EDPB Schrems II Guidance: Transferts de données vers des pays tiers dans le cadre du GDPR

Le Comité européen de protection des données (EDPB) a publié des recommandations sur les mesures qui complètent les outils de transfert pour assurer la conformité avec la protection des données personnelles au niveau de l'UE. Ces recommandations constituent la réponse de l'EDPB à l'invalidation du Privacy Shield UE-USA suite à la décision Schrems II. Pour en savoir plus sur cette décision, cliquez ici.

Le nouveau cadre de protection des données UE-États-Unis a permis de rétablir la liberté des transferts entre l'UE et les États-Unis. Toutefois, il ne s'applique qu'aux entreprises américaines certifiées dans le cadre de l'ancien bouclier de protection des données UE-États-Unis, ce qui signifie que les transferts ne sont gratuits que pour un nombre limité d'entreprises américaines.

L'EDPB a pris cette mesure pour clarifier ce qu'il faut faire pour transférer légalement des données vers un outil de traitement de données d'une entreprise américaine, déterminer si vos transferts de données sont légaux et sûrs et, s'il y a des risques, quelles mesures pourraient vous aider à les réduire. Ces mesures ne s'appliquent plus à toutes les entreprises américaines, mais vous pouvez toujours les utiliser pour transférer des données vers des pays tiers.

Dans cet article, vous apprendrez:

• pourquoi ces recommandations ont été publiées
• Le processus de mise en conformité en six étapes
• Les mesures que vous pouvez mettre en œuvre pour vous mettre en conformité
• Les raisons pour lesquelles le transfert de données vers les États-Unis peut ne pas être légal
• Comment transférer légalement des données vers les États-Unis et d'autres pays tiers?

Pourquoi ces recommandations?

Jusqu'en juillet 2020, les transferts de données entre les entreprises européennes et américaines s'effectuaient sur la base du bouclier de protection de la vie privée UE-États-Unis. Les entreprises américaines qui traitent des données à caractère personnel pouvaient se certifier dans le cadre du bouclier de protection de la vie privée. Les transferts de données entre une entreprise de l'UE et plus de 5 000 entreprises américaines certifiées étaient gratuits, comme s'il s'agissait d'un transfert de données au sein de l'UE.

Maximillian Schrems, un militant de la protection des données personnelles, a contesté le bouclier de protection de la vie privée devant les tribunaux. La CJUE a rendu une décision en sa faveur, car les programmes de surveillance du gouvernement américain et leur accès facile aux données personnelles stockées sur les serveurs des entreprises américaines signifient que les États-Unis n'offrent pas le même niveau de protection des données que l'UE, même si l'entreprise américaine a été certifiée dans le cadre du bouclier de protection de la vie privée.

Dans la même décision, la CJUE a confirmé la validité des clauses contractuelles types (CCN), qui sont donc devenues l'outil le plus utilisé pour le transfert de données. En outre, le gouvernement américain a publié un livre blanc indiquant que la probabilité que les agences américaines accèdent aux données des citoyens de l'UE n'était pas différente de la probabilité que n'importe quelle agence de renseignement d'un autre pays accède aux mêmes données.

Néanmoins, la question de savoir si les CSC sont suffisantes pour assurer des transferts légaux de données vers Facebook, Google et d'autres entreprises américaines restait un peu floue. Ces recommandations la clarifient.

Le cadre de protection des données UE-États-Unis s'applique désormais, mais les recommandations restent pertinentes pour les transferts de données vers des pays tiers.

Le processus en six étapes recommandé par l'EDPB

En bref : vous devez savoir où vous transférez les données que vous contrôlez et sur quelle base. Au cours de ce processus, vous devez évaluer les lois nationales du pays où vous transférez les données et, si nécessaire, introduire des mesures supplémentaires pour protéger vos données.

Selon les recommandations de l'EDPB, le processus en six étapes suivant garantira des transferts de données conformes au GDPR:

Évaluer vos transferts

En tant que responsable du traitement des données, vous devez savoir comment vos données circulent d'un serveur à l'autre, depuis le moment où vous les collectez jusqu'à celui où elles sont détruites. Vous devez notamment savoir à quel moment, comment et pourquoi vous les collectez, comment et pourquoi vous les traitez, qui les traite pour vous et pendant combien de temps vous les conservez.

