En vertu du règlement général sur la protection des données (RGPD), le transfert de données à caractère personnel en dehors de l’EEE (c’est-à-dire l’UE et la Norvège, le Lichtenstein et l’Islande) ou à des organisations internationales n’est autorisé que si l’une des conditions suivantes est remplie :
– le pays tiers est reconnu comme offrant un niveau de protection adéquat via une décision d’adéquation adoptée par la Commission européenne ;
– des garanties appropriées sont mises en œuvre (par exemple, clauses contractuelles types de l’UE, BCR, certification ou code de conduite approuvé) ;
– une des dérogations prévues à l’article 49 est applicable (par exemple, consentement exprès, intérêt vital, etc.).
Cependant, suite à l’arrêt Schrems 2 de la Cour de justice de l’Union Européenne (CJUE) invalidant le Privacy Shield, le régime juridique des transferts internationaux est devenu incertain, les exigences de la Cour étant plus difficiles à satisfaire.
En effet, il appartient désormais au responsable du traitement qui transfère les données personnelles de s’assurer que la législation du pays n’est pas en contradiction avec les garanties mises en œuvre et si tel est le cas, il doit mettre en place des mesures supplémentaires pour combler les lacunes et résoudre les problèmes.
L’objectif de cet article est de fournir un aperçu des exigences relatives au transfert de données personnelles en dehors de l’UE/EEE.
1. Définition du transfert international de données
Le transfert de données personnelles n'est pas défini dans le RGPD mais selon les lignes directrices du CEPD, un traitement peut être qualifié de transfert s'il remplit les trois conditions cumulatives suivantes :
1) Un responsable de traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.
2) Ce responsable de traitement ou ce sous-traitant (" exportateur ") divulgue par transmission ou met autrement à disposition d'un autre responsable de traitement, d'un responsable de traitement conjoint ou d'un sous-traitant (" importateur ") des données à caractère personnel faisant l'objet de ce traitement.
3) L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné en application de l'article 3 du RGPD.
2. Exemples
Exemple 1 : Transferts vers un responsable, un sous-traitant et un sous-sous-traitant
Un responsable du traitement établi dans l'UE héberge ses données RH auprès d'un fournisseur de cloud dont les serveurs sont aux États-Unis.
Ce fournisseur de cloud sous-traite les services de maintenance à sa filiale basée en Inde.
Il permet également à sa maison mère située en Australie d'accéder à distance aux données RH aux fins de la gestion globale des Ressources humaines du groupe.
Il y a deux transferts internationaux et un transfert ultérieur :
- Un transfert vers un sous-traitant aux États-Unis ;
- Un transfert vers un rseponsable du traitement en Australie ;
- Un transfert ultérieur des États-Unis vers l'Inde (qui doit être encadré de la même manière qu'un transfert international).
Si le premier sous-traitant aux États-Unis était basé dans l'UE, il y aurait un transfert international entre le premier sous-traitant dans l'UE et le second sous-traitant en Inde au lieu d'un transfert ultérieur.
Exemple 2 : Seul le sous-traitant est soumis au RGPD
Une société basée aux États-Unis demande à une entreprise française de traiter les données de ses salariés à des fins d'analyse.
La société française étant soumise au RGPD, le renvoi des données de la société française à la société américaine est également considéré comme un transfert international. (Même si la société américaine n'est pas soumise au RGPD pour ce traitement spécifique).
Cependant, la garantie à mettre en œuvre serait beaucoup plus limitée dans ce cas car les obligations du sous-traitant en vertu du RGPD sont assez limitées (c'est-à-dire essentiellement assurer la sécurité des données; voir ici).
Exemple 3 : Aucune partie n'est située dans l'UE/EEE
Une société établie aux États-Unis sans établissement dans l'UE/EEE exploite un site web depuis les États-Unis, qui s'adresse aux consommateurs de l'UE.
Une équipe basée au Brésil assure la maintenance du site web/base de données.
La société américaine étant soumise au RGPD dans la mesure où elle offre des services à des personnes situées dans l'UE, le transfert des États-Unis vers le Brésil est un transfert international de données.
Même si cela n'est pas explicitement indiqué dans les lignes directrices du CEPD, nous sommes d'avis que si les fournisseurs informatiques au Brésil étaient situés aux États-Unis, cela serait également considéré comme un transfert vers un pays tiers dans la mesure où les États-Unis sont un pays tiers du point de vue de l'UE.
3. Cas où il n'y a pas de transfert international de données
Si un salarié voyage à l'étranger et accède à distance aux données pendant son voyage, cela n'est pas considéré comme un transfert international de données car l'employé n'est pas un contrôleur différent, il est l'employé du contrôleur.
Si un responsable du traitement exploite seule un site web depuis l'extérieur de l'UE sans établissement dans l'UE, le transfert de données des utilisateurs/consommateurs du site web de l'UE vers la société américaine n'est pas un transfert international de données. Toutefois, la société reste soumise au RGPD.
