Checklist pour le transfert de données à caractère personnel après Schrems II

Author info

L'arrêt de la CJUE du 16 juillet 2020 dans l'affaire Schrems II a créé beaucoup d'incertitude pour les organisations qui transfèrent des données à caractère personnelle en dehors de l'EEE. Non seulement le Privacy Shield UE-USA a été invalidé, mais la Cour a également imposé des conditions pour l'utilisation de clauses contractuelles types (SCC) comme mécanisme de transfert de données à caractère personnel vers des pays hors EEE et ce, sans aucun délai de grâce. Tout transfert de ce type doit à tout moment prévoir des garanties adéquates pour assurer un niveau de protection essentiellement équivalent à celui prévu par le droit communautaire. 

Mais comment cette exigence doit-elle être remplie dans la pratique? Peut-on attendre de la partie basée dans l'EEE qu'elle examine tous les systèmes juridiques étrangers et qu'elle décide au cas par cas si des garanties juridiques supplémentaires sont nécessaires ? Et quelles mesures devrait-elle prendre ? Comment devrait-elle assurer une protection adéquate contre l'accès des autorités publiques dans les pays non membres de l'EEE ? Comment devrait-elle veiller à ce que les droits ou les recours des personnes concernées soient respectés à tout moment ?

Le Comité européen de la protection des données (CEPD) et la Commission européenne ont tous deux présenté leurs premières orientations et instruments pratiques les 11 et 12 novembre 2020 respectivement.

1. L'orientation CEPD du 11 novembre 2020

Le CEPD a en fait émis deux séries de recommandations

Première série 

Recommandations sur les mesures complémentaires pour les outils de transfert 

 

Statut : projet

 

Les organisations peuvent donner des commentaires jusqu'au 21 décembre 2020.

Cet ensemble contient le projet de mesures supplémentaires recommandées par la CEPD pour rendre les transferts internationaux autorisés dans le cadre du RGPD. 

Le CEPD propose de suivre une feuille de route comportant six étapes logiques et raisonnables (confirmant ainsi ce que certaines organisations avaient déjà fait depuis la décision Schrems II) : 

Étape 1. Connaissez vos transferts. 

> par exemple, évaluez la nécessité du transfert, assurez la minimisation des données, etc. Cela nécessite un exercice approprié de cartographie des données. Y a-t-il des transferts ultérieurs ?

Étape 2. Vérifiez les outils de transfert sur lesquels vous comptez. 

> Articles 45 à 49 du RGPD.

> seules les décisions d'adéquation de la CE offrent une certitude à 100 %.

Étape 3. Évaluer son efficacité dans le contexte du droit ou de la pratique du pays tiers. 

> Pour cette évaluation, la deuxième série de recommandations du CEPD sera utile ainsi que certaines initiatives académiques, comme celle-ci.

> demandez à l'importateur de données de fournir des informations sur la législation, la jurisprudence et la doctrine du pays tiers.

Étape 4. Identifier et adopter des mesures complémentaires en vue d'atteindre une protection équivalente.

> ces mesures peuvent être des mesures techniques (par exemple le cryptage), organisationnelles (par exemple les politiques internes) ou juridiques (par exemple les contrats).

> ne transférez pas les données si les mesures complémentaires semblent insuffisantes. 

Étape 5. Prendre des mesures procédurales formelles pour remplir la quatrième étape si nécessaire.

> contactez l'autorité de surveillance compétente si nécessaire en vertu de l'article 45 ou 46 du RGPD.

Étape 6. Évaluez régulièrement vos mesures complémentaires.

> Il se peut que l'outil de transfert et les éventuelles mesures complémentaires doiventêtre modifiés au fil du temps. 

Deuxième série

Recommandations sur les garanties essentielles européennes pour les mesures de surveillance 

Statut : définitif

Cette série fournit des conseils sur la manière d'évaluer l'efficacité de l'outil de transfert dans le contexte du droit ou de la pratique du pays tiers.

 

 

2. Le pojet de SCCs du 12 novembre 2020

La Commission européenne a publié les nouveaux SCC tant attendus conformément à la RGPD ainsi que le projet de décision d'application pour ces SCC. 

Comme prévu, les nouveaux SCC adoptent une approche modulaire à utiliser dans 4 scénarios

(i) les transferts de contrôleur à contrôleur ; 

(ii) les transferts de contrôleur à processeur ;

(iii) les transferts de processeur à processeur ; et

(iv) les transferts de processeur à contrôleur.

