espace économique européen. »
Parmi les principales modifications figurent :
- l’importance accordée à l’examen des pratiques des autorités publiques des pays tiers dans l’évaluation juridique des exportateurs,
- la possibilité que l’exportateur tienne compte dans son évaluation, avec certaines réserves, de l’expérience pratique de l’importateur et,
- la précision selon laquelle la législation du pays tiers de destination permettant à ses autorités d’accéder aux données transférées, même sans l’intervention de l’importateur, peut également empiéter sur l’efficacité de l’outil de transfert.
Ces recommandations contiennent, dans leur annexe 2, une liste non exhaustive d’exemples de mesures.
Le document précise que certaines mesures supplémentaires peuvent être efficaces dans certains pays, mais pas nécessairement dans d’autres.
Les mesures peuvent être d’ordre technique, contractuel ou opérationnel.
Dans cette annexe, parmi ces exemples de mesures techniques figurent le chiffrement ou la pseudonymisation, détaillés par des cas d’usage.
Les exemples d’ordre contractuel portent notamment sur la transparence des obligations légales de l’importateur ou son obligation d’assurer l’application des droits des personnes.
Quant aux mesures opérationnelles, il peut s’agir de politiques internes imposées par l’exportateur à l’importateur ou de méthodes de minimisation des données.
L’exportateur reste responsable d’évaluer leur efficacité dans le contexte du transfert, et à la lumière de la législation, de l’outil de transfert choisi et des pratiques des pays tiers. Ces mesures doivent être documentées et réévaluées dans le temps.
Dans les cas où aucune mesure supplémentaire n’est appropriée, la rédaction des Recommandations conseille de suspendre ou de mettre fin au transfert.
Quelles précautions prendre en pratique ?
Les exportateurs de données doivent identifier l’ensemble des transferts de données personnelles hors de l’UE, vers les États-Unis ou d’autres pays, à l’exception des pays considérés comme en adéquation avec le RGPD.
Ensuite, ceux-ci doivent procéder à une évaluation rigoureuse de la légalité de chacun de ces transferts. Puis, ces entreprises exportatrices doivent prévoir un plan d’action pour permettre leur mise en conformité avec le cadre juridique applicable.
Depuis le 23 juin dernier, la CNIL propose une méthodologie pour encadrer les transferts.
Sa préconisation est de vérifier les outils numériques, les contrats et d’élaborer un document synthétique recensant les transferts. En connaissant la criticité des transferts et les solutions envisageables, la Commission recommande de définir un plan d’action et de le soumettre au responsable de la structure exportatrice. Et de revoir régulièrement la conformité des flux. Cette méthode complète les Recommandations du CEPD.
Ces Recommandations, malgré leur intitulé, ont bien un caractère obligatoire et toutes les entreprises européennes y sont soumises, afin de ne pas courir le risque de sanctions prévues au RGPD.
Pour les exportateurs disposant déjà d’anciennes CCT conformes, un délai de 18 mois est accordé afin de procéder à leur adaptation.
Pour toutes les entreprises exportant des données, vers les États-Unis ou ailleurs, ces exigences européennes de protection des données personnelles vont nécessiter un effort de mise en conformité.
Me Sabine Marcellin est avocate associée au cabinet DLGA.
Pour approfondir sur Applications et services
-
Réseau : Pourquoi et comment utiliser TFTP pour transférer des fichiers ?
-
DMA : des membres du Congrès américain craignent pour la compétitivité des géants du cloud
-
Data privacy Framework : un accord qui passe difficilement en Europe
-
RGPD : la Commission européenne veut harmoniser le traitement des dossiers transfrontaliers