Si vous traitez des données en dehors de l'UE, vous êtes un exportateur de données. L'exportateur de données doit savoir qui traite ses données, où elles sont traitées et dans quel but. Vous devez également vous assurer que le sous-traitant prend les mesures techniques, organisationnelles et de sécurité nécessaires pour protéger vos données.

Outre vos sous-traitants, n'oubliez pas de vérifier leurs sous-traitants secondaires, car ils ont également accès à vos données.

Vérifiez les outils de transfert sur lesquels repose votre transfert

Lorsque l'EDPB parle d'"outils de transfert de données", il s'agit d'une base juridique. Le GDPR prescrit plusieurs bases juridiques de ce type, notamment les décisions d'adéquation, les CSC, les règles d'entreprise contraignantes, le consentement de l'utilisateur, l'intérêt vital de l'utilisateur, l'intérêt public et quelques autres. Pour en savoir plus, cliquez ici. Pour mener à bien la deuxième étape, il est essentiel de déterminer sur quelle base vous transférez des données à chacun de vos sous-traitants ou soustraitants.

Le traitement des données dans l'UE ou dans un pays tiers pour lequel l'UE a pris une décision d'adéquation est gratuit. Cela signifie que l'UE a évalué et approuvé le niveau de protection des données dans ce pays tiers.

Si elle ne l'a pas fait pour le pays où vous souhaitez transférer vos données, passez aux étapes suivantes.

Évaluer les risques que comporte le droit national

Évaluer si l'outil de transfert sur lequel vous vous appuyez est efficace au regard des circonstances du transfert. C'est le moment de déterminer si le transfert de données vers le pays où vous souhaitez les transférer offre une protection suffisante des données.

Dans la section 29 des recommandations, l'EDPB explique que l'outil de transfert est efficace si la législation nationale applicable à l'importateur de données ne l'empêche pas de se conformer aux exigences du GDPR concernant l'outil de transfert.

Cela signifie qu'en cas de conflit entre le GDPR et la législation nationale relative à la protection des données, il ne suffit pas de s'appuyer uniquement sur un outil de transfert. Si vous vous demandez maintenant si le transfert de données vers les États-Unis en s'appuyant sur les CSC est suffisant pour se conformer au GDPR, la réponse est non. Vous aurez besoin de mesures supplémentaires. Nous y reviendrons plus tard.

Les circonstances qui définissent le contexte juridique de l'évaluation des risques sont les suivantes:

• la situation de l'État de droit dans le pays tiers et le mécanisme disponible pour lutter contre les violations de la protection des données
• si les autorités ont facilement accès aux données à caractère personnel conformément à la législation nationale
• si la législation nationale du pays tiers offre une protection des données équivalente à celle de l'UE
• L'objectif du transfert de données (stockage, RH, essais cliniques, marketing ou autres)
• les catégories de données à caractère personnel transférées
• le format des données transférées (texte clair, pseudonymisé, crypté)
• les types d'entités impliquées dans le traitement
• la possibilité de transférer les données à un sous-traitant dans un autre pays tiers.

Adopter et identifier des mesures supplémentaires pour protéger vos données

Si la législation du pays tiers ne permet pas une protection suffisante des données, vous devez alors faire le travail vous-même et protéger vos données qui doivent être transférées. Vous pouvez le faire en adoptant et en mettant en œuvre des mesures complémentaires appropriées.

Ces mesures peuvent être contractuelles, organisationnelles ou techniques. Dans la plupart des cas, vous aurez besoin au moins de mesures techniques. Nous détaillerons ces mesures plus loin dans cet article, mais pour vous donner une idée, vous devrez peut-être crypter vos données avant de les transférer.

Si les mesures supplémentaires que vous avez choisies, combinées à l'outil de transfert, garantissent une protection des données suffisante et conforme aux normes du GDPR, votre transfert peut avoir lieu.

Si vous ne parvenez pas à identifier des mesures supplémentaires suffisamment efficaces pour assurer une telle protection, vous ne devez pas commencer à transférer des données vers des pays tiers. Si vous transférez déjà des données, vous devez y mettre fin immédiatement.

Prendre les mesures procédurales formelles nécessaires

Vos mesures complémentaires doivent compléter les CCAP, les BCR ou toute clause ad hoc de l'accord sur le traitement des données. Assurez-vous que les mesures complémentaires et l'outil de transfert (comme les CSC) ne se contredisent pas. Si c'est le cas, cela signifie que vous ne pouvez pas vous appuyer sur l'outil de transfert et que vous devrez obtenir l'autorisation de l'autorité nationale de protection des données.