Les nouveaux SCC exigent des exportateurs de données qu'ils effectuent une évaluation de l'impact du transfert de données (EIT). Une telle EIT est donc désormais une exigence formelle et ne repose plus uniquement sur les orientations du CEPD. 

Les sous-traitants secondaires devraient accepter les audits du contrôleur basé dans l'EEE. Comme il peut y avoir un très grand nombre de contrôleurs qui dépendent du même sous-processeur, il sera intéressant de voir comment les sous-processeurs réagiront à une telle exigence.

Il subsiste une différence entre les organisations non basées dans l'EEE qui sont directement et pleinement soumises à la RGPD et celles qui sont contractuellement tenues de suivre ses principes basés sur les SCC.

Les nouveaux SCC sont encore à l'état de projet. Les organisations peuvent donner leur avis jusqu'au 10 décembre 2020. L'adoption des SCC définitifs est prévue pour le début de l'année 2021.

3. Notre évaluation et nos principaux enseignements

1. Profitez de l'occasion pour donner votre avis

Nous encourageons les organisations à profiter de l'occasion qui leur est donnée pour faire part de leurs commentaires sur la première série de recommandations du CEPD et sur les projets de SCC jusqu'au 21 décembre 2020 et au 10 décembre 2020 respectivement. 

2. Il est nécessaire d'agir maintenant et de documenter votre approche

Les autorités de contrôle appliqueront les nouvelles exigences et rien n'indique qu'elles reporteront leurs actions. Il n'est donc pas possible d'adopter une approche attentiste. Les organisations devraient commencer leur exercice de cartographie des données et leur évaluation de l'impact du transfert de données dès que possible. Cela devrait leur permettre de tirer les premières conclusions sur la nécessité ou non de mesures de protection supplémentaires et sur leur forme. Tous les efforts déployés à cet égard devraient être dûment documentés dans le cadre de l'obligation générale de rendre compte prévue par le RGPD.

3. Les recommandations du CEPD ne sont pas prêtes à l'emploi

Les recommandations du CEPD sont de nature assez générique et recommandent les mêmes mesures pour tous les types de données à caractère personnelle, sans tenir compte de la nature des données. Ceci est regrettable du point de vue de la proportionnalité. Par conséquent, les organisations devraient toujours procéder à cette évaluation pour elles-mêmes. 

4. Les projets de SCC sont complexes et détaillés, offrant davantage de possibilités

Les nouveaux SCC offrent davantage de possibilités. Les contrôleurs et les sous-traitants basés dans l'EEE peuvent choisir le module qui leur convient le mieux et peuvent intégrer les clauses dans un accord plus large. Les orientations du CEPD doivent être prises en compte afin de compléter les SCC lorsque cela est approprié et nécessaire. Les mesures contractuelles supplémentaires pourraient, par exemple, inclure l'obligation d'informer l'exportateur basé dans l'EEE de toute demande d'accès et de divulgation dans le pays tiers et d'obtenir une dérogation lorsque cela est possible.

Une période d'un an est prévue pour abroger les SCC actuellement utilisés. Bien que les nouveaux SCC ne soient pas formellement adoptés avant le début de 2021, nous recommandons aux organisations qui transfèrent beaucoup de données à caractère personnelle, surtout lorsque ces données sont sensibles, de commencer par leur TIA dès maintenant. 

Dans le cas d'un Brexit sans accord d'ici la fin de la période de transition, le 31 décembre 2020, les organisations basées dans l'EEE devraient mettre en place les SCC actuels à partir du 1er janvier 2021 en ce qui concerne les importateurs de données britanniques et les remplacer par les nouveaux SCC quelques mois plus tard. 

5. Les mesures techniques peuvent aider à atteindre une protection adéquate mais ne le feront pas nécessairement

Le cryptage et la pseudonymisation peuvent être utilisés, mais uniquement si leur utilisation offre réellement une protection efficace et adéquate. Le cryptage doit être très fort et se faire de telle manière que les données ne puissent pas être décryptées dans le pays tiers, même si les données au repos sont entièrement cryptées. Par conséquent, l'importateur de données ne peut être impliqué d'aucune manière dans la gestion des clés. Cela signifie que les exportateurs de données basés dans l'EEE doivent s'assurer que la pseudonymisation appliquée rend impossible toute réidentification de la personne concernée dans le pays tiers. Cette obligation peut s'avérer très difficile à remplir.