16 juillet 2020 : la Cour de Justice de l’Union européenne (CJUE) tue, dans son arrêt Schrems II (1), le Privacy Shield et les illusions des entreprises qui pensaient qu’elles pouvaient exporter des données personnelles en signant des clauses contractuelles types sans les lire. Un an après, le déni, la colère, le marchandage et la dépression font place à la cinquième étape du deuil : l’acceptation. La seule question que doivent encore se poser les entreprises n’est plus « que dois-je vraiment faire ? » ou « pourquoi ? » mais « comment ? ».
Par Emmanuel Ronco, associé, et Camille Larreur, collaboratrice, Eversheds Sutherland
Par Emmanuel Ronco, associé, et Camille Larreur, collaboratrice, Eversheds Sutherland
De nombreuses entreprises partageant des données personnelles avec des partenaires situés hors de l’Espace économique européen (EEE), ou recourant à des prestataires localisés dans ces pays, se sont interrogées sur les mesures à mettre en œuvre pour encadrer ces transferts de manière appropriée suite à l’arrêt Schrems II. La récente adoption des nouvelles clauses contractuelles types de la Commission européenne (2) et des recommandations dédiées du Comité européen de la protection des données (CEPD) (3) ainsi que les premières décisions de sanctions des régulateurs doivent les inciter à rapidement se mettre en conformité avec les exigences imposées par la Cour de Justice de l’Union européenne (CJUE). En particulier, deux actions sont requises préalablement à tout transfert de données personnelles en dehors de l’EEE : une évaluation du droit et des pratiques du pays de destination, et la mise en œuvre de garanties supplémentaires adaptées, qui doivent être dûment documentées pour limiter les risques en cas de contrôle.
Une analyse du régime juridique du pays de l’importateur de données
Dans son arrêt Schrems II, la CJUE a notamment souligné que les entreprises situées dans l’Union européenne (UE) et transférant des données vers des pays tiers, pour lesquels la Commission européenne n’a pas adopté de décision d’adéquation garantissant un niveau de protection adapté pour les données personnelles, ne peuvent se contenter de recourir à un des instruments de transfert prévus par le RGPD (clauses contractuelles types, règles d’entreprises contraignantes dites binding corporate rules). Ces sociétés doivent également vérifier préalablement que le pays tiers destinataire assure un niveau de protection des données essentiellement équivalent à celui requis par le droit de l’UE. Se fondant sur l’exemple américain, la CJUE souligne en particulier les risques associés à un éventuel accès aux données transférées par les autorités publiques du pays tiers concerné.
Toute entreprise exportant des données hors de l’EEE doit donc cartographier exhaustivement ses transferts, afin de pouvoir ensuite vérifier si les pays de destination offrent un niveau de protection approprié, en analysant les législations et pratiques en vigueur. Une telle évaluation implique tout d’abord une analyse du droit applicable. Il s’agit de vérifier si le pays concerné dispose d’une réglementation suffisamment protectrice en matière de traitement des données personnelles, mais également si d’autres lois ou pratiques locales créent des risques de divulgation ou d’accès aux données personnelles par les autorités publiques étrangères, par exemple pour des questions de sécurité nationale. Cette analyse implique également une vérification concrète des pratiques en œuvre, pour déterminer si les législations protégeant les données personnelles sont effectivement respectées par les autorités locales, ou le cas échéant pour connaître les pratiques en vigueur en l’absence de telles lois.
Les vérifications à effectuer se rapprochent ainsi de l’analyse menée par la Commission européenne pour adopter des décisions d’adéquation, pour les pays identifiés comme offrant un niveau de protection approprié (récemment le Royaume-Uni) et vers lesquels les transferts peuvent être effectués sans garantie supplémentaire. L’exercice n’est pas aisé : les évaluations menées par la Commission elle-même ont à deux reprises été remises en cause par la CJUE, qui a successivement invalidé le Safe Harbour dans un premier arrêt Schrems, puis le Privacy Shield dans son arrêt Schrems II, adoptés par la Commission pour faciliter les transferts vers certaines entreprises aux Etats-Unis. L’évaluation du niveau de protection dont bénéficient les données transférées dans le pays tiers devra en outre être reconduite régulièrement, afin de vérifier si des adaptations sont nécessaires.