Cette étape n'est pas difficile à réaliser, mais elle est de nature très technique. Veillez à ne pas commettre de faux pas. Faites attention à ce que vous écrivez.

Réévaluer la protection à intervalles appropriés

Vous devez surveiller et réévaluer les développements juridiques dans les pays tiers où vous transférez des données.

L'EDPB vous recommande au moins de mettre en place des mécanismes permettant de suspendre ou de mettre fin aux transferts dans les cas suivants:

• l'importateur de données n'a pas respecté les engagements liés aux transferts de données dont vous êtes tenu responsable en vertu de la loi, et
• les mesures complémentaires ne sont plus efficaces dans le pays tiers (par exemple, en raison d'une modification de la législation).

L'objectif de la réévaluation est de permettre une réaction rapide en cas de changements qui ne sont pas sous votre contrôle mais qui pourraient vous rendre non conforme au GDPR (tels que des ruptures de contrat par l'importateur de données, des modifications de la législation nationale du pays tiers, ou autres).

Quelles sont les mesures supplémentaires recommandées?

Les recommandations de l'EDPB s'accompagnent d'une liste non exhaustive de mesures supplémentaires à prendre en compte lors du transfert de données vers des pays tiers. Elles sont divisées en trois groupes: les mesures techniques, organisationnelles et contractuelles.

Mesures techniques

Les mesures techniques que vous utilisez ne sont efficaces que si elles assurent une protection des données dans un pays tiers équivalente à celle de l'Union européenne. En d'autres termes, les mesures techniques doivent garantir qu'aucun gouvernement ni personne d'autre ne puisse accéder aux données à caractère personnel.

Les recommandations fournissent quelques cas d'utilisation pour donner aux exportateurs de données une idée de ce que pourrait être une mesure technique efficace. Il s'agit des cas suivants:

• Le cryptage. Pour autant qu'il réponde aux normes suivantes : - Les données à caractère personnel sont cryptées avant d'être transmises à l'importateur de données - Le cryptage est à la pointe de la technologie - Seul l'exportateur de données contrôle les clés (ou une entité de l'UE ou d'un pays adéquat).
• Le cryptage des données ne fait que transiter par des pays tiers. Lorsque vous souhaitez transférer des données vers un pays adéquat, mais qu'elles transitent par un pays tiers, les règles suivantes s'appliquent :
  - Un cryptage de pointe est nécessaire
  - Le décryptage n'est possible qu'en dehors du pays de transit
  - L'exportateur de données contrôle les clés
  - Le transport est sécurisé par des mesures de pointe.
• Pseudonymisation des données pour autant qu'elle réponde aux exigences suivantes:
  - Elle est effectuée de telle sorte qu'il est impossible d'identifier une personne sur la base de ces données sans utiliser des informations supplémentaires
  - Les informations supplémentaires doivent être stockées dans l'UE ou dans un pays adéquat
  - Seul l'exportateur de données contrôle l'algorithme de pseudonymisation
  - L'exportateur de données doit s'assurer qu'il est impossible d'identifier une personne physique sur la base d'un recoupement des données pseudonymisées avec des données détenues par un gouvernement du pays tiers.
• Destinataire protégé des données à caractère personnel. Parfois, les lois prévoient des protections juridiques spécifiques pour certains destinataires de données, tels que les prestataires de services médicaux ou juridiques. Lorsque l'exportateur de données fournit de tels services conjointement avec un importateur de données protégé par la législation du pays tiers, le transfert de données peut être effectué sur la base d'un outil de transfert accompagné des mesures supplémentaires suivantes :
  - Les lois nationales du pays tiers protègent le destinataire des données
  - Les privilèges s'étendent à toutes les informations, y compris les mots de passe, les clés de cryptage, etc.
  - L'importateur de données n'est pas employé d'une manière qui permette aux autorités publiques d'accéder aux données
  - Les données sont cryptées avec des moyens de cryptage de pointe
  - Seul l'importateur de données possède les clés de décryptage.
• Traitement fractionné ou multipartite. Certains responsables du traitement souhaitent que leurs données soient traitées par deux ou plusieurs sous-traitants dans des pays tiers sans leur divulguer les données que l'autre sous-traitant a obtenues. Ils divisent les données de manière à ce qu'un sous-traitant individuel ne puisse pas identifier une personne physique. En fin de compte, ils reçoivent les résultats du traitement de manière indépendante et fusionnent les éléments en données personnelles ou agrégées.

