Le transfert des données
Le 4 mars 2024, la Commission européenne a accueilli la première réunion internationale de haut niveau sur la sécurité des flux de données.
C’est à cette occasion que Didier REYNDERS, à propos du transfert de données entre les pays européens et les pays bénéficiant de décision d’adéquation, a déclaré:
« Les flux transfrontaliers de données font partie intégrante de notre économie et de notre vie quotidienne. Nous formons, avec 15 autres pays, les réseaux les plus vastes au monde pour des flux de données sûrs et libres. Avec le développement de l’intelligence artificielle et les défis mondiaux posés par les nouvelles technologies, notre coopération pour promouvoir l’utilisation responsable des données et des flux de données fiables est plus importante que jamais. »
La CNIL définit le transfert de données comme étant « Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne. »
En effet, lorsqu’elles transitent au sein de l’Union Européenne, grâce au RGPD, les données à caractère personnel bénéficient du principe de libre circulation.
Concrètement, ce principe implique « qu’un responsable de traitement peut exporter ou importer des données au sein de l’Union Européenne sans avoir à accomplir de formalités spécifiques » (Manuel La protection des données personnelles/ les principales clés du RGPD, 5ème édition, Guillaume DESGENS-PASANAU)
En pratique, cet import/export qu’est le transfert, inclue les données personnelles qui naviguent via un réseau, un courrier électronique, un cloud, mais aussi sur un support physique tel qu’un disque dur ou une clé USB par exemple.
Comment sécuriser au maximum un transfert des données personnelles de la France vers un pays tiers à l’Union Européenne grâce au RGPD, à la CNIL, et aux recommandations européennes?
1. Le principe : l’interdiction de transfert de données sans garanties appropriées, une protection contre les paradis de données
Le RGPD dédie son 5ème chapitre à la problématique des « Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales »
L’esprit de ce texte est d’interdire de transférer des données vers des pays sans niveau de protection suffisant, et ce afin d’éviter de les envoyer vers les « paradis de données » :
« Un paradis des données en analogie au paradis fiscaux, est un refuge permettant la diffusion sans limites de tous types d'information et de données.
Les paradis de données sont généralement des localisations dont l'environnement légal est favorable à l'idée qu'un réseau informatique détienne tous types de données et les protège ainsi que les informations associées. On distingue 3 type de paradis des données : (1) un emplacement géographique avec une réglementation faible en matière d'extradition et de lois informatique, (2) un emplacement géographique avec une réglementation forte concernant la protection des données et de la vie privée et, (3) un espace virtuel conçu pour sécuriser les données par des moyens techniques (tel que le chiffrement) insensible à l'environnement légal.
Ces paradis de données permettent alors de contourner la législation sur la protection des données personnelles, et donc le RGPD en ce qui concerne les citoyens européens.
Cette volonté de l’Europe de lutter contre les paradis de données n’est pas nouvelle, tout comme l’expression « paradis de données »
En effet, dès 1980, il y a donc 44 années de cela, une « convention européenne pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel » était adoptée à Strasbourg : la même année, le journal Le Monde publiait alors un article à ce sujet, dont le titre était « L’Europe s’organise contre les paradis de données »
2. Le RGPD, véritable « boîte à outils » dans l’encadrement des transferts de données
Le RGPD propose deux grandes solutions afin de sécuriser les transferts de données en dehors de l’Union Européenne :
- La « décision d’adéquation » (article 45 du RGPD)
- Les « garanties appropriées » ( article 46 du RGPD), dans le cas où il n’existerait pas de décision d’adéquation.
Qu’est-ce qu’une décision d’adéquation et quels en sont les avantages ?
Les avantages d’une telle décision est qu’il permet de garantir la conformité au RGPD du pays qui en bénéficie, et donc de ne pas avoir à établir de « garanties appropriées ».
Finalement, lorsqu’un pays destinataire bénéficie d’une décision d’adéquation, c’est comme s’il était considéré comme étant un pays soumis au RGPD : il est alors possible de procéder avec lui à une libre circulation des données personnelles.
Concrètement, une liste des décisions d’adéquation est disponible sur le site web de la commission européenne : cela permet de vérifier si le pays destinataire des données est en adéquation avec le RGPD.
Attention toutefois de bien consulter cette liste puisque les décisions d’adéquation ne sont pas définitives, elles font l’objet de réexamen régulier afin de vérifier que les pays en bénéficiant maintiennent un niveau de protection des données suffisant.
La liste la plus récente, mise à jour à la date du 15 janvier 2024, mentionne 16 pays et territoires tiers, lesquels peuvent donc échanger leurs flux de données avec les pays européens.
Il s’agit de : l'Andorre, l'Argentine, le Canada (organisations commerciales), les Îles Féroé, Guernesey, Israël, l'Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée (Corée du Sud), la Suisse, le Royaume-Uni (au titre du RGPD et de la directive en matière de protection des données dans le domaine répressif), les États-Unis (pour les organisations commerciales certifiées au titre du cadre de protection des données UE - États-Unis) et l'Uruguay.
De plus, même s’ils ne sont pas dans la liste, il faut savoir que l’Islande, le Liechtenstein et la Norvège (PDF) sont considérés comme ayant une législation équivalente au RGPD, que ces pays respectent : les données à caractère personnel peuvent donc y circuler librement.
Dans le cas où il s’agirait d’exporter/ importer des données personnelles vers un Etat qui ne serait pas mentionné dans la liste des pays bénéficiant de décisions d’adéquation, il faut envisager des « garanties appropriées ».
