Le transfert des données

Le RGPD dédie son 5ème chapitre à la problématique des « Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales »

L’esprit de ce texte est d’interdire de transférer des données vers des pays sans niveau de protection suffisant, et ce afin d’éviter de les envoyer vers les « paradis de données » :

« Un paradis des données en analogie au paradis fiscaux, est un refuge permettant la diffusion sans limites de tous types d'information et de données.

Les paradis de données sont généralement des localisations dont l'environnement légal est favorable à l'idée qu'un réseau informatique détienne tous types de données et les protège ainsi que les informations associées. On distingue 3 type de paradis des données : (1) un emplacement géographique avec une réglementation faible en matière d'extradition et de lois informatique, (2) un emplacement géographique avec une réglementation forte concernant la protection des données et de la vie privée et, (3) un espace virtuel conçu pour sécuriser les données par des moyens techniques (tel que le chiffrement) insensible à l'environnement légal.

Le domaine .onion de Tor (service caché), HavenCo (centralisé) et, Freenet (decentralisé) sont trois modèles de paradis de données virtuels contemporains. »

Ces paradis de données permettent alors de contourner la législation sur la protection des données personnelles, et donc le RGPD en ce qui concerne les citoyens européens.

Cette volonté de l’Europe de lutter contre les paradis de données n’est pas nouvelle, tout comme l’expression « paradis de données »

En effet, dès 1980, il y a donc 44 années de cela, une « convention européenne pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel » était adoptée à Strasbourg : la même année, le journal Le Monde publiait alors un article à ce sujet, dont le titre était « L’Europe s’organise contre les paradis de données »

Le RGPD propose deux grandes solutions afin de sécuriser les transferts de données en dehors de l’Union Européenne :

-       La « décision d’adéquation » (article 45 du RGPD)

-       Les « garanties appropriées » ( article 46 du RGPD), dans le cas où il n’existerait pas de décision d’adéquation.

Qu’est-ce qu’une décision d’adéquation et quels en sont les avantages ?

Une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers (c’est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données personnelles.

Les avantages d’une telle décision est qu’il permet de garantir la conformité au RGPD du pays qui en bénéficie, et donc de ne pas avoir à établir de « garanties appropriées ».

Finalement, lorsqu’un pays destinataire bénéficie d’une décision d’adéquation, c’est comme s’il était considéré comme étant un pays soumis au RGPD : il est alors possible de procéder avec lui à une libre circulation des données personnelles.

Concrètement, une liste des décisions d’adéquation est disponible sur le site web de la commission européenne : cela permet de vérifier si le pays destinataire des données est en adéquation avec le RGPD.

Attention toutefois de bien consulter cette liste puisque les décisions d’adéquation ne sont pas définitives, elles font l’objet de réexamen régulier afin de vérifier que les pays en bénéficiant maintiennent un niveau de protection des données suffisant.

La liste la plus récente, mise à jour à la date du 15 janvier 2024, mentionne 16 pays et territoires tiers, lesquels peuvent donc échanger leurs flux de données avec les pays européens.

Il s’agit de : l'Andorre, l'Argentine, le Canada (organisations commerciales), les Îles Féroé, Guernesey, Israël, l'Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée (Corée du Sud), la Suisse, le Royaume-Uni (au titre du RGPD et de la directive en matière de protection des données dans le domaine répressif), les États-Unis (pour les organisations commerciales certifiées au titre du cadre de protection des données UE - États-Unis) et l'Uruguay.

De plus, même s’ils ne sont pas dans la liste, il faut savoir que l’Islande, le Liechtenstein et la Norvège (PDF) sont considérés comme ayant une législation équivalente au RGPD, que ces pays respectent : les données à caractère personnel peuvent donc y circuler librement.

Dans le cas où il s’agirait d’exporter/ importer des données personnelles vers un Etat qui ne serait pas mentionné dans la liste des pays bénéficiant de décisions d’adéquation, il faut envisager des « garanties appropriées ».

Concrètement, qu’entend le RGPD par « garanties appropriées » ? 

Ce terme général désigne en réalité plusieurs moyens bien spécifiques, détaillés par la CNIL :

• des clauses contractuelles types (CCT) de la Commission européenne ;

• des règles internes d’entreprises (BCR) ;

• des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;

• des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,

• un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),

• un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),

• un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).