La mise en œuvre de mesures complémentaires appropriées
Lorsqu’il ressort de l’évaluation du droit et des pratiques du pays de destination que la protection des données transférées n’est pas suffisante, l’exportateur de données doit, en application de la décision Schrems II, s’abstenir de procéder au transfert ou mettre en œuvre des garanties particulières. Il lui incombe de prendre des mesures pour compléter les garanties offertes par l’instrument de transfert choisi, afin que la protection des données soit portée à un niveau essentiellement équivalent à celui exigé par le droit de l’Union.
Les récentes recommandations du CEPD soulignent que plusieurs types de mesures complémentaires peuvent s’avérer appropriés, en particulier des mesures contractuelles, organisationnelles ou techniques. Dans certaines situations, celles-ci devront être combinées pour offrir un niveau de protection suffisant.
Le CEPD indique néanmoins que les mesures contractuelles (clause offrant des possibilités d’audit renforcées pour l’exportateur, etc.) ou organisationnelles (politique interne de gouvernance pour l’importateur, etc.) ne sont généralement pas suffisantes pour empêcher les autorités publiques du pays de destination d’obtenir les données, notamment à des fins de surveillance. La mise en œuvre de mesures techniques (utilisation d’une technique de chiffrement, pseudonymisation, etc.) est donc en pratique nécessaire pour empêcher l’accès aux données transférées.
Il convient néanmoins de respecter les conditions fixées par le CEPD pour que de telles mesures puissent être considérées comme efficaces. S’agissant par exemple de la pseudonymisation, le CEPD exige que les informations permettant de réidentifier les personnes concernées soient détenues exclusivement par l’exportateur des données.
Il convient de déterminer au cas par cas les mesures adéquates, au regard des circonstances particulières du transfert et du droit du pays concerné. Comme le souligne le CEPD, certaines mesures supplémentaires pourraient s’avérer efficaces dans certains pays de destination, mais pas dans d’autres. Les mesures mises en œuvre doivent également naturellement être viables pour les parties impliquées dans le transfert, afin de leur permettre de continuer à traiter les données de manière pertinente dans le cadre de leurs activités. Elles doivent ainsi être choisies au regard du niveau de risque mais également des besoins opérationnels. Par exemple, le chiffrement peut empêcher les autorités étrangères de lire les données transférées mais aussi obérer la faculté de l’importateur de données de les utiliser comme les parties l’avaient prévu.
La démonstration de la conformité aux nouvelles exigences
Les analyses menées, tant au titre de la vérification du niveau de protection offert dans le pays de destination que de l’identification des garanties supplémentaires appropriées, doivent être dûment documentées. Elles pourront être mises à disposition de l’autorité de protection des données compétente en cas de contrôle. Or, en application de l’arrêt Schrems II, les régulateurs européens doivent suspendre ou interdire les transferts de données lorsqu’ils constatent qu’un niveau de protection essentiellement équivalent n’est pas garanti.
Les autorités de supervision contrôlent déjà activement la conformité des responsables de traitement européens aux nouvelles règles imposées par la CJUE. L’autorité espagnole a ainsi imposé dès le mois de mars une sanction pécuniaire à Vodafone España, incluant 2 millions d’euros d’amende pour une absence d’encadrement suffisant des transferts vers son prestataire de services, et les autorités allemandes ont il y a quelques jours mené une campagne de contrôle conjointe sur ce sujet.
Les risques de suspension des transferts non conformes sont bien réels, comme le démontre une récente décision de l’autorité de protection des données portugaise. Celle-ci a imposé à l’institut national des statistiques local de suspendre dans un délai de douze heures tout transfert de données vers son prestataire de services cloud situé aux Etats-Unis, ou tout autre destinataire situé dans un pays n’assurant pas un niveau de protection des données adéquat.
Les entreprises effectuant des transferts de données depuis l’EEE doivent donc sans délai prendre en compte les mesures nécessaires pour assurer un encadrement suffisant. Elles pourront se tourner vers des prestataires juridiques ou techniques, qui développent des solutions permettant d’analyser rapidement le niveau de protection en centralisant les connaissances pertinentes pour identifier et offrir des mesures contractuelles techniques adaptées et viables permettant d’assurer la continuité des traitements de données ainsi que la conformité au droit de l’UE.
(1). CJUE, 16 juillet 2020, affaire C‑311/18.
(2). Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers.
(3). CEPD, Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, 18 juin 2021.
