Lors de ses 40e et 41e sessions plénières qui ont eu lieu en novembre, le Comité Européen à la Protection des Données (CEPD) a adopté les recommandations suivantes :
– Recommandation sur les garanties essentielles européennes pour les mesures de surveillance.
En outre, la Commission Européenne a présenté deux projets de Clauses Contractuelles Types (CTT) : un projet de CTT pour les contrats entre les responsables du traitement et les sous-traitants, et un autre pour les transferts de données personnelles en dehors de l’UE.
Ces documents font suite à l’arrêt « Schrems II » de la CJUE qui a annulé le « Privacy Shield » et interdit les transferts de données à caractère personnel vers des pays tels que les États-Unis où sont menés des programmes gouvernementaux de surveillance de masse. En effet, la CJUE a considéré que ces programmes étaient incompatibles avec les normes européennes de protection des données.
Cependant, la Cour a laissé la possibilité de compléter les CTT par des mesures supplémentaires pour permettre le transfert vers ces pays. Sans plus de détails sur ce que pourraient être ces mesures supplémentaires, les lignes directrices des Autorités étaient très attendues.
1. Contexte de l’arrêt Schrems II
Dans l’arrêt Schrems II de juillet 2020 (voir ici), la CJUE a considéré que les lois américaines permettant la mise en oeuvre d’un programme de surveillance de masse n’étaient pas compatibles avec les normes de protection des données de l’EEE.
La Cour a également estimé que ces lois étaient en contradiction avec les dispositions contenues dans les outils internationaux de transfert de données tels que le « Privacy Shield » et les CTT.
En conséquence, la CJUE a annulé le Privacy Shield et a prévu la possibilité de compléter les clauses contractuelles types par des mesures supplémentaires afin qu’elles assurent un niveau adéquat de protection des données.
Cet arrêt concernait non seulement le transfert de données à caractère personnel vers les États-Unis, mais aussi les transferts de données à caractère personnel vers tout pays dont le système juridique serait en contradiction avec les dispositions des CTT.
Suite à cet arrêt, la CJUE attend désormais des responsables du traitement qu’ils procèdent à une analyse au cas par cas du niveau de protection assuré dans les pays tiers où se trouve le destinataire des données et, si nécessaire, qu’ils complètent les dispositions des CTT par des mesures supplémentaires, qu’elles soient techniques, organisationnelles ou contractuelles.
Outre le fait qu’il est difficile pour le responsable du traitement d’évaluer le niveau de protection d’un pays tiers, la CJUE n’a fourni aucun exemple ni aucune orientation quant à ce que pourraient être ces mesures supplémentaires.
2. Le CEPD a adopté des recommandations sur les mesures qui pourraient compléter les CSC et sur les garanties essentielles européennes pour les mesures de surveillance
Le CEPD a adopté des recommandations sur les mesures qui pourraient compléter les CTT afin d’assurer un niveau de protection des données équivalent aux normes de protection des données de l’UE.
Il a également adopté des recommandations sur les garanties essentielles européennes pour les mesures de surveillance.
Le CEPD cherche, ainsi, à assurer une application cohérente du RGPD et de l’arrêt de la CJUE dans l’ensemble de l’EEE.
La présidente du CEPD, Andrea Jelinek, a déclaré « Le CEPD est parfaitement conscient de l’impact de l’arrêt Schrems II sur des milliers d’entreprises de l’UE et de la responsabilité importante qu’il fait peser sur les exportateurs de données. Le CEPD espère que ces recommandations pourront aider les exportateurs de données à identifier et à mettre en œuvre des mesures supplémentaires efficaces là où elles sont nécessaires. Notre objectif est de permettre des transferts légaux de données personnelles vers des pays tiers tout en garantissant que les données transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’EEE ».
Les premières recommandations visent à fournir les étapes que les exportateurs de données doivent suivre pour déterminer s’ils doivent mettre en place des mesures supplémentaires, et à les aider à identifier celles qui pourraient être efficaces.
A cet égard, les recommandations contiennent également une liste non exhaustive d’exemples de mesures complémentaires et de certaines des conditions qu’elles exigeraient pour être efficaces.
Ces recommandations sur les mesures complémentaires font actuellement l’objet d’une consultation publique.