Zoom sur les  CCT (clauses contractuelles types)

La CNIL explique que : « Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.  »

Les clauses contractuelles type sont accessibles sur le site de la Commission européenne.

Les CCT concernent 4 situations:

• les transferts entre responsables de traitement UE et responsables de traitement non UE ;

• les transferts de responsables de traitement UE à sous-traitants non UE.

• les transferts de sous-traitants UE à des responsables de traitement non UE ;

• les transferts entre sous-traitants UE et sous-traitants non UE.

L’avantage de l’utilisation des CCT est la dispense de demande d’autorisation à la CNIL.

Focus sur les BCR (binding corporate rules), les règles d’entreprises contraignantes.

Il existe deux catégories de BCR’s : d’une part, les BCRs « responsables de traitement » et d’autre part, les BCRs « sous-traitant ».

Ces règles peuvent faire l’objet d’une approbation par la CNIL, laquelle propose une démarche d’accompagnement.

A la date du 15 avril 2014, ce sont « près de 240 dossiers ont été approuvés au niveau européen, dont plus de 50 par la CNIL. Ce chiffre est en constante augmentation, une centaine de dossiers sont actuellement en cours d’instruction. (…)Plusieurs milliers de sociétés, filiales adhérentes aux BCR, ont mis en place un cadre de gouvernance pour assurer leur conformité. Par effet de levier, ce sont des dizaines de millions de personnes qui bénéficient des mesures de protection. »

Il est possible de consulter la liste des groupes détenteurs des BCR sur le site de la CNIL: Liste des groupes détenteurs de BCR | CNIL

Dans le cas où le transfert est fondé sur des règles internes d’entreprises, l’autorisation de la CNIL n’est pas nécessaire.

Il s’agit là d’un avantage comparé à l’utilisation des clauses contractuelles spécifiques et des dispositions à intégrer dans des arrangements administratifs, pour lesquelles il est nécessaire d’obtenir une autorisation de la CNIL.

Dans son guide de recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE (PDF), l’European Data Protection Board (edpb) recommande à l’exportateur de données de suivre scrupuleusement les étapes suivantes :

1)    Connaître ses transferts : les cartographier et vérifier que les données transférées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

2)    Vérifier sur quel instrument le transfert s’appuie : décision d’adéquation (article 45 RGPD) ou garantie appropriée (article 46 RGPD) ?

3)    Evaluer des droits et pratiques du pays tiers : la protection va-t-elle être effective ? Les pratiques des autorités publiques et le respect des droits fondamentaux constituent un bon indicateur pour l’exportateur. En cas de doute, il faudra envisager de suspendre le transfert ou d’ajouter des mesures supplémentaires.

4)    Identifier et adopter les mesures supplémentaires : si et seulement si l’exportateur pense lors de l’étape 3 que les pratiques du pays de destination portent atteinte à l’efficacité de l’instrument de transfert.

5)    Prendre des mesures procédurales formelles : par exemple, approbation des BCRs

Dernière étape : réévaluer à intervalles appropriés le niveau de protection dont bénéficient les données à caractère personnel que l’exportateur transfère vers des pays tiers et à vérifier s’il y a eu ou s’il y aura des développements susceptibles de l’affecter. Par exemple, surveiller les lois et la jurisprudence du pays en matière de protection de données.

Certaines dérogations au principe d’encadrement général des transferts vers un Etat non membre de l’Union sont prévues par l'article 49 du RGPD.

Ces cas de dérogations sont au nombre de 7 et sont les suivants:

1. la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle ;

2. le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande  ;

3. le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;

4. le transfert est nécessaire pour des motifs importants d'intérêt public ;

5. le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;

6. le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;

7. le transfert a lieu au départ d'un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

Ces dérogations sont soumises à des conditions particulières, d’interprétation stricte, détaillées à l’article 49 du RGPD.

 Pour conclure, il semble évident que le transfert des données nécessite de bonnes connaissances des règles en vigueur mais aussi de la pratique. En effet, non seulement les enjeux sont importants mais surtout les textes et recommandations en la matière sont nombreux. C’est dans ce contexte qu’un consultant en protection des données peut aussi aider les entreprises et les administrations à choisir les meilleures options de sécurisation des données.