Si vous souhaitez traiter des données de cette manière dans un pays tiers, vous pouvez les transférer si, en plus de toutes les autres exigences, vous vous assurez que:

• aucune personne physique ne peut être identifiée à l'aide des données scindées
• les données sont transférées à des entités distinctes dans une juridiction distincte
• l'algorithme de traitement est sûr
• rien ne prouve que les gouvernements des juridictions où vous transférez des données coopèrent pour accéder à ces données
• aucune personne physique ne peut être identifiée par recoupement des données pseudonymisées avec des données détenues par un gouvernement du pays tiers.

Quand aucune mesure technique n'est suffisante

Outre la recommandation d'utiliser ces mesures techniques, l'EDPB clarifie encore les règles relatives aux transferts de données en signalant deux situations dans lesquelles aucune mesure technique n'est suffisante pour assurer un transfert licite de données. Ces situations sont les suivantes

1. le transfert vers des sous-traitants de données en nuage qui nécessitent un accès aux données en clair dans un pays tiers où les autorités publiques se voient accorder un accès aux données à caractère personnel qui est disproportionné par rapport à ce qui est normalement attendu dans une société démocratique, et
2. l'accès à distance aux données à des fins professionnelles, c'est-à-dire le partage de données avec des partenaires commerciaux dans le pays tiers, dans le cas où les autorités publiques du pays tiers se voient accorder un accès aux données à caractère personnel qui est disproportionné par rapport à ce qui est normalement attendu dans une société démocratique.

Mesures organisationnelles

Elles comprennent :

• des politiques internes, mais elles ne sont efficaces que si la demande d'accès aux données formulée par les autorités publiques est compatible avec la législation de l'UE
• des mesures de transparence et de responsabilité, lorsque la législation du pays tiers n'empêche pas l'importateur de données de rendre publiques les demandes d'accès aux données formulées par les autorités publiques
• les méthodes d'organisation et les mesures de minimisation des données, lorsqu'elles sont mises en œuvre en combinaison avec les mesures techniques décrites ci-dessus
• l'adoption de normes et de bonnes pratiques, telles que les mesures de sécurité des données, les normes ISO, etc.
  

Autres mesures contractuelles

Ces mesures doivent être utilisées en combinaison avec les mesures techniques et organisationnelles. Elles ne suffisent pas à elles seules à assurer la licéité du transfert de données.

Les recommandations énumèrent de nombreuses clauses contractuelles que vous pouvez ajouter aux CSC ou aux BCR afin de les renforcer si nécessaire. Elles incluent l'obligation pour les importateurs de données d'employer les mesures techniques, organisationnelles et autres nécessaires pour protéger les données à caractère personnel qui leur sont transférées.

Les transferts de données vers les États-Unis sont-ils légaux et gratuits?

Tout dépend si l'entreprise qui reçoit les données personnelles à traiter est certifiée dans le cadre de l'ancien bouclier de protection de la vie privée.

La plupart des entreprises de traitement des données les plus courantes, telles que Meta, Google, Amazon, les logiciels d'automatisation du courrier électronique les plus répandus, etc. sont certifiées. Vous êtes libre de les utiliser et de leur envoyer vos données comme s'il s'agissait d'entreprises de l'UE.

Mais vous ne pouvez pas envoyer librement des données à ceux qui ne sont pas certifiés, à moins de mettre en œuvre la procédure en six étapes décrite ci-dessus.

Il existe deux lois américaines que vous devez connaître: la FISA 1978 et le CLOUD Act 2018. Elles compliquent toutes deux les transferts de données de l'Europe vers les États-Unis.

La loi de 1978 sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act) prescrit les procédures en vertu desquelles les autorités américaines peuvent recueillir des informations de surveillance et de renseignement sur les "puissances étrangères et leurs agents soupçonnés d'espionnage et de terrorisme". En fait, il s'agit de procédures permettant aux autorités américaines d'espionner des ressortissants et des gouvernements étrangers.