Cela est dû au fait que le transfert doit avoir lieu entre deux parties (c'est-à-dire soit responsable de traitement, sous-traitant ou le responsable conjoint).
Cependant, dans le premier exemple, si les salariés devaient rester dans le pays tiers et devenir une agence/un autre organisme, l'analyse pourrait changer.
En effet, les responsables du traitement ou les sous-traitants peuvent être des personnes physiques ou morales, des autorités publiques, des agences ou d'autres organismes, de sorte que le terme "parties" devrait, selon nous, être interprétés au sens large et que, par exemple, les succursales (par opposition aux filiales) peuvent être considérées comme un autre responsable du traitement ou sous-traitant.
Même si la notion d'"établissement" n'est pas expressément mentionnée dans les lignes directrices, il peut être utile d'utliser cette notion pour comprendre quand un transfert a lieu sans prendre trop de risque de passer à côté de quelque chose.
L'objectif des dispositions du RGPD relatives au transfert de données à caractère personnel est de garantir que le cadre juridique de protection des données applicable dans le pays tiers destinataire est essentiellement le même que celui applicable au sein de l'UE.
En particulier, il doit fournir les mêmes droits aux individus concernant la protection et l'utilisation de leurs données personnelles.
Par conséquent, si un pays est considéré comme offrant un cadre juridique similaire en matière de protection des données, la Commission européenne peut adopter une décision d'adéquation pour ce pays particulier.
Dans le cas contraire, il est nécessaire de mettre en œuvre des garanties appropriées (par exemple, des CCT ou des BCR) afin de combler cette lacune.
En dernier recours, les organisations peuvent s'appuyer sur les dérogations prévues à l'article 49 du RGPD. Toutefois, ces dérogations doivent être interprétées de manière restrictive et ne doivent donc pas être invoquées pour contourner la mise en en place de garanties appropriées.
Comme mentionné précédemment, la Commission européenne peut adopter une décision d'adéquation pour les pays dont la législation offre des garanties similaires à celle de l'UE en matière de protection des données personnelles.
Lorsqu'un pays est considéré comme offrant un niveau de protection adéquat, le transfert de données personnelles peut avoir lieu dans les mêmes conditions qu'un transfert de données ayant lieu au sein de l'EEE (c'est-à-dire uniquement en concluant un accord de protection des données avec le sous-traitant ou le responsable conjoint du traitement, le cas échéant).
À ce jour, les pays suivant ont été reconnus comme offrant un niveau de protection adéquat par la Commission européenne :
Andorre, l'Argentine, le Canada (organisations commerciales uniquement), les îles Féroé, Guernesey, Israël, l'île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse , le Royaume-Uni en vertu du GDPR et de la LED, et l'Uruguay comme offrant une protection adéquate.
À l'exception du Royaume-Uni, ces décisions d'adéquation ne couvrent pas les échanges de données dans le secteur de la répression, qui sont régis par la directive relative à la répression (article 36 de la directive (UE) 2016/680).
La plupart des pays, et notamment les États-Unis, n'étant pas reconnus comme des pays adéquats par une décision de la Commission européenne, le RGPD autorise le transfert de données vers ces pays tiers à condition que des garanties appropriées soient mises en œuvre.
Les garanties appropriéesCes garanties appropriées sont les suivantes :
- Les Clauses Contractuelles Types / CCT (adoptées par la Commission européenne ou un État membre de l'UE) : il s'agit d'un ensemble de clauses que l'exportateur et l'importateur de données doivent conclure avant de transférer les données. Un ensemble différent de clauses est applicable selon que le transfert a lieu entre deux responsables du traitement, un responsable du traitement et un sous-traitant, deux sous-traitants, etc. (voir ici pour plus de détails sur les CCT).
- Binding Corporates Rules / BCR (sous-traitant et/ou rseponsable du traitement), qui visent uniquement à couvrir les transferts internationaux de données au sein d'un même groupe de sociétés. Elles sont constituées de documents contraignants, qui ressemblent aux CCT, auxquels les entités d'un même groupe peuvent se conformer. La principale différence est qu'une des entités de l'UE est le représentant de toutes celles situées en dehors de l'UE.
- Code de conduite et Certifications : ces outils étant relativement nouveaux, nous n'en avons pas vu beaucoup se développer. L'exemple le plus proche de ce type d'outil est sans doute les défunts Safe Harbor et Privacy Shield, permettant les transferts vers les États-Unis, qui ont tous deux été annulés par la CJUE.
- Clauses contractuelles ad hoc / accords internationaux (aucun de ces outils n'existe à ce jour).
Des mesures supplémentaires peuvent être requises pour certains pays (ex : Etats-Unis)
Depuis l'arrêt Schrems 2 de la CJUE de juillet 2020, les responsables de traitement doivent également évaluer le cadre juridique applicable dans le pays tiers et s'assurer qu'il ne contredit pas les CCT (et par extension, les autres outils de transfert).