Concrètement, qu’entend le RGPD par « garanties appropriées » ?
Ce terme général désigne en réalité plusieurs moyens bien spécifiques, détaillés par la CNIL :
des clauses contractuelles types (CCT) de la Commission européenne ;
des règles internes d’entreprises (BCR) ;
des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;
des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).
Zoom sur les CCT (clauses contractuelles types)
La CNIL explique que : « Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. »
Les clauses contractuelles type sont accessibles sur le site de la Commission européenne.
Les CCT concernent 4 situations:
les transferts entre responsables de traitement UE et responsables de traitement non UE ;
les transferts de responsables de traitement UE à sous-traitants non UE.
les transferts de sous-traitants UE à des responsables de traitement non UE ;
les transferts entre sous-traitants UE et sous-traitants non UE.
L’avantage de l’utilisation des CCT est la dispense de demande d’autorisation à la CNIL.
Focus sur les BCR (binding corporate rules), les règles d’entreprises contraignantes.
Il existe deux catégories de BCR’s : d’une part, les BCRs « responsables de traitement » et d’autre part, les BCRs « sous-traitant ».
Ces règles peuvent faire l’objet d’une approbation par la CNIL, laquelle propose une démarche d’accompagnement.
A la date du 15 avril 2014, ce sont « près de 240 dossiers ont été approuvés au niveau européen, dont plus de 50 par la CNIL. Ce chiffre est en constante augmentation, une centaine de dossiers sont actuellement en cours d’instruction. (…)Plusieurs milliers de sociétés, filiales adhérentes aux BCR, ont mis en place un cadre de gouvernance pour assurer leur conformité. Par effet de levier, ce sont des dizaines de millions de personnes qui bénéficient des mesures de protection. »
Il est possible de consulter la liste des groupes détenteurs des BCR sur le site de la CNIL: Liste des groupes détenteurs de BCR | CNIL
Dans le cas où le transfert est fondé sur des règles internes d’entreprises, l’autorisation de la CNIL n’est pas nécessaire.
Il s’agit là d’un avantage comparé à l’utilisation des clauses contractuelles spécifiques et des dispositions à intégrer dans des arrangements administratifs, pour lesquelles il est nécessaire d’obtenir une autorisation de la CNIL.
3. Les 6 étapes d’évaluation de l’exportateur de données
Dans son guide de recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE (PDF), l’European Data Protection Board (edpb) recommande à l’exportateur de données de suivre scrupuleusement les étapes suivantes :
1) Connaître ses transferts : les cartographier et vérifier que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
2) Vérifier sur quel instrument le transfert s’appuie : décision d’adéquation (article 45 RGPD) ou garantie appropriée (article 46 RGPD) ?
3) Evaluer des droits et pratiques du pays tiers : la protection va-t-elle être effective ? Les pratiques des autorités publiques et le respect des droits fondamentaux constituent un bon indicateur pour l’exportateur. En cas de doute, il faudra envisager de suspendre le transfert ou d’ajouter des mesures supplémentaires.
4) Identifier et adopter les mesures supplémentaires : si et seulement si l’exportateur pense lors de l’étape 3 que les pratiques du pays de destination portent atteinte à l’efficacité de l’instrument de transfert.
5) Prendre des mesures procédurales formelles : par exemple, approbation des BCRs
Dernière étape : réévaluer à intervalles appropriés le niveau de protection dont bénéficient les données à caractère personnel que l’exportateur transfère vers des pays tiers et à vérifier s’il y a eu ou s’il y aura des développements susceptibles de l’affecter. Par exemple, surveiller les lois et la jurisprudence du pays en matière de protection de données.
4. Les exceptions de l’article 49-1 du RGPD en matière de transferts
Certaines dérogations au principe d’encadrement général des transferts vers un Etat non membre de l’Union sont prévues par l'article 49 du RGPD.
Ces cas de dérogations sont au nombre de 7 et sont les suivants:
la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle ;
le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande ;
le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
le transfert est nécessaire pour des motifs importants d'intérêt public ;
le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
le transfert a lieu au départ d'un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.
Ces dérogations sont soumises à des conditions particulières, d’interprétation stricte, détaillées à l’article 49 du RGPD.
Pour conclure, il semble évident que le transfert des données nécessite de bonnes connaissances des règles en vigueur mais aussi de la pratique. En effet, non seulement les enjeux sont importants mais surtout les textes et recommandations en la matière sont nombreux. C’est dans ce contexte qu’un consultant en protection des données peut aussi aider les entreprises et les administrations à choisir les meilleures options de sécurisation des données.
Vincent Ubino
Nos derniers articles
-
Vidéoprotection et conformité RGPD : ce qu’il faut savoir.
La mise en œuvre de dispositifs de vidéoprotection et de vidéosurveillance est de plus en plus répandue, notamment pour assurer la sécurité des personnes et des biens. Cependant, il est essentiel de bien comprendre les différences entre ces deux concepts, car ils sont régis par des cadres …
-
Découvrir Mon Aide Cyber
En ce mois de la Cyber, la protection des données et la cybersécurité sont plus que jamais au cœur des préoccupations des entreprises. Nous souhaitons mettre en lumière les dispositifs d’aide proposés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), particulièrement avec le …
-
Les Binding Corporate Rules
Les règles d'entreprise contraignantes (Binding Corporate Rules ou BCR) sont un mécanisme prévu par le RGPD pour encadrer les transferts internationaux de données au sein de groupes d'entreprises. Concrètement, il s’agit d’une politique interne de protection des données qui doit être validée par …