Dans les recommandations, l'EDPB indique explicitement que les dispositions de la FISA ne respectent pas les garanties minimales de protection des données requises par la législation de l'UE (page 15) et que, par conséquent, les transferts de données vers les États-Unis ne sont pas légaux en l'absence de mesures complémentaires appropriées.

Le CLOUD Act 2018 (Clarifying Lawful Overseas Use of Data Act) permet aux autorités publiques américaines de demander et d'obtenir des données stockées sur des serveurs détenus ou exploités par des entreprises américaines, quel que soit l'endroit où se trouve le serveur, mais uniquement sur la base d'un mandat. Les entreprises sont tenues de fournir ces données, mais peuvent également refuser de les partager si cela enfreint la législation nationale sur la protection de la vie privée des pays concernés (le pays où le serveur est situé, le pays de la personne concernée, etc.)

En clair, les autorités américaines peuvent demander à des entreprises comme Amazon Web Services, Microsoft ou Facebook les données stockées sur leurs serveurs en Europe, en Asie ou ailleurs, et elles devront s'y conformer pour éviter les sanctions. Elles devront s'y conformer pour éviter les sanctions. Elles pourront peut-être contester la demande, peut-être pas.

Les gouvernements s'entraident souvent dans les affaires pénales, mais ces procédures sont généralement lentes. La loi CLOUD vise à rationaliser la procédure et permet aux gouvernements étrangers de conclure des traités de réciprocité avec les États-Unis.

Toutefois, l'EDPB et le CEPD estiment que la loi CLOUD est en conflit avec le GDPR. Une demande émanant d'une autorité américaine ne constitue pas nécessairement une base juridique pour le transfert, de sorte que les transferts de données vers les États-Unis ne peuvent pas être fondés uniquement sur un mandat délivré par les autorités américaines. Selon leur avis, le mandat ou la demande émis par une autorité publique américaine ne constitue pas un motif légal pour un transfert de données, à moins qu'il n'ait été reconnu par un accord international, tel qu'un traité entre les États-Unis et un autre pays.

Tout autre transfert de données en vertu du CLOUD Act 2018 constituerait une violation du GDPR.

Comment transférer légalement des données vers des pays tiers?

Si vous transférez des données vers des serveurs détenus ou exploités par une entreprise ayant son siège dans un pays tiers, voici les mesures que vous devez prendre pour vous conformer au GDPR et garantir la sécurité des données de vos utilisateurs:

• Établissez une cartographie de vos flux de données pour savoir vers quels processeurs de données et vers quels pays vous transférez des données. Une analyse d'impact sur la protection des données est une bonne pratique dans de telles situations (article 35 du GDPR).
• Assurez-vous que vous disposez d'un accord de traitement des données valide avec vos sous-traitants.
• Assurez-vous de connaître les sous-traitants de vos sous-traitants de données. Ils ont également accès à vos données.
• Déterminer les fondements juridiques des transferts de données vers des pays tiers
• Si vous constatez que vous transférez des données vers des pays tiers pour lesquels l'UE n'a pas pris de décision d'adéquation valable, procédez à l'évaluation des lois nationales. Votre responsable du traitement des données est tenu de vous aider à vous conformer au GDPR, alors contactez-le. Vous pouvez également contacter votre autorité nationale de protection des données. Si le sous-traitant est une société américaine, sautez cette étape, car l'EDPB a clairement indiqué que leur législation ne protège pas suffisamment les données à caractère personnel.
• Si vous n'êtes pas en mesure d'évaluer vous-même les lois étrangères, adressez-vous à vos sous-traitants et à votre autorité nationale de protection des données.
• Choisissez vos mesures complémentaires en fonction de votre situation. Si vous n'êtes pas sûr de ce qu'il faut faire, le cryptage des données est la solution la plus sûre.
• Consignez vos mesures complémentaires dans les CSC, les BCR et les contrats avec le responsable du traitement des données.
• Réévaluez de temps à autre les lois étrangères et l'efficacité de vos mesures pour vous assurer que vous restez en conformité.

Conclusion

Heureusement pour de nombreuses entreprises de l'UE et des États-Unis, les flux de données entre l'UE et les États-Unis sont à nouveau libres. En revanche, les flux vers d'autres pays ne le sont pas.

Vos utilisateurs vous confient leurs données et vous devez les protéger correctement.

La loi exige que vous preniez quelques mesures supplémentaires pour vous mettre en conformité, mais l'EDPB vous montre la voie à suivre. Et c'est faisable.