Si la législation est en contradiction avec les CCT, des mesures supplémentaires doivent être mises en œuvre afin de répondre au risque que les "garanties appropriées" ne peuvent pas traiter et combler.
Par exemple, la CJUE a estimé que l'utilisation des CCT pour transférer des données vers les États-Unis n'était pas suffisant en raison du programme de surveillance de masse mené dans ce pays.
Par conséquent, des mesures supplémentaires empêchant l'autorité américaine d'accéder aux données sur demande doivent être mises en œuvre. Si de telles mesures ne peuvent être mises en œuvre, la CJUE a estimé que les données ne devaient pas être transmises.
A cet effet, une décision récente concernant Google Anlytics par l'autorité autrichienne laisse penser que seuls un chiffrement ou une anonymisation préalables par l'exportateur des donneées sont des mesures suffisantes pour permettre un transfert de données vers les USA.
Toutefois, ces mesures peuvent changer d'un pays à l'autre et d'un transfert à l'autre en fonction des problèmes identifiés.
Ainsi, identifier les lacunes d'un système juridique et les combler par des mesures additionelles est une lourde charge pour l'exportateur et le responsable du traitement des données.
Le CEPD a fourni des lignes directrices pour effectuer une telle évaluation et identifier les mesures supplémentaires à mettre en œuvre, mais cela reste un exercice difficile. La Commission Européenne s'était, par exemple trompée, deux fois avec le Safe Harbor et le Privacy Shield tous les deux annulées par la CJUE.
L'article 49 RGPD prévoit une série de dérogations permettant les transfert internationaux de données dans des situations particulières où il n'est pas possible de mettre en œuvre des garanties appropriées telles que les CCT ou les BCR.
Le CEPD rappelle que ces dérogations ne doivent être interprétées que de manière restrictive et ne doivent pas être utilisées pour des transferts de données systématiques ou pour l'envoi d'un gros volume de données.
La plupart du temps, les dérogations ne peuvent s'appliquer que lorsque le transfert est occasionnel.
En effet, le principe est de mettre en place des garanties appropriées, l'exception est de s'appuyer sur les dérogations prévues à l'article 49 (voir ci-dessous).
1. Les dérogations
Consentement explicite : la personne concernée doit avoir consenti explicitement au transfert proposé, après avoir été informée des risques possibles de tels transferts pour la personne concernée en raison de l'absence de décision d'adéquation et de garanties appropriées.
Exécution d'un contrat : dans ce cas, le transfert doit être nécessaire pour :
- l'exécution d'un contrat entre la personne concernée et le responsable du traitement (ou dans l'intérêt de celui-ci entre le responsable du traitement et une autre personne) ; ou
- l'exécution de mesures précontractuelles prises à la demande de la personne concernée.
Par ailleurs, le transfert doit être occasionnel et nécessaire à l'exécution du contrat et ne pas provenir d'un choix d'organisation du responsable du traitement. Par exemple, une agence de voyage pourrait éventuellement se prévaloir de cette dérogation lorsqu'elle doit envoyer les données de ses clients à l'hôtel d'un pays tiers où ses clients ont décidé de séjourner pour leurs vacances.
Intérêt public : le transfert est nécessaire pour des raisons importantes d'intérêt public ; (sont exclus la demande d'une autorité d'un pays tiers en l'absence d'un accord international).
Actions en justice : le transfert est nécessaire pour la constatation, l'exercice ou la défense de droits en justice.
Intérêts vitaux : le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement.
Registre public : le transfert est effectué à partir d'un registre qui, selon le droit de l'Union ou des États membres, est destiné à l'information du public et qui est ouvert à la consultation soit du public en général, soit de toute personne pouvant justifier d'un intérêt légitime, mais uniquement dans la mesure où les conditions prévues par le droit de l'Union ou des États membres pour la consultation sont remplies dans le cas particulier.
2. Intérêts légitimes impérieux (en dernier recours)
Si aucune des dérogations n'est applicable, il est toujours possible de transférer les données si les conditions suivantes sont remplies :
- Le transfert n'est pas répétitif, ne concerne qu'un nombre limité de personnes concernées ;
- Il est nécessaire aux fins d'intérêts légitimes impérieux poursuivis par le responsable du traitement qui ne prévalent pas sur les intérêts ou les droits et libertés de la personne concernée ;
- Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et, sur la base de cette évaluation, a prévu des garanties appropriées en ce qui concerne la protection des données à caractère personnel ;
- Le responsable du traitement doit informer l'autorité de contrôle du transfert ;
- Le responsable du traitement doit informer la personne concernée du transfert et des intérêts légitimes impérieux poursuivis.
Toutes ces conditions étant très restrictives, s'appuyer sur un intérêt légitime impérieux est risqué d'un point de vue juridique.
CONTACT
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat
Cette publication est également disponible en en_GB.