La deuxième recommandation fournit aux exportateurs de données des éléments permettant de déterminer si le cadre juridique autorisant les autorités publiques d’un pays tiers donné à accéder à des données à caractère personnel à des fins de surveillance peut être considéré comme une ingérence justifiable dans les droits à la vie privée et à la protection des données à caractère personnel.
Ces recommandations complètent les recommandations sur les mesures complémentaires.
Cette dernière recommandation sera utile pour évaluer le niveau de protection d’un pays tiers. En effet, les programmes de surveillance de masse menés aux États-Unis ont été la principale raison pour laquelle la CJUE a annulé le bouclier de protection de la vie privée et exigé la mise en œuvre de mesures supplémentaires lorsque des organisations s’appuyaient sur les CTT pour transférer des données aux États-Unis.
3. La Commission a proposé deux projets de clauses contractuelles types
La Commission européenne a présenté deux projets de CTT : un premier projet pour les contrats entre responsables du traitement et sous-traitants et un autre pour les transferts de données en dehors de l’UE.
Le projet de CTT entre responsables du traitement et sous-traitants est entièrement nouveaux et ne s’appliquent pas aux transferts internationaux de données à caractère personnel.
Nous nous concentrerons donc sur le second projet de CTT pour le transfert de données à caractère personnel vers des pays tiers.
Cette second projet de CTT remplacera les CTT existantes pour les transferts internationaux qui ont été adoptés avant l’entrée en vigueur du RGPD.
Ces CTT avaient besoin d’une mise à jour pour s’aligner sur les exigences du RGPD et, depuis juillet 2020, sur l’arrêt « Schrems II » de la CJUE.
La bonne nouvelle est que la Commission n’a pas seulement couvert les cas de transfert de données d’un responsable de traitement situé dans l’EEE vers un responsable de traitement ou un sous-traitant situé hors EEE mais également les cas de transfert international de données d’un sous-traitant de l’EEE à un sous-traitant hors EEE et d’un sous-traitant de l’EEE à un responsable de traitement hors EEE.
Le projet permet aussi expressément d’ajouter plusieurs parties à l’accord en tant qu’exportateur ou importateur agissant soit comme contrôleur soit comme sous-traitant. Il simplifiera par exemple le cadre contractuel des transferts de données ayant lieu au sein de sociétés de groupes internationaux qui n’ont pas eu recours à la RCB.
La Commission a demandé un avis conjoint au Contrôleur Européen de la Protection des Données et au CEPD sur les deux projets de CTT. Par conséquent, ce projet ne constituent pas encore un outil juridique valable de transfert de données, et on peut s’attendre à ce que le CEPD ne suive pas entièrement la position de la Commission.
A cet égard, la présidente du CEPD, Andrea Jelinek, a déclaré « Les nouvelles CTT pour le transfert de données personnelles vers des pays tiers ont été très attendus, et il est important de souligner qu’ils ne constituent pas une solution miracle pour les transferts de données après la mise en œuvre de Schrems II. Bien que les CTT mises à jour constituent une pièce importante du puzzle et un développement très important, les exportateurs de données doivent encore compléter le puzzle. L’approche par étapes des recommandations du CEPD sur les mesures supplémentaires est nécessaire pour amener le niveau de protection des données transférées au niveau de la norme européenne d’équivalence essentielle. En collaboration avec le CEPD, le Conseil va maintenant rédiger un avis conjoint approfondi sur les deux séries de projets de CSC, comme l’a invité la Commission européenne ».
En effet, le CEPD sera probablement très prudent étant donné que la CJUE a annulé deux fois de suite les décisions de la Commission concernant le transfert international de données vers les États-Unis (c’est-à-dire l’arrêt Schrems I et II).
Pour l’instant, il semble plus sûr de suivre les recommandations du CEPD que de recourir uniquement à la nouvelle série de CSC rédigée par la Commission sans autre analyse.
En conclusion, un peu de patience est encore nécessaire avant de savoir exactement ce qu’il convient de faire concernant les transferts internationaux de données.
Cependant, comme le recommande la CEPD, les organisations devraient effectuer une cartographie des transferts de données afin d’identifier les pays où les données sont envoyées et effectuer l’analyse afin d’identifier les mesures pertinentes qu’elles devraient ajouter à leurs accords de protection des données.
Cette publication est également disponible en